Kaspersky Lab spiega gli errori che hanno permesso a WannaCry di infettare gli Industrial Control System

redazione

L’ICS Computer Emergency Response Team (CERT) di Kaspersky Lab ha pubblicato un paper su come gli attacchi globali del ransomware WannaCry avvenuti tra il 12 e il 15 maggio 2017 siano stati in grado di infettare numerosi computer in ambienti ICS. Gli esperti si augurano che, condividendo l’elenco degli errori e delle sviste che portano questi sistemi a essere vulnerabili a simili attacchi, le aziende riescano a limitare i rischi futuri.

Il ransomware WannaCry è stato diffuso a livello globale tramite internet. Grazie a una vulnerabilità di Windows, è riuscito a diffondersi rapidamente attraverso le reti interne, sfruttando le connessioni aperte e lo scarso livello di sicurezza.

In linea di principio, sarebbe dovuto essere impossibile per WannaCry infettare una rete industriale attraverso internet, sia per via del fatto che le reti sono chiuse sia grazie ai severi protocolli e firewall. Secondo i ricercatori di Kaspersky Lab, gli scenari che possono facilitare l’infezione di un ambiente ICS includono:

  • Computer connessi a numerose sottoreti contemporaneamente. Ad esempio, se la work-station di un ingegnere/amministratore di un sistema di automazione industriale è connessa sia alla rete aziendale sia al network industriale, consentendo ai malware di passare da una rete all’altra.
  • Reti VPN che si connetto all’ICS. Se le soluzioni di sicurezza e le connessioni non sono configurate in modo appropriato, anche le VPN possono fungere da ponte per l’infezione. Ad esempio, se il computer infetto di terze parti è connesso al network industriale da remoto tramite VPN.
  • Dispositivi mobile connessi all’ICS, come smartphone e modem USB, possono trasmettere l’infezione se sono stati per errore configurati con un indirizzo IP pubblico.

I consigli di Kaspersky Lab

Per proteggersi dalle minacce basate su internet e da altri attacchi, il team ICS CERT di Kaspersky Lab consiglia di:

  1. “Chiudere” i servizi di rete vulnerabili e limitare le connessioni a internet su tutti i computer connessi al network ICS e nel perimetro della rete; installare sempre le patch dei software.
  2. Garantire la gestione centralizzata e sicura di tutti i sistemi automatizzati e monitorare tutto il traffico dati tra l’ICS e le altre reti.
  3. Limitare l’accesso tra sistemi che appartengono a network diversi o con diversi livelli di affidabilità: isolare quelli che comunicano con reti esterne. Eliminare ogni connessione di rete che non è necessaria per i processi industriali.
  4. Considerando che il panorama delle minacce per i sistemi di automazione industriale è in continua evoluzione, Kaspersky Lab consiglia di effettuare un audit approfondito del network ICS, assicurandosi che tutte le soluzioni, le policy e le pratiche di sicurezza siano attive e aggiornate.