Massima allerta informatica: il monito dell’Agenzia per la Cybersicurezza

6 Marzo 2022 Nicola Fioranelli

Giorni di guerra sotto tutti i fronti, compreso quello digitale che non viene risparmiato e, anzi, vede un incremento consistente di attacchi, tale da far emettere un bollettino di massima allerta informatica. A twittare l’annuncio è l’Agenzia per la Cybersicurezza nazionale che, tramite il proprio profilo, rimanda a un comunicato stampa pubblicato alcuni giorni fa, ancora centrale in questo periodo delicato.

Dal fronte, intanto, continuano ad arrivare notizie impressionanti: come già anticipato la scorsa settimana Anonymous si era schierata contro la Russia e sta proseguendo la sua battaglia con continui attacchi ai sistemi informativi. Non ultimo quello ai danni dell’Agenzia spaziale russa, Roscosmos ma che si è concluso con il ripristino dei sistemi in breve tempo. Nulla, quindi, che potesse danneggiare in modo irreparabile il sistema di controllo e gestione come paventato da Anonymous nel suo video.

Al tempo stesso, ci sono altre aziende che tentano di prendere le distanze dalla Russia, come Google che ha bloccato le pubblicità nei suoi servizi distribuiti nel paese o Microsoft e Samsung che sospendono la vendita dei loro prodotti. E mentre il conflitto continua a mietere vittime, in Italia stiamo assistendo ad un’impennata degli attacchi nel cyberspazio da tutti i fronti. Il Computer Security Incident Response Team italiano monitora ogni giorno l’andamento degli attacchi e in quest’ultima settimana ha diramato diversi bollettini di allerta digitale.

Il preludio alla massima allerta: la diffusione del malware HermeticWiper

A partire dai primi giorni di guerra ESET e Broadcom avevano identificato un nuovo malware chiamato HermeticWiper e diffuso massivamente nelle macchine dell’Ucraina. Il virus è estremamente malevolo perché una volta colpita una macchina attacca direttamente il Master Boot Record, compromettendone i primi 512 MB e di fatto rendendola inutilizzabile.

Il nostro gruppo di esperti aveva subito allertato istituzioni e aziende italiane di correre ai ripari al fine di massimizzare la protezione dei propri sistemi di fronte a questa nuova minaccia. Tuttavia, il rischio correlato ancora più importante è che tali fenomeni localizzati possano avere ricadute anche sui sistemi al di fuori degli assetti presi di mira. Per tale motivo, l’Agenzia per la Cybersicurezza nazionale ha emanato un elenco dei possibili vettori virali da tenere particolarmente sotto controllo. Fra questi:

  • siti pubblici da cui poter reperire software malevolo;
  • attacchi di phishing tramite contenuti allegati o link nel corpo dei messaggi;
  • piattaforme di condizione P2P;
  • sfruttamento di vulnerabilità note nei sistemi internet facing;
  • distribuzione di malware tramite i cosiddetti attacchi ‘watering hole’, ossia monitoraggio dei tipici siti visitati dalle aziende per comprometterne alcuni;
  • infine, attacchi nei confronti di sistemi che possano amplificare la potenza degli attacchi come nei casi di LDAP e DNS.

Le azioni per mitigare lo scenario di massima allerta informatica

L’Agenzia non si è soltanto limitata a riportare i possibili vettori d’attacco ma ha individuato una serie di apparati e sistemi tecnologici da sorvegliare con la massima attenzione. Fra questi, sicuramente tutti gli apparati perimetrali e i sistemi di gestione degli accessi che costituiscono la base fondante per ridurre la possibilità di ingresso all’interno della rete aziendale.

Sembra ridondante ripeterlo, ma semplici azioni possono salvare le organizzazioni e i dati di privati cittadini. Fra queste è importante ricordare di mantenere tutti i propri dispositivi aggiornati all’ultima versione disponibile, installando sempre le patch di sicurezza rilasciate. L’autenticazione multifattoriale è un ottimo scudo per limitare accessi non autorizzati ma deve essere sempre coadiuvata dall’utilizzo di password non facili da indovinare.

Per le aziende, l’Agenzia per la Cybersicurezza nazionale raccomanda di seguire le best practice sulla gestione dei sistemi perimetrali, l’implementazione della segregazione a livello di rete e il monitoraggio delle attività specie in casi di aumenti improvvisi. Infine, non meno importante, la condivisione di informazioni fra gli esperti e le aziende del settore per innalzare un miglior perimetro di difesa.