Nella prima metà del 2022, sono stati bloccati elementi dannosi su un computer OT su tre, secondo il panorama delle minacce ICS di Kaspersky ICS CERT. La maggior parte degli attacchi contro le aziende industriali sono stati effettuati usando script dannosi e pagine di phishing (JS e HTML). Le infrastrutture di building automation si sono rivelate le più “problematiche”: quasi la metà dei computer (42%) ha dovuto affrontare minacce informatiche. Poiché questi sistemi possono non essere completamente separati dalle reti delle organizzazioni situate nell’edificio, rappresentano un interessante obiettivo di accesso iniziale per gli attaccanti.
Nella prima metà del 2022, quasi il 32% dei computer OT protetti dalle soluzioni Kaspersky ha bloccato oggetti dannosi. Questi computer sono utilizzati nei settori oil & gas, energia, automotive, infrastrutture di building automation e molti altri per svolgere una serie di funzioni OT, dalle workstation di ingegneri e operatori ai server di controllo di supervisione e acquisizione dati (SCADA) e alle Human Machine Interface (HMI).
Minacce in aumento nel primo semestre del 2022: script dannosi, pagine di phishing e spyware
Negli ultimi sei mesi, la maggior parte delle volte, gli autori hanno tentato di attaccare i computer industriali utilizzando script dannosi e pagine di phishing (JS e HTML): questi oggetti sono stati bloccati su quasi il 13% del numero totale di computer protetti. Questa categoria di minacce ha anche mostrato la crescita più dinamica rispetto al semestre precedente, con un aumento di 3,5 punti percentuali.
Gli script dannosi e le pagine di phishing sono uno dei metodi più comuni per diffondere spyware. Nel primo semestre del 2022 è stato rilevato sul 9% dei computer OT, con un aumento di 0,5 punti percentuali tra il primo semestre del 2022 e il secondo del 2021. L’altro modo in cui lo spyware può essere diffuso è tramite e-mail di phishing con allegato un documento dannoso. Kaspersky riporta un drastico aumento di quasi due volte, fino a quasi il 6%, della percentuale di computer OT in cui sono stati bloccati documenti dannosi.
“È fondamentale proteggere gli endpoint OT e quelli IT con una soluzione dedicata, configurata correttamente e costantemente aggiornata. La rete OT deve essere separata, tutte le connessioni e le comunicazioni remote devono essere protette, monitorate e controllate, impedendo qualsiasi accesso non autorizzato. Un approccio proattivo all’identificazione e all’eliminazione di possibili vulnerabilità e minacce rilevanti potrebbe far risparmiare milioni di euro sui costi degli incidenti”, ha commentato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.
La building automation è risultata essere il tipo di infrastruttura OT più “problematica”
Quasi la metà dei computer (42%) delle infrastrutture per la building automation, anche dette Building Management Systems (BMS), ha subito minacce informatiche. Questi computer appartengono normalmente a società di servizi, che gestiscono sistemi automatizzati in aziende o centri commerciali, comuni e altri tipi di infrastrutture pubbliche. Per quanto riguarda gli impianti industriali e le infrastrutture critiche, spesso possiedono i sistemi di gestione degli edifici in loco.
Nel primo semestre del 2022 i Building Management Systems (BMS) sono diventati il tipo di infrastruttura OT più “problematica” in termini di attività degli attaccanti, occupando le prime posizioni per la percentuale di dispositivi colpiti da diverse fonti di minaccia, in particolare risorse Internet (23%), allegati e-mail dannosi e link di phishing (14%, due volte di più rispetto alla media globale), documenti dannosi (11%), trojan, backdoor e keylogger (13%) e altri.
I tecnici e gli operatori di building automation usano le risorse Internet e le e-mail più attivamente rispetto ad altre infrastrutture OT. Inoltre, i BMS possono non avere un’adeguata separazione dalle altre reti interne fisicamente situate nell’edificio e, pertanto, possono essere un bersaglio interessante per i threat actor più sofisticati.
“É naturale che questo tipo di ambienti subisca l’impatto dell’attività degli attaccanti per la loro elevata esposizione e il loro stato di maturità relativamente basso in materia di cybersecurity. I criminali informatici compromettono sistemi che potrebbero potenzialmente avere connessioni con le reti interne di fabbriche, spazi pubblici o persino infrastrutture pubbliche, i sistemi possono gestire un intero quartiere con accesso al controllo dell’illuminazione, alla gestione del traffico stradale e alle relative informazioni così come altri tipi di servizi per i cittadini: un vero e proprio “gioco da ragazzi” per i criminali. L’aspetto più allarmante è che il 14% di tutti i computer dei Building Management Systems (BMS) sono stati attaccati con l’uso di e-mail di phishing, una percentuale 2 volte superiore alla media globale”, ha affermato Kirill Kruglov, Senior Researcher di Kaspersky ICS CERT.