Ekans rappresenta un’evoluzione nuova e profondamente preoccupante dei malware nei sistemi di controllo industriale.
Negli ultimi cinque anni, il ransomware è emerso come una minaccia che ha chiuso fabbriche, ospedali, comuni e distretti scolastici di tutto il mondo.
In questo contesto di rischio informatico alcuni ricercatori di sicurezza informatica hanno scoperto che un nuovo ceppo di ransomware stava facendo qualcosa di potenzialmente più sinistro che limitare l’accesso ad un sistema e richiedere un riscatto, ovvero manomettere intenzionalmente i sistemi di controllo industriale IC su cui si basano dighe e centrali elettriche per mantenere le apparecchiature in sicurezza.
Questa nuova varietà di ransomware identificata il mese scorso e soprannominata Ekans contiene infatti oltre le solite routine per disabilitare i backup dei dati e i file di crittografia di massa su sistemi infetti qualcos’altro che potrebbe potenzialmente essere più dirompente: un codice che cerca attivamente e blocca forzatamente le applicazioni utilizzate nei sistemi di controllo industriale ICS.
Prima di iniziare le operazioni di crittografia dei file, il ransomware termina i processi ICS elencati per nome processo in un elenco hardcoded all’interno delle stringhe codificate del malware.
Un Ransomware con funzionalità specifica ICS
Come accennato, per sistemi di controllo industriale (ICS) si intendono diversi tipi di sistemi di controllo e strumentazione associata, che includono i dispositivi, i sistemi, le reti e i controlli utilizzati per far funzionare e / o automatizzare i processi industriali. A seconda del settore, ogni ICS funziona in modo diverso e sono costruiti per gestire elettronicamente le attività in modo efficiente.
Oggi i dispositivi e i protocolli utilizzati in un ICS sono utilizzati in quasi tutti i settori industriali e infrastrutture critiche come l’industria manifatturiera, dei trasporti, dell’energia e del trattamento delle acque.
Esistono diversi tipi di ICS, i più comuni dei quali sono i sistemi di controllo di supervisione e acquisizione dati (SCADA) e i sistemi di controllo distribuito (DCS).
Le operazioni locali sono spesso controllate dai cosiddetti dispositivi di campo che ricevono comandi di supervisione da stazioni remote.
Il nuovo ransomware Ekans termina 64 processi ICS, inclusi quelli generati da interfacce uomo-macchina di Honeywell, lo storico Proficy di General Electric e server di licenze di GE Fanuc.
Ekans, un’evoluzione malware “preoccupante”
Interrompendo le operazioni in ospedali, fabbriche e altri ambienti mission-critical, il ransomware ha sempre rappresentato una minaccia per la sicurezza.
In un articolo pubblicato questa settimana, i ricercatori di sicurezza hanno definito Ekans come un malware che denota un livello di intenzionalità “preoccupante” nel colpire i sistemi di controllo industriale e assente dai comuni ransomware che quotidianamente colpiscono le imprese di tutto il mondo.
Gli attacchi Ekans e alcune versioni di un altro malware chiamato MegaCortex devono quindi essere interpretati in un’ottica diversa in quanto la funzionalità specifica di ICS è direttamente referenziata all’interno del malware.
Come conseguenza i proprietari e gli operatori di asset ICS sono d’ora in avanti fortemente incoraggiati a rivedere la loro superficie di attacco e determinare i meccanismi per fornire adeguate contromisure a questa nuova minaccia.
Cosa serve per prevenire un attacco ICS?
I cyber incidenti ICS hanno avuto un impatto su reti elettriche, centrali elettriche, centrali nucleari, impianti idroelettrici, impianti chimici, raffinerie, impianti di produzione e trasporto in tutto il mondo.
Gli impatti hanno spaziato da rilasci ambientali di sostanze inquinanti a danni significativi alle apparecchiature, a interruzioni elettriche diffuse a lesioni al personale addetto.
Le minacce informatiche specifiche di ICS sono reali e diverse dalle tipiche minacce IT.
Sfortunatamente, molti dispositivi ICS non sono ancora sicuri by default e design e molti ICS legacy non possono implementare le tecnologie di sicurezza IT e il divario culturale esistente tra l’organizzazione IT e le organizzazioni dei sistemi di controllo aggrava le minacce fisiche nel tentativo di proteggere gli ICS.
Pertanto, la protezione degli ICS richiede una combinazione di tecnologie di sicurezza informatica adeguate, architettura segmentata e comprensione dettagliata dei sistemi globali in qualsiasi momento. Ciò include sapere quale hardware, software e firmware è stato effettivamente installato, se è stato modificato, come è stato collegato e a cosa è interconnesso all’interno e all’esterno della struttura.
Tuttavia, va detto, non sembra ancora esserci sufficiente comprensione nel settore o desiderio di affrontare questi problemi molto critici.
Uno sforzo significativo deve essere fatto a tutti i livelli di gestione all’interno del governo e dell’industria prima che sia troppo tardi.
Conclusioni
In conclusione, non è ancora chiaro se la responsabilità di questa nuova minaccia informatica mirata all’industria spetti ad hacker sponsorizzati da qualche Stato o ai veri criminali informatici che cercano di realizzare profitto attaccando nuovi settori.
Quello che è certo è che gli exploit che hanno come obiettivo il danneggiamento di processi fisici industriali possono considerarsi come il santo Graal in una guerra cibernetica.
