Nella prima metà del 2022, sono stati bloccati elementi dannosi su un computer OT su tre, secondo il panorama delle minacce ICS di Kaspersky ICS CERT. La maggior parte degli attacchi contro le aziende industriali sono stati effettuati usando script dannosi e pagine di phishing (JS e HTML). Le infrastrutture di building automation si sono rivelate le più “problematiche”: quasi la metà dei computer (42%) ha dovuto affrontare minacce informatiche. Poiché questi sistemi possono non essere completamente separati dalle reti delle organizzazioni situate nell’edificio, rappresentano un interessante obiettivo di accesso iniziale per gli attaccanti.
Nella prima metà del 2022, quasi il 32% dei computer OT protetti dalle soluzioni Kaspersky ha bloccato oggetti dannosi. Questi computer sono utilizzati nei settori oil & gas, energia, automotive, infrastrutture di building automation e molti altri per svolgere una serie di funzioni OT, dalle workstation di ingegneri e operatori ai server di controllo di supervisione e acquisizione dati (SCADA) e alle Human Machine Interface (HMI).
Minacce in aumento nel primo semestre del 2022: script dannosi, pagine di phishing e spyware
Negli ultimi sei mesi, la maggior parte delle volte, gli autori hanno tentato di attaccare i computer industriali utilizzando script dannosi e pagine di phishing (JS e HTML): questi oggetti sono stati bloccati su quasi il 13% del numero totale di computer protetti. Questa categoria di minacce ha anche mostrato la crescita più dinamica rispetto al semestre precedente, con un aumento di 3,5 punti percentuali.
Gli script dannosi e le pagine di phishing sono uno dei metodi più comuni per diffondere spyware. Nel primo semestre del 2022 è stato rilevato sul 9% dei computer OT, con un aumento di 0,5 punti percentuali tra il primo semestre del 2022 e il secondo del 2021. L’altro modo in cui lo spyware può essere diffuso è tramite e-mail di phishing con allegato un documento dannoso. Kaspersky riporta un drastico aumento di quasi due volte, fino a quasi il 6%, della percentuale di computer OT in cui sono stati bloccati documenti dannosi.
“È fondamentale proteggere gli endpoint OT e quelli IT con una soluzione dedicata, configurata correttamente e costantemente aggiornata. La rete OT deve essere separata, tutte le connessioni e le comunicazioni remote devono essere protette, monitorate e controllate, impedendo qualsiasi accesso non autorizzato. Un approccio proattivo all’identificazione e all’eliminazione di possibili vulnerabilità e minacce rilevanti potrebbe far risparmiare milioni di euro sui costi degli incidenti”, ha commentato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.
Percentuale di computer OT in cui sono stati bloccati oggetti dannosi di varie categorie[1]
La building automation è risultata essere il tipo di infrastruttura OT più “problematica”
Quasi la metà dei computer (42%) delle infrastrutture per la building automation, anche dette Building Management Systems (BMS), ha subito minacce informatiche. Questi computer appartengono normalmente a società di servizi, che gestiscono sistemi automatizzati in aziende o centri commerciali, comuni e altri tipi di infrastrutture pubbliche. Per quanto riguarda gli impianti industriali e le infrastrutture critiche, spesso possiedono i sistemi di gestione degli edifici in loco.
Percentuale di computer OT in cui sono stati bloccati oggetti dannosi in settori selezionati nel 1° semestre del 2022.
Nel primo semestre del 2022 i Building Management Systems (BMS) sono diventati il tipo di infrastruttura OT più “problematica” in termini di attività degli attaccanti, occupando le prime posizioni per la percentuale di dispositivi colpiti da diverse fonti di minaccia, in particolare risorse Internet (23%), allegati e-mail dannosi e link di phishing (14%, due volte di più rispetto alla media globale), documenti dannosi (11%), trojan, backdoor e keylogger (13%) e altri.
I tecnici e gli operatori di building automation usano le risorse Internet e le e-mail più attivamente rispetto ad altre infrastrutture OT. Inoltre, i BMS possono non avere un’adeguata separazione dalle altre reti interne fisicamente situate nell’edificio e, pertanto, possono essere un bersaglio interessante per i threat actor più sofisticati.
“É naturale che questo tipo di ambienti subisca l’impatto dell’attività degli attaccanti per la loro elevata esposizione e il loro stato di maturità relativamente basso in materia di cybersecurity. I criminali informatici compromettono sistemi che potrebbero potenzialmente avere connessioni con le reti interne di fabbriche, spazi pubblici o persino infrastrutture pubbliche, i sistemi possono gestire un intero quartiere con accesso al controllo dell’illuminazione, alla gestione del traffico stradale e alle relative informazioni così come altri tipi di servizi per i cittadini: un vero e proprio “gioco da ragazzi” per i criminali. L’aspetto più allarmante è che il 14% di tutti i computer dei Building Management Systems (BMS) sono stati attaccati con l’uso di e-mail di phishing, una percentuale 2 volte superiore alla media globale”, ha affermato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.
Per ulteriori informazioni sul panorama delle minacce ICS nel primo semestre del 2022, è possibile consultare il sito web di Kaspersky ICS CERT.
Per proteggere i computer OT da varie minacce, gli esperti di Kaspersky consigliano di:
- Valutare periodicamente la sicurezza dei sistemi OT per identificare ed eliminare eventuali problemi di cybersecurity.
- Stabilire valutazioni e triage continui delle vulnerabilità come base per un processo efficace di gestione delle stesse. Soluzioni dedicate come Kaspersky Industrial CyberSecurity possono diventare un alleato efficace e una fonte di informazioni uniche e fruibili, non completamente disponibili al pubblico.
- L’esecuzione tempestiva di aggiornamenti per i componenti chiave della rete OT aziendale, l’applicazione di correzioni e patch di sicurezza o l’implementazione di misure di compensazione quando è tecnicamente possibile sono fondamentali per prevenire un incidente grave che potrebbe costare milioni a causa dell’interruzione del processo produttivo.
- L’uso di soluzioni EDR come Kaspersky Endopoint Detection and Response per il rilevamento tempestivo di minacce sofisticate, l’investigazione e la risoluzione efficace degli incidenti.
[1] Le percentuali non devono essere sommate, perché le minacce di due o più tipi possono essere state bloccate su un singolo computer durante il periodo di riferimento.
