Spyware in aumento e building automation “problematica”
⦁ Nella prima metà del 2022, quasi il 32% dei computer OT protetti dalle soluzioni Kaspersky ha bloccato oggetti dannosi.
⦁ Gli script dannosi e le pagine di phishing sono uno dei metodi più comuni per diffondere spyware. Nel primo semestre del 2022 queste minacce sono state bloccate su quasi il 13% dei computer OT, con un aumento di 3,5 punti percentuali tra il primo semestre del 2022 e il secondo del 2022.
⦁ Quasi la metà dei computer (42%) delle infrastrutture per la building automation, anche dette Building Management Systems (BMS), ha subito minacce informatiche.
Nella prima metà del 2022, sono stati bloccati elementi dannosi su un computer OT su tre, secondo il panorama delle minacce ICS di Kaspersky ICS CERT. La maggior parte degli attacchi contro le aziende industriali sono stati effettuati usando script dannosi e pagine di phishing (JS e HTML). Le infrastrutture di building automation si sono rivelate le più “problematiche”: quasi la metà dei computer (42%) ha dovuto affrontare minacce informatiche. Poiché questi sistemi possono non essere completamente separati dalle reti delle organizzazioni situate nell’edificio, rappresentano un interessante obiettivo di accesso iniziale per gli attaccanti.
Nella prima metà del 2022, quasi il 32% dei computer OT protetti dalle soluzioni Kaspersky ha bloccato oggetti dannosi. Questi computer sono utilizzati nei settori oil & gas, energia, automotive, infrastrutture di building automation e molti altri per svolgere una serie di funzioni OT, dalle workstation di ingegneri e operatori ai server di controllo di supervisione e acquisizione dati (SCADA) e alle Human Machine Interface (HMI).
Minacce in aumento nel primo semestre del 2022: script dannosi, pagine di phishing e spyware
Negli ultimi sei mesi, la maggior parte delle volte, gli autori hanno tentato di attaccare i computer industriali utilizzando script dannosi e pagine di phishing (JS e HTML): questi oggetti sono stati bloccati su quasi il 13% del numero totale di computer protetti. Questa categoria di minacce ha anche mostrato la crescita più dinamica rispetto al semestre precedente, con un aumento di 3,5 punti percentuali.
Gli script dannosi e le pagine di phishing sono uno dei metodi più comuni per diffondere spyware. Nel primo semestre del 2022 è stato rilevato sul 9% dei computer OT, con un aumento di 0,5 punti percentuali tra il primo semestre del 2022 e il secondo del 2021. L’altro modo in cui lo spyware può essere diffuso è tramite e-mail di phishing con allegato un documento dannoso. Kaspersky riporta un drastico aumento di quasi due volte, fino a quasi il 6%, della percentuale di computer OT in cui sono stati bloccati documenti dannosi.
“È fondamentale proteggere gli endpoint OT e quelli IT con una soluzione dedicata, configurata correttamente e costantemente aggiornata. La rete OT deve essere separata, tutte le connessioni e le comunicazioni remote devono essere protette, monitorate e controllate, impedendo qualsiasi accesso non autorizzato. Un approccio proattivo all’identificazione e all’eliminazione di possibili vulnerabilità e minacce rilevanti potrebbe far risparmiare milioni di euro sui costi degli incidenti”, ha commentato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.
Quasi la metà dei computer (42%) delle infrastrutture per la building automation, anche dette Building Management Systems (BMS), ha subito minacce informatiche. Questi computer appartengono normalmente a società di servizi, che gestiscono sistemi automatizzati in aziende o centri commerciali, comuni e altri tipi di infrastrutture pubbliche. Per quanto riguarda gli impianti industriali e le infrastrutture critiche, spesso possiedono i sistemi di gestione degli edifici in loco.
Percentuale di computer OT in cui sono stati bloccati oggetti dannosi in settori selezionati nel 1° semestre del 2022.
Nel primo semestre del 2022 i Building Management Systems (BMS) sono diventati il tipo di infrastruttura OT più “problematica” in termini di attività degli attaccanti, occupando le prime posizioni per la percentuale di dispositivi colpiti da diverse fonti di minaccia, in particolare risorse Internet (23%), allegati e-mail dannosi e link di phishing (14%, due volte di più rispetto alla media globale), documenti dannosi (11%), trojan, backdoor e keylogger (13%) e altri.
I tecnici e gli operatori di building automation usano le risorse Internet e le e-mail più attivamente rispetto ad altre infrastrutture OT. Inoltre, i BMS possono non avere un’adeguata separazione dalle altre reti interne fisicamente situate nell’edificio e, pertanto, possono essere un bersaglio interessante per i threat actor più sofisticati.
“É naturale che questo tipo di ambienti subisca l’impatto dell’attività degli attaccanti per la loro elevata esposizione e il loro stato di maturità relativamente basso in materia di cybersecurity.
I criminali informatici compromettono sistemi che potrebbero potenzialmente avere connessioni con le reti interne di fabbriche, spazi pubblici o persino infrastrutture pubbliche, i sistemi possono gestire un intero quartiere con accesso al controllo dell’illuminazione, alla gestione del traffico stradale e alle relative informazioni così come altri tipi di servizi per i cittadini: un vero e proprio “gioco da ragazzi” per i criminali. L’aspetto più allarmante è che il 14% di tutti i computer dei Building Management Systems (BMS) sono stati attaccati con l’uso di e-mail di phishing, una percentuale 2 volte superiore alla media globale”, ha affermato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.
Per ulteriori informazioni sul panorama delle minacce ICS nel primo semestre del 2022, è possibile consultare il sito web di Kaspersky ICS CERT.
Per proteggere i computer OT da varie minacce, gli esperti di Kaspersky consigliano di:
⦁ Valutare periodicamente la sicurezza dei sistemi OT per identificare ed eliminare eventuali problemi di cybersecurity.
⦁ Stabilire valutazioni e triage continui delle vulnerabilità come base per un processo efficace di gestione delle stesse. Soluzioni dedicate come ⦁ Kaspersky Industrial ⦁ CyberSecurity possono diventare un alleato efficace e una fonte di informazioni uniche e fruibili, non completamente disponibili al pubblico.
⦁ L’esecuzione tempestiva di aggiornamenti per i componenti chiave della rete OT aziendale, l’applicazione di correzioni e patch di sicurezza o l’implementazione di misure di compensazione quando è tecnicamente possibile sono fondamentali per prevenire un incidente grave che potrebbe costare milioni a causa dell’interruzione del processo produttivo.
⦁ L’uso di soluzioni EDR come ⦁ Kaspersky ⦁ Endopoint⦁ ⦁ Detection⦁ and ⦁ Response per il rilevamento tempestivo di minacce sofisticate, l’investigazione e la risoluzione efficace degli incidenti.
⦁ Migliorare la risposta a tecniche dannose nuove e avanzate costruendo e rafforzando le competenze dei team in materia di prevenzione, rilevamento e risposta agli incidenti. Una formazione dedicata alla sicurezza OT per i team di sicurezza IT e per il personale OT è una delle misure chiave per raggiungere questo obiettivo.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/