Ransomware: industria e sanità pubblica sono il prossimo obiettivo

  • Pubblicato: 15/02/2017
Ransomware: industria e sanità pubblica sono il prossimo obiettivo

 La minaccia rappresentata dai ransomware comincia ad assumere un carattere sempre più serio e preoccupante, a causa della presa di coscienza delle potenzialità di questo strumento, da parte dei malintenzionati di tutto il mondo. Nato come metodo illegale per estorcere qualche centinaio di dollari a privati cittadini, poco attenti ai fenomeni del web, il campo d'azione dei ransomware è in continua espansione e, stando a quanto emerso nel corso dell'edizione 2017 della RSAConference, il prossimo obiettivo è rappresentato dal mondo dell'industria e della sanità pubblica.

Questi due settori, infatti, condividono un particolare punto debole, ovvero l'adozione di sistemi informatici datati e non protetti contro le moderne minacce. Sia chiaro, chiunque conosca le meccaniche che muovono il ricambio generazionale di queste apparecchiature, è a conoscenza del fatto che il loro aggiornamento è spesso ostacolato da importanti fattori di stabilità e di contenimento dei costi. Passare ad una piattaforma più recente può compromettere la stabilità di un intero impianto industriale, visto che la compatibilità con i macchinari più vecchi non è assolutamente garantita.

Parliamo principalmente del PLC, ovvero il Controllore a Logica Programmabile, un componente hardware che ha lo scopo di automatizzare i processi del quadro elettrico a cui è collegato, in modo da tenerli operativi 24 ore su 24 e 365 giorni all'anno. Esistono moltissime versioni di PLC, realizzati da varie aziende in base al compito che deve svolgere, e la caratteristica peculiare di questo elemento è la sua elevata resistenza fisica, dal momento che deve operare in situazioni ad alta interferenza elettromagnetica o in presenza di temperature particolarmente elevate; d'altro canto, però, si tratta anche di uno strumento abbastanza basilare, spesso dotato di sistemi di sicurezza non particolarmente efficaci.

Il motivo risiede nel fatto che, trattandosi di un'apparecchiatura estremamente specializzata, vista la sua flessibilità, il compito di offrire un adeguato livello di sicurezza è spesso affidato ai firewall della rete interna della società, lasciando al PLC la possibilità di effettuare controlli minimi sulle password inserite. Inoltre, in alcuni casi particolari, i PLC non richiedono che un accesso venga autenticato nel caso in cui questo provenga dall'interno della rete a cui è collegato, dal momento che il sistema dà per scontato che si tratti di uno autorizzato.

Questa lunga, ma necessaria, introduzione ai PLC ci permette di capire quali sono le principali criticità della piattaforma e quali sono i rischi evidenziati da un team di ricercatori del Georgia Institute of Technology durante l'ultima RSAConference. Il gruppo in questione ha ricostruito l'infrastruttura relativa ad un impianto di trattamento delle acque e ha realizzato un ransomware in grado di prenderne il totale controllo. In questo modo è stato possibile simulare un attacco a scopo di estorsione, nel quale l'attaccante minaccia di alterare i livelli di cloro nell'acqua, rendendola quindi tossica. L'aspetto positivo della vicenda è che il ransomware utilizzato è stato realizzato dal team di ricerca, quindi non è a disposizione di eventuali malintenzionati, almeno per ora. L'aspetto estremamente negativo, invece, risiede nell'aver messo in luce una criticità che riguarda i già citati settori dell'industria e della salute pubblica, entrambi particolarmente ancorati a tecnologie potenzialmente a rischio.

Si stima che quasi 3000 PLC abbiano accesso diretto a internet e un attacco nei loro confronti, assumendo una media di 10.000 dollari a riscatto, potrebbe fruttare sino a 7.5 milioni di dollari nelle tasche dei gruppi di malintenzionati, secondo un calcolo stimato al ribasso. A questi vanno sommati tutti i PLC non direttamente connessi a internet, quindi quelli accessibili solo attraverso una rete intranet aziendale. Nonostante questi siano maggiormente protetti dal rischio di un attacco diretto, come evidenziato prima, ciò non garantisce la loro inaccessibilità nel momento in cui è il firewall aziendale ad essere messo sotto scacco. Alcuni PLC, come ad esempio il modello M24 di Schneider Electric, non dispongono neanche di un sistema di protezione contro gli attacchi brute-force, lasciando quindi la possibilità agli attaccanti di tentare l'accesso un numero indefinito di volte.

Come abbiamo visto nell'esempio messo in pratica dal team di ricerca, questo tipo di attacchi mira a colpire alcuni punti nevralgici del sistema; non solo impianti di depurazione delle acque, ma anche quelli semaforici, sistemi ferroviari, centrali elettriche, strutture ospedaliere e molti altri aspetti chiave della vita di tutti i giorni sono costantemente a rischio; considerando l'importanza di questi settori, la probabilità che il riscatto venga pagato immediatamente è molto alta e questo induce altri gruppi ad effettuare lo stesso tipo di attacco, secondo il più classico spirito emulativo.

Il numero di questi attacchi è in costante aumento e i casi testimoniati sino ad ora, come uno avvenuto ai danni dei semafori di San Francisco o quello relativo al blackout di Kiev, non sono altro che i primi segnali di un fenomeno che, nei prossimi tempi, si appresta a diventare sempre più diffuso e pericoloso.


  • hp
  • intel
  • dell
  • fujitsu
  • gigaset
  • synology
  • veeam
  • vmware
  • zyxel
-->