Giovedì 20 febbraio, la Russia ha lanciato un’invasione militare del suo vicino ed ex membro dell’Unione Sovietica, l’Ucraina, attirando un ampio rimprovero da parte dei leader internazionali, insieme a una significativa protesta da parte dell’opinione pubblica russa.
Il bilancio di vite umane da questa guerra è sconosciuto e, come i molti atti di aggressione internazionali che l’hanno preceduta, le cifre e le statistiche future non daranno, da sole, un senso a questo. Le minacce e i pericoli posti da questo conflitto saranno sopportati dai combattenti e dal popolo ucraino e sono nei nostri pensieri. La nostra priorità collettiva deve essere la sicurezza fisica delle persone, ma l’assalto della Russia potrebbe anche produrre una serie di rischi legati alla sicurezza informatica da cui le organizzazioni e le persone dovranno proteggersi, a partire da oggi.
Ecco alcuni dei modi in cui l’invasione russa dell’Ucraina può avere un impatto sulla sicurezza informatica e cosa possono fare le organizzazioni per rimanere al sicuro in una crisi in continua evoluzione.
Il rischio di aumentare la posta in gioco
Parallelamente agli attacchi fisici contro l’Ucraina, un malware wiper rilevato per la prima volta dai ricercatori di Symantec ed ESET aveva già iniziato a prendere di mira le organizzazioni in Ucraina. Analizzato da SentinelOne , questo malware wiper ha ricevuto il nome HermeticWiper e si differenzia dal malware tipico in un modo importante: i responsabili non cercano alcun pagamento, vogliono solo fare danni.
(AV-Comparatives ha rapidamente testato diversi prodotti anti-malware e antivirus noti contro HermeticWiper e le sue varianti e ha scoperto che Malwarebytes, tra gli altri, ha rilevato il malware.)
Le attuali analisi di HermeticWiper rivelano che il malware viene distribuito in attacchi altamente mirati in Ucraina, Lettonia e Lituania. I suoi operatori sembrano sfruttare le vulnerabilità nei server rivolti all’esterno mentre utilizzano le credenziali dell’account compromessi per ottenere l’accesso e diffondere ulteriormente il malware.
Queste tattiche non sono una novità e le best practice di sicurezza informatica familiari relative all’accesso privilegiato restano valide. Ma qui la posta in gioco è cambiata. Anche nello scenario peggiore di qualsiasi attacco ransomware, c’è almeno una promessa (che potrebbe essere certamente falsa) di una chiave di decrittazione che può essere acquistata a un prezzo. Con un malware wiper, non esiste tale opportunità.
Come descritto da Brian Krebs sul suo blog :
“Avere i computer e i server della tua organizzazione bloccati da un ransomware può sembrare una giornata al parco rispetto a essere colpiti da malware ‘wiper’ che semplicemente sovrascrive o corrompe i dati sui sistemi infetti”.
Il rischio di danni collaterali
La propensione della Russia alla guerra informatica è ben registrata. In passato, il paese è stato credibilmente accusato o dimostrato responsabile di numerosi attacchi informatici contro l’Ucraina e i suoi vicini circostanti, inclusi attacchi DDoS in Estonia nel 2007, Georgia nel 2008 e Kirghizistan nel 2009. Si ritiene che anche la Russia sia stata responsabile di un campagna di spam e-mail contro la Georgia nel 2008 e anche per la consegna del malware “Snake” contro il governo ucraino nel 2014 . E nel 2015 e nel 2017, quando la rete elettrica ucraina ha subito due arresti separati a causa delle varianti di malware BlackEnergy e Industroyer/CrashOverride, gran parte delle prove sarebbero state ricondotte alla Russia.
Sebbene questi attacchi, come gli attacchi attuali che coinvolgono HermeticWiper, fossero altamente mirati, l’idea di una guerra informatica “ordinata” è una farsa.
Nel giugno 2017, la Russia, come concluso dalla CIA pochi mesi dopo , ha sferrato un attacco informatico all’Ucraina che si è diffuso nel mondo. L’attacco informatico ha coinvolto un malware sviluppato dall’agenzia di intelligence militare russa GRU, chiamato NotPetya. Sebbene si presentasse come un comune ransomware, in realtà funzionava più come un wiper, distruggendo i dati delle sue vittime, tra cui banche, aziende energetiche e funzionari governativi.
Ma l’attacco, che sarebbe stato effettuato per danneggiare il sistema finanziario ucraino, si è diffuso, colpendo le reti in Danimarca, India e Stati Uniti.
Fu all’epoca l’attacco informatico più devastante della storia, costando alla compagnia di navigazione Maersk 300 milioni di dollari e al colosso farmaceutico Merck 870 milioni di dollari.
Sebbene sia impossibile prevedere quale tipo di danno collaterale potrebbe verificarsi, la Cybersecurity and Infrastructure Security Agency degli Stati Uniti ha pubblicato una guida alla sicurezza informatica che tutte le organizzazioni negli Stati Uniti devono seguire durante questo periodo turbolento. Puoi leggere quella guida, chiamata Shields Up, qui .
Il rischio di escalation
Mentre l’Ucraina si difende dalle forze russe, i leader mondiali devono affrontare una decisione difficile. Se dovessero fornire supporto all’Ucraina in qualsiasi modo materiale, la Russia potrebbe quindi vendicarsi contro di loro con i propri attacchi informatici, ed è improbabile che questi attacchi siano sostenuti dai leader mondiali. Invece, il “fuoco incrociato” tra i fronti informatici nazionali probabilmente infliggerà danni alle persone e alle imprese quotidiane.
Questa decisione ha già prodotto una ruga, poiché i leader mondiali non si stanno solo difendendo dai regimi di cyber-offensiva della Russia, ma anche contro note bande di ransomware che hanno rapidamente giurato fedeltà alla causa russa.
Il 25 febbraio, il gruppo ransomware Conti ha annunciato che si sarebbe vendicato contro qualsiasi attacco fisico o informatico noto contro la Russia. Come abbiamo scritto su Malwarebytes Labs :
“Qualsiasi dubbio sul fatto che alcuni dei gruppi di ransomware più dannosi del mondo fossero allineati con il Cremlino, questo tipo di fedeltà metterà fine a tutto ciò”.
Nonostante un chiarimento circa un’ora dopo, che ha tentato di riformulare il “pieno sostegno del governo russo” del gruppo in “non ci alleiamo con nessun governo”, non ci possono essere dubbi sulla minaccia che il gruppo rappresenta .
Sfortunatamente, il rischio di un’escalation sembra probabile, poiché i paesi aumentano le sanzioni economiche contro la Russia e poiché gli Stati Uniti stanno percorrendo un delicato equilibrio sulle proprie iniziative informatiche. Il 24 febbraio, diversi funzionari della Casa Bianca hanno negato, come riportato in precedenza da NBC News, che l’amministrazione Biden stesse prendendo in considerazione molteplici “opzioni” di coinvolgimento informatico “su una scala mai contemplata prima”.
Gli utenti dovrebbero digerire qualsiasi video virale e notizia con cautela, in particolare durante questo conflitto, poiché l’aggressore principale ha una comprovata storia di guerra dell’informazione . Vale anche la pena ricordare che durante la guerra anche le segnalazioni da fonti attendibili possono essere basate su informazioni imprecise, incomplete o non aggiornate.
Il rischio delle truffe
Nel 2020, con l’aumento drammatico delle infezioni da COVID-19 al punto da creare ufficialmente una pandemia globale, i truffatori online si sono lanciati , inviando e-mail fasulle chiedendo donazioni a falsi enti di beneficenza e registrando migliaia di domini correlati al COVID-19 per indurre le vittime inconsapevoli a strisciare i loro soldi o le credenziali del loro conto.
Con l’invasione russa dell’Ucraina, è probabile che accadrà la stessa strategia, poiché i truffatori online cercano costantemente l’ultima crisi per sfruttare un attacco.
Quando le è stato chiesto su Twitter un consiglio su quali organizzazioni donare per aiutare l’Ucraina, l’utente @RegGBlinker ha affermato che, dopo aver letto un elenco di tali organizzazioni, ne ha trovate molte che sollevavano sospetti.
Lo stesso utente di Twitter ha già compilato un thread che si collega a più altri utenti di Twitter che hanno offerto personalmente il proprio aiuto alla sicurezza informatica alle piccole e medie imprese (PMI) colpite dagli attacchi in Ucraina.
Allo stesso tempo, diverse aziende e organizzazioni hanno iniziato a offrire il proprio supporto. F-Secure, ad esempio, offre il suo strumento VPN gratuitamente a chiunque si trovi in Ucraina e The Tor Project ha rilasciato un canale di supporto per gli utenti di lingua russa che desiderano aiuto nella configurazione di Tor.
Il thread completo sul supporto può essere trovato qui .
Per qualsiasi altra offerta di donazione che gli utenti ritengono possa essere una truffa, fidati delle stesse regole che si applicano alle e-mail di phishing: ci sono errori di ortografia, errori grammaticali, mittenti sconosciuti o enti di beneficenza sconosciuti coinvolti nella richiesta? Controlla te stesso prima di consegnare denaro.
Il rischio di puntare troppo sull’Ucraina
Mentre l’Ucraina è in crisi, diversi attori di minacce online hanno continuato le proprie campagne di assalto.
Il 24 febbraio, diversi punti vendita hanno riferito che una banda di ransomware che la società di sicurezza informatica Mandiant identifica come “UNC2596” stava sfruttando le vulnerabilità di Microsoft Exchange per fornire il suo ransomware preferito, colloquialmente soprannominato “Cuba”. Lo stesso giorno, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha annunciato di aver individuato “operazioni informatiche dannose da parte di attori di minacce persistenti avanzate (APT) sponsorizzati dal governo iraniano noti come MuddyWater”. Questi attacchi hanno preso di mira organizzazioni governative e del settore privato in Asia, Africa, Europa e Nord America .
Una crisi umana internazionale non è in alcun modo motivo di inazione da parte degli attori delle minacce online. Le organizzazioni dovrebbero seguire la stessa guida che avevano prima per proteggersi dalle minacce online più comuni.
Come il direttore della CISA Jen Easterly ha avvertito su Twitter :
“Anche se rimaniamo concentrati sulle attività informatiche dannose russe, non possiamo non vedere dietro gli angoli”.
