Di recente il gruppo Sandworm ha tentato di attaccare la rete elettrica Ucraina utilizzando una nuova versione del malware Industroyer, Industroyer2. Scopriamo insieme i dettagli.
L’Ucraina presa di mira da Industroyer2
L’Ucraina è riuscita a sventare l’ultimo attacco alla sua rete elettrica, bloccando definitivamente il malware potenziato del gruppo Sandworm, Industroyer2.
Per evitare di trovarsi in una situazione spiacevole, Nozomi Networks spiega in che modo proteggersi da malware simili. Il nuovo pacchetto Threat Intelligence dell’azienda offre le regole IoC di Industroyer2 che rileveranno e avviseranno i clienti di qualsiasi attività nota legata al malware; inoltre l’azienda che fornirà ulteriori informazioni una volta che i campioni rilevanti saranno analizzati a fondo.
Alla luce del tentativo di attacco, il Director Cybersecurity Strategy di Nozomi Networks, Chris Grove, commenta:
Tutti coloro che operano nel settore delle infrastrutture critiche dovrebbero prestare particolare attenzione a questo attacco, perché è tra i pochi che ha colpito direttamente i sistemi OT. Secondo Nozomi Networks Labs, ci sono state segnalazioni di alcuni IP hardcoded nel campione di malware, indicazione che gli attori della minaccia avevano una conoscenza profonda dell’ambiente. Proprio come nel caso del malware che Sandworm aveva distribuito in Ucraina nel 2016, anche questa volta gli operatori ICS devono monitorare le loro reti per identificare ogni attività inconsueta poiché le tattiche russe prevedono una permanenza negli ambienti per settimane o mesi prima di colpire.
Come migliorare la protezione dei sistemi
- Igiene informatica di base: reimpostare le password, controllare l’accesso e le autorizzazioni di account/rete di dipendenti e fornitori, scansionare la rete per qualsiasi porta aperta e chiuderla;
- Applicare le regole YARA per identificare e generare avvisi sull’attività malware associata;
- Utilizzare strumenti di rilevamento delle anomalie per individuare eventuali modifiche o variazioni al malware, nonché qualsiasi attività illegittima che si verifica negli ambienti OT;
- Avvalersi di un firewall automatico insieme a uno strumento di rilevamento delle anomalie per fermare ulteriori comandi di attacco;
- Cercare minacce per attività sospette in rete per scoprire gli aggressori il più precocemente possibile.
L’azienda raccomanda, tra le altre cose, di aderire all’advisory CISA 2017 nel caso queste misure di sicurezza non fossero già state implementate. Nozomi Networks continuerà a monitorare la situazione e a fornire aggiornamenti su ciò che sta accadendo.