Sababa e Naquadria sottoscrivono un accordo di partnership per soddisfare le esigenze dei system integrator italiani
Maggio 19, 2022
Sababa Security sottoscrive due contratti con primarie società nel settore delle telecomunicazioni e retail per un valore totale pari a 1.352.000 euro
Luglio 18, 2022
L’11 maggio di quest’anno diversi siti web italiani, tra cui quello del Senato, del Ministero della Difesa e dell’Istituto Superiore di Sanità, sono stati hackerati e sono rimasti irraggiungibili per diverse ore. È stato il primo giorno di un attacco informatico di lunga durata che ha preso di mira vari siti Web in Italia e in altri Paesi.
Prima che l’Italia finisse nel mirino di Killnet, negli ultimi mesi il gruppo aveva già preso di mira enti governativi e privati in altri Paesi, tra cui Stati Uniti, Estonia, Lettonia, Germania, Polonia, Repubblica Ceca e Ucraina.
I gruppi hacker filorussi Killnet e Legion hanno rivendicato la responsabilità degli attacchi DDoS (Distributed Denial-of-Service) – che hanno visto l’utilizzo del malware Mirai – sul loro canale Telegram soprannominato Legion – Cyber special forces of RF.
Una call to action
Inoltre, Killnet ha annunciato una serie di attacchi ad obiettivi italiani, pubblicando sullo stesso canale un elenco composto da siti Web di enti statali, autorità energetiche, nonché entità dei settori delle telecomunicazioni, dei trasporti e dei media.
L’appello invitava i membri del collettivo a condurre un attacco DDoS prolungato di 48 ore sui siti web target, come ritorsione contro i Paesi che si stavano opponendo alla Russia.
Poco dopo, il Computer Security Incident Response Team (CSIRT) italiano ha rilasciato un avviso per mettere in guardia le organizzazioni del settore pubblico e privato sull’aumento del rischio di attacchi informatici da parte di hacker filorussi.
Gli attacchi sono stati segnalati il 20 maggio dalla Polizia postale italiana – incaricata di combattere crimini informatici – che ha dichiarato di aver risposto bloccando e analizzando l’enorme quantità di indirizzi IP stranieri che facevano parte degli attacchi DDoS. Hanno quindi segnalato tali attacchi al Consiglio Superiore della Magistratura, all’autorità doganale e ai ministri degli Affari esteri, dell’Istruzione e dei Beni culturali, tutti indicati nei post di Killnet.
Una vera e propria guerra ibrida
Questo panorama dovrebbe destare non poche preoccupazioni per la sicurezza informatica in Italia, visto lo scenario di minaccia globale e l’effetto domino che il conflitto russo-ucraino sta avendo sul resto del mondo. Le parti coinvolte stanno pubblicamente combattendo questa guerra in aria, in mare, sulla terraferma e nel cyber-spazio, rendendola di fatto una vera e propria guerra ibrida.
Dopo l’invasione, sia Russa che Ucraina hanno condotto attacchi contro le infrastrutture IT e OT dell’altra parte, violando i sistemi e distribuendo disk wipers, ransomware e altre minacce, con l’intento di causare devastazione e ingenti danni. Gli attori dietro gli attacchi si sono dimostrati essere sponsorizzati dallo Stato o hacktivisti che agiscono per ideologia, il che ridefinisce lo scenario della minaccia.
Lo scenario che si sta delineando oggi è quello di threat actor a malapena conosciuti, poco visibili se non addirittura nascosti, che agiscono indisturbati nell’oscurità ed emergono solo quando è troppo tardi per poterli contrastare. Alla luce di questo, utilizzare servizi di intelligence per studiare questi gruppi criminali è l’unico modo per comprenderli meglio e provare a fermarli.
Incident response
Oggi, quando si parla di attacchi informatici non è più una questione di “se”, ma di “quando” si verrà colpiti. Le aziende devono pertanto farsi trovare preparate ed il modo migliore è avere un piano di incident response pronto all’uso. Si tratta di un insieme di strumenti e procedure che il team di sicurezza può utilizzare per identificare ed eliminare una minaccia, rispondere ad un incidente di sicurezza e provvedere al ripristino. Il piano di Incident Response è progettato per aiutare il team a rispondere rapidamente e all’unisono a qualsiasi tipo di minaccia. La presenza di questi strumenti aiuta l’azienda a riprendersi più rapidamente, riducendo le potenziali conseguenze di un incidente informatico.
Allo stesso modo, nonostante l’ampia gamma di strumenti e soluzioni di cybersecurity disponibili, una sicurezza informatica efficace va ben oltre l’acquisto di un prodotto. Deve essere sviluppata in modo proattivo, attraverso una combinazione di policy, cultura e soluzioni. Deve essere vista come un processo continuo, con controlli costanti e un obiettivo di miglioramento quotidiano. Condurre regolarmente security assessment e penetration test sull’organizzazione e sui suoi asset aiuta ad acquisire consapevolezza delle proprie vulnerabilità e di come potrebbero essere sfruttate. Capire in tempo quali sono i punti deboli vi dà la possibilità di tappare i buchi e ridurre la superficie di attacco.
Infine, anche se la vostra azienda non vi risulta essere stata inclusa in un elenco come quello di Killnet, non significa che non sia un potenziale bersaglio, ma semplicemente che non siete al corrente di ciò che potrebbe accadere al di fuori del perimetro del vostro ufficio. Infatti, da un punto di vista cyber, gli attaccanti sono ad un solo clic di distanza dalle vostre risorse aziendali più critiche.
Difesa proattiva
Ogni organizzazione deve sapere se si trova nel mirino di un gruppo hacker, come accaduto nel caso di Killnet. È importante avere il maggior numero di informazioni possibili sulla minaccia, compreso il modo in cui il gruppo opera, il motivo per cui l’azienda è un potenziale target e la portata di un attacco riuscito. Tutto questo è bene saperlo prima che l’attacco si verifichi. Solo un’intelligence costante sulle minacce cyber può aiutare un’azienda a prepararsi adeguatamente agli incidenti, ad evitarli e a mitigarli nel caso in cui si verifichino.
Prendiamo ad esempio Killnet. È noto per gli attacchi DDoS, ma utilizza anche altre tecniche? È un gruppo associato ad altri tipi di attacchi, come ransomware o simili? In questo caso sembra agire per conto della Russia nell’attacco contro l’Ucraina, ma vi sono altre motivazioni?
Essere in grado di rispondere a queste domande in anticipo può fare la differenza tra un’interruzione temporanea di un servizio, di pochi minuti o ore, e un’interruzione prolungata dell’attività che potrebbe danneggiare sistemi critici e vedere la sottrazione di dati importanti.
Da una parte, la digitalizzazione ha moltiplicato il numero di modi in cui documenti e dati possono essere condivisi e persino rubati, d’altro canto, ci ha fornito la possibilità di rintracciare i dati in rete. Internet è un gigantesco archivio di informazioni che può tornare utile per molti scopi, compresi gli attacchi informatici.
Violazioni non rilevate
Le organizzazioni dovrebbero essere al corrente di tutti i loro dati che sono reperibili sul Web, in particolare se sono stati esposti nella Dark Net. Nel migliore dei casi, quei dati sono il risultato di una violazione non rilevata che potrebbe comportare sanzioni e uno smacco reputazionale. Nel peggiore dei casi, quei dati potrebbero essere sfruttati per attaccare l’infrastruttura e mettere a rischio l’operatività e la sopravvivenza aziendale.
Le credenziali rubate possono essere estremamente pericolose e vengono utilizzate dagli aggressori per distribuire ransomware in pochi minuti o esfiltrare dati, causando gravi danni all’azienda. Senza un’adeguata sorveglianza, questo aspetto potrebbe addirittura passare inosservato e la vittima non si accorgerebbe di nulla fino a quando non si troverà a dover affrontare le conseguenze.
Questa è solo la punta dell’iceberg in termini di informazioni di valore che le soluzioni di intelligence possono offrire alle aziende ogni giorno, al fine di ridurre in modo proattivo la superficie di attacco e migliorare la risposta.
Essere preparati è la migliore difesa quando si parla di sicurezza informatica, poiché gli incidenti sono inevitabili. Nessuno è immune e ci sono buone probabilità che sia già successo e che voi non lo sappiate. Si tratta solo di capire quando, come e quanto sarà esteso il danno.
La difesa proattiva è la base della sicurezza informatica e aiuta a costruire una postura di sicurezza che potrebbe garantire la continuità aziendale nel caso in cui si concretizzi lo scenario peggiore.
