AO_462

ransomware che fungono da gateway e l’utilizzo di credenziali compromesse ottenute attraverso vari mezzi illeciti. In ambito industriale, gli attacchi che prendono di mira i sistemi OT vengono spesso lanciati dopo aver sfruttato un punto di in- gresso attraverso reti IT, cosa che rende la segregazione e la com- partimentazione delle reti particolarmente importante. Troppo spesso le vulnerabilità vengono introdotte anche da terze parti, come ad esempio i tecnici delle società di manutenzione che devono accedere alla rete della produzione. Si passa poi al ‘ mo- vimento laterale ’ per contenere la diffusione. Una volta all’in- terno, l’obiettivo primario dell’aggressore è quello di espandere il proprio accesso e muoversi lateralmente attraverso la rete, identi- ficando e compromettendo man mano sistemi critici e repository di dati, spesso sfruttando credenziali rubate o vulnerabilità non corrette. L’obiettivo è ottenere l’accesso alle risorse più preziose all’interno dell’organizzazione, massimizzando l’impatto poten- ziale dell’attacco. Questa fase evidenzia la necessità di una forte segmentazione interna e di rigorose politiche di controllo degli accessi. Il terzo punto è l’ esfiltrazione dei dati , che può essere un’arma a doppio taglio. In molti attacchi ransomware moderni, l’esfiltrazione dei dati è diventata una tattica sempre più comune. Prima di avviare il processo di crittografia, gli aggressori spesso esfiltrano dati sensibili dalla rete, aggiungendo la minaccia della divulgazione pubblica alla richiesta di riscatto. Questa tattica di ‘doppia estorsione’ aumenta significativamente la pressione sulle vittime affinché paghino, poiché il potenziale danno reputazio- nale e le sanzioni normative associate a una violazione dei dati risultano spesso molto più onerose del riscatto stesso. Questa fase sottolinea l’importanza delle soluzioni di prevenzione della perdita di dati (DLP) e delle strategie di crittografia dei dati. Non si deve dare per scontato che gli ambienti OT siano protetti da questa minaccia. Il cyber spionaggio industriale è una realtà per la quale poche aziende sono preparate. Le organizzazioni devono sapere come reagire in caso di furto di programmi PLC o di qual- siasi altra informazione relativa ai processi industriali. Si passa poi alla fase della crittografia in cui l’aggressore esegue la funzione principale del ransomware: crittografare i dati critici, rendendoli inaccessibili e interrompendo le attività aziendali. Il processo di crittografia può essere rapido e devastante, bloccando efficace- mente i sistemi essenziali e impedendo ai dipendenti di svolgere le proprie mansioni. Questa fase evidenzia l’importanza di solide soluzioni di backup e ripristino. In Advens hanno osservato che gli aggressori non crittografano più sempre sistematicamente i dati. Con la crescente importanza (e redditività) del furto di dati, spesso si limitano a rubare i dati e a volte rinunciano del tutto alla crittografia. Solo alla fine si ha la richiesta di riscatto : l’ag- gressore presenta una richiesta di riscatto in cambio della chiave di decrittazione, con indicazioni su come contattare l’aggressore ed effettuare il pagamento, spesso in criptovaluta per garantirne l’anonimato. Questa fase sottolinea l’importanza di disporre di un piano di risposta agli incidenti ben definito. A questo proposito, la raccomandazione è semplice: non pagare il riscatto. Dare denaro ai truffatori non garantisce il recupero dei dati e, inoltre, pagare non fa altro che sostenere la criminalità informatica organizzata rendendo redditizi questi attacchi. Distribuito in Italia da 02 486141 [email protected] servitecno.it ANALIZZA, MONITORA, PREVEDI, SIMULA E OTTIMIZZA CON PROFICY CSENSE