Attacco al gasdotto coloniale
Gli attacchi ransomware alle infrastrutture critiche sono stati una delle principali preoccupazioni dell'ultimo decennio e sono aumentati in modo significativo negli ultimi due mesi, sollevando domande e preoccupazioni su quanto grave possa essere l'impatto di attacchi mirati alla cybersecurity sui governi, sull'economia e sulla nostra vita quotidiana. attacchi mirati di cybersicurezza sui governi, sull'economia e sulla nostra vita quotidiana. L'attacco di SolarWinds, che ha preso di mira diverse organizzazioni governative e private, e il recente attacco di Colonial Pipeline, dimostrano entrambi che le organizzazioni e i governi devono rafforzare ulteriormente le loro strutture critiche. e i governi devono rafforzare ulteriormente la protezione delle infrastrutture critiche per prevenire attacchi futuri.
Il Colonial Pipeline, il più grande oleodotto di prodotti raffinati degli Stati Uniti e un importante fornitore di benzina e carburante per aerei per la costa orientale, ha chiuso i battenti dopo un attacco ransomware il 7 maggio 2021.
Secondo l'FBI, dietro l'attacco c'è un'organizzazione criminale di matrice russa chiamata DarkSide. Pur non negando l'attacco, la cybergang sostiene di essere un'organizzazione apolitica che opera per estorcere denaro alle proprie vittime. vittime.
Sebbene non si conosca il vettore iniziale dell'attacco, sappiamo che, dopo aver ottenuto l'accesso iniziale alla rete dell'azienda, i criminali hanno utilizzato il ransomware DarkSide contro la rete informatica di Colonial Pipeline. In risposta al cyberattacco, l'azienda ha dichiarato di ha riferito di aver scollegato in modo proattivo alcuni sistemi di tecnologia operativa (OT) per garantire la sicurezza dei sistemi.
Secondo il World Economic Forum (WEF), i cyberattacchi alle infrastrutture critiche rappresenteranno il quinto rischio economico più elevato nel 2020 e il WEF ha definito il potenziale di tali attacchi "la nuova normalità in diversi settori tra cui energia, sanità e trasporti".
Attacchi ransomware
Gli attacchi ransomware sono oggi uno degli attacchi informatici più comuni e gli ambienti OT nei settori delle infrastrutture critiche, a differenza delle infrastrutture IT delle grandi imprese, spesso non sono ben protetti contro i moderni attacchi mirati alle minacce informatiche. attacchi mirati.
Gli ambienti OT possono diventare bersagli "facili" a causa di:
- Mancanza di visibilità degli asset che esistono o vengono portati all'interno dell'infrastruttura
- Processi insufficienti per la gestione dei dati scambiati all'interno e all'esterno delle reti isolate
- I sistemi e le reti obsoleti espongono le vulnerabilità a exploit di tipo zero-day
I modi più comuni con cui un aggressore riesce a penetrare nella rete di un'organizzazione sono:
- Utilizzo di e-mail dannose per attacchi di phishing con link a Google Drive (ad esempio, DarkSide).
- Utilizzo di account e sistemi accessibili da remoto non protetti - RDP, VPN, VDI, ecc.
- Sfruttamento di vulnerabilità note in applicazioni rivolte all'esterno - DarkSide è noto per lo sfruttamento di CVE-2021-20016, come nel caso dell'attacco SonicWall SMA.
- Utilizzo di supporti rimovibili non monitorati o controllati per trasferire i file.
L'elenco delle mitigazioni pubblicato dall'FBI è disponibile qui.
OPSWAT Soluzioni
OPSWAT offre due piattaforme progettate per proteggere le infrastrutture critiche dal ransomware e da altri cyberattacchi avanzati, impedendo alle minacce di entrare nelle reti attraverso file di dati o dispositivi sconosciuti. nelle reti attraverso file di dati o dispositivi sconosciuti.
MetaDefender Piattaforma
MetaDefender OPSWAT utilizza l'esclusiva ( ) per rimuovere le minacce dai file ricostruendo i file e, nel processo, eliminando i contenuti e gli script potenzialmente dannosi. offre anche la scansione multipla, e la prevenzione proattiva della perdita di dati ( ). offre la scansione multipla, e la prevenzione proattiva della perdita di dati ( ).deep content disarm and reconstruction Deep CDR MetaDefender file-based vulnerability assessment Proactive DLP
MetaDefender Piattaforma di accesso
MetaDefender Access garantisce la sicurezza delle applicazioni SaaS e dei dati cloud. Consente l'accesso in base allo stato di salute del dispositivo e alla conformità, per aiutare gli amministratori a bloccare i dispositivi a rischio dalla connessione ai dati cloud e alle applicazioni SaaS sensibili.
Ecco una schermata del programma OPSWAT MetaDefender Kiosk in azione, che rileva il malware utilizzato negli attacchi Colonial Pipeline e SolarWinds.
Ulteriori best practice per ridurre la superficie di attacco e i rischi di cybersecurity sono disponibili nel OPSWAT blog.
Per maggiori informazioni su come OPSWAT può aiutarvi a proteggere le vostre infrastrutture critiche, compresi gli asset OT, ICS e SCADA, fissate un incontro con uno dei nostri esperti di cybersecurity. uno dei nostri esperti di cybersecurity.
La vicenda è ancora in fase di sviluppo e aggiorneremo il blog non appena saranno disponibili aggiornamenti.
