Il rapporto sugli incidenti nel settore energetico CERT Polska 2025 ci ricorda che molti incidenti informatici non hanno origine da tecniche avanzate o exploit sconosciuti. Al contrario, hanno origine da vulnerabilità di base che non sono mai state risolte. Credenziali predefinite. Accessi non monitorati. Log che gli aggressori possono cancellare. Backup che non includono i sistemi realmente importanti.
In molti degli incidenti descritti, gli aggressori non hanno dovuto fare grandi sforzi. L'ambiente era già dalla loro parte.
Come si sono concretizzati gli attacchi
Il rapporto descrive diversi incidenti in cui gli aggressori sono penetrati attraverso percorsi familiari. E-mail di phishing, allegati dannosi, siti web compromessi e servizi esposti sono stati tutti punti di partenza comuni. Una volta compromesso un singolo endpoint, gli aggressori si sono concentrati sul muoversi silenziosamente, utilizzando strumenti legittimi e protocolli standard.
I dispositivi all'interno delle reti interne erano spesso considerati sicuri. Questa supposizione si è rivelata errata. Le apparecchiature di rete, le interfacce di gestione e i sistemi operativi erano talvolta implementati con credenziali predefinite o condivise. In alcuni casi, gli aggressori non hanno avuto bisogno di alcun exploit e sono semplicemente riusciti ad accedere.
Anche l'accesso remoto ha avuto un ruolo importante. Le connessioni VPN non venivano sempre controllate attentamente e i controlli di autenticazione variavano a seconda degli ambienti. Una volta connessi, gli aggressori utilizzavano sessioni RDP e condivisione di file SMB per spostarsi lateralmente, confondendosi nel traffico normale ed evitando il rilevamento immediato.
Perché le credenziali predefinite rappresentano ancora uno dei rischi maggiori
Le credenziali predefinite rimangono uno dei rischi più facilmente evitabili, eppure continuano a comparire in incidenti reali. Il rapporto chiarisce che non si tratta solo di dispositivi connessi a Internet. Anche i sistemi interni, compresi i componenti OT e i server di gestione, sono stati lasciati con credenziali invariate o con un ampio accesso amministrativo.
Gli aggressori cercano prima di tutto queste falle. Quando le trovano, ne assumono il controllo in modo rapido e silenzioso.
Modificare le credenziali predefinite, limitare gli account condivisi e applicare la responsabilità per gli accessi privilegiati non sono misure avanzate, ma piuttosto fondamentali. Quando mancano, tutto il resto diventa più difficile.
Il rilevamento dopo l'esecuzione è troppo tardivo
È importante sottolineare che in alcuni casi gli strumenti di sicurezza degli endpoint hanno effettivamente rilevato attività dannose, contribuendo a limitare i danni. Tuttavia, il rilevamento avveniva spesso solo dopo che il malware era già stato eseguito.
Una volta eseguito il malware, gli aggressori possono rubare credenziali, modificare configurazioni e stabilire una persistenza. A quel punto, la risposta diventa più complessa e più dirompente.
Il rapporto sottolinea l'importanza di ispezionare i file prima che vengano eseguiti. Gli allegati e-mail, i download e i file introdotti tramite supporti rimovibili devono essere scansionati e ripuliti prima che raggiungano i sistemi operativi. Bloccare le minacce al punto di ingresso riduce la necessità di pulizia successiva.
Monitorare ciò che gli aggressori utilizzano effettivamente
Diversi incidenti descritti nel rapporto riguardavano movimenti laterali piuttosto che azioni eclatanti: cose come sessioni RDP tra sistemi, condivisioni SMB utilizzate per spostare strumenti e piccole modifiche di configurazione che nel tempo hanno aperto delle porte.
Il monitoraggio delle comunicazioni interne è fondamentale. Il traffico est-ovest spesso riceve meno attenzione rispetto alle attività rivolte verso Internet, ma è proprio lì che gli aggressori trascorrono la maggior parte del loro tempo una volta entrati.
Le modifiche alla configurazione meritano la stessa attenzione. Firewall , le impostazioni VPN e le autorizzazioni Active Directory non dovrebbero cambiare in modo silenzioso. Le organizzazioni devono avere una chiara visibilità su cosa è cambiato, chi ha apportato la modifica e perché. Le modifiche impreviste sono spesso il primo segnale di una compromissione.
Log e backup: le parti che gli hacker cercano di violare
Il rapporto mostra anche come gli aggressori prendano di mira i processi di registrazione e recupero. In alcuni casi, i registri sono stati cancellati o alterati, rallentando le indagini e limitando la comprensione di quanto accaduto.
I registri di audit devono essere inoltrati a una posizione sicura dove gli aggressori non possano modificarli o cancellarli. Idealmente, i registri devono muoversi in una sola direzione. Se gli aggressori possono cancellare i registri, possono nascondere le loro tracce.
I backup richiedono lo stesso livello di attenzione. Molte organizzazioni eseguono il backup delle configurazioni, ma trascurano il firmware, le immagini complete del sistema e lo stato degli endpoint. Quando il firmware o i file binari di sistema vengono compromessi, i backup delle configurazioni da soli non sono sufficienti. Per il ripristino sono essenziali firmware puliti, backup dei server e immagini affidabili degli endpoint.
Il vero insegnamento
Il rapporto CERT Polska non descrive i guasti causati dalla mancanza di strumenti. Descrive invece i guasti causati dalla negligenza di aspetti fondamentali quali:
- Credenziali predefinite lasciate al loro posto.
- Accesso remoto non completamente monitorato.
- Log archiviati in luoghi accessibili agli hacker.
- Malware rilevato solo dopo che era già attivo.
È una fortuna che alcuni attacchi siano stati individuati prima che causassero gravi danni. Ma la fortuna non è un fattore controllabile.
Le organizzazioni energetiche devono ridurre il rischio nelle prime fasi della catena di attacco, prima che il malware venga eseguito, prima che le credenziali vengano utilizzate in modo improprio e prima che gli aggressori possano coprire le loro tracce. Il rapporto chiarisce un aspetto: gli aggressori utilizzano percorsi prevedibili. Ciò significa che i difensori possono bloccarli.
Queste correzioni non sono stravaganti, ma sono urgenti.
Non aspettare che il malware venga eseguito prima di reagire. Scopri come OPSWAT MetaDefender previene le minacce al punto di ingresso, eseguendo la scansione e la sanificazione dei file prima che raggiungano i tuoi sistemi critici.
