Kaspersky ICS CERT ha appena pubblicato il Report “Threat landscape for the ICS engineering and integration sector. 2020” che illustra come il panorama delle minacce per i computer nel settore dell’ingegneria e dell’integrazione ICS varia a seconda dell’ambiente del computer, inclusa la sua posizione geografica, la capacità di accedere a reti e servizi esterni e il comportamento degli utenti.
Oggetto della ricerca
Per questa ricerca gli esperti hanno analizzato le minacce informatiche bloccate sui computer utilizzati per progettare, configurare e mantenere apparecchiature e software di controllo industriale su cui sono installati vari pacchetti software per l’industria di ingegneria e integrazione ICS, tra cui interfaccia human-machine (HMI), OPC gateway, ingegneria, software di controllo e acquisizione dati.
La percentuale di computer su cui è stato bloccato il malware
La percentuale di computer nel settore dell’ingegneria e dell’integrazione di ICS su cui il malware è stato bloccato nel secondo semestre 2020 (39,3%) era superiore alla percentuale nel primo semestre 2020 (31,5%). Gli ultimi sei mesi del 2020 hanno visto anche un aumento delle percentuali per diversi settori, tra cui automazione degli edifici, produzione automobilistica, energia e petrolio e gas, sebbene l’aumento maggiore (7,8 punti percentuali) sia stato nel settore dell’ingegneria ICS.
Geografia
La percentuale di computer ICS in ambienti di ingegneria ICS che avevano malware bloccato in America Latina, Medio Oriente, Asia e Nord America di loro nella seconda metà del 2020 era superiore alla percentuale del primo semestre 2020, in contrasto con l’Africa, la Russia e l’Europa, dove la percentuale per il secondo semestre 2020 era inferiore a quella per il primo semestre 2020.
La regione del Nord America ha mostrato l’incremento percentuale più elevato (15,1 punti percentuali) nella seconda metà del 2020 (22,8%), principalmente associato all’aumento del numero di webminer bloccati. La seconda regione che ha mostrato un aumento percentuale significativo (12,7 punti percentuali) nella seconda metà del 2020 (54,6%) rispetto alla prima metà del 2020 (41,9%) è stata il Medio Oriente. L’aumento nella regione del Medio Oriente è stato principalmente dovuto a un’epidemia di moduli AutoLISP a caricamento rapido che si sono diffusi all’interno di progetti AutoCAD infetti e altri worm auto-propaganti che si diffondono tramite USB.
Le società di ingegneria ICS nelle regioni dell’Europa meridionale e orientale hanno riscontrato principalmente e-mail di phishing utilizzate per fornire spyware e cryptominer, che di solito sono in grado di diffondersi all’interno di una rete sia automaticamente che manualmente. Questi worm utilizzano varie tecniche per la propagazione di rete, come l’abuso delle credenziali, lo sfruttamento delle vulnerabilità (SMB, MS SQL, RDP, ecc.) e le credenziali di brute force.
Ambiente
L’ambiente di un computer nel settore dell’ingegneria e dell’integrazione ICS influisce in modo significativo sul panorama delle minacce del computer. Ad esempio, è probabile che un computer isolato sia meno vulnerabile agli attacchi rispetto a un computer che ha accesso a Internet o che viene utilizzato al di fuori di un perimetro di rete protetto (ad esempio, laptop).
Computer portatili vs desktop
Il set di dati mostra la percentuale di computer laptop (29,7%) e desktop (70,3%) utilizzati nell’ingegneria e integrazione ICS.
Rispetto ai computer desktop, i computer portatili utilizzati nel settore dell’ingegneria ICS mostrano un tasso più elevato di minacce fornite con contenuti Internet, dispositivi multimediali rimovibili, client di posta elettronica e cartelle di rete.
Ciò significa che un laptop utilizzato nel settore dell’ingegneria ICS di solito ha meno protezione (più vulnerabile agli attacchi) rispetto a un desktop e allo stesso tempo i laptop di solito hanno le stesse autorizzazioni dei desktop protetti in un ambiente ICS.
Software VPN
Sia i computer portatili che quelli desktop utilizzati nell’ingegneria e nell’integrazione di ICS possono essere suddivisi in gruppi di computer che utilizzano software VPN (15%) e in quelli che non lo fanno (85%) e analizzati ulteriormente.
I computer nel settore dell’ingegneria ICS che utilizzano software VPN hanno chiaramente una superficie di attacco inferiore e, in particolare, incontrano meno minacce Internet che di solito vengono fornite insieme al contenuto dei servizi web. Ciò è probabilmente dovuto al fatto che coloro che utilizzano il software VPN tendono ad essere più attenti alla sicurezza o la configurazione del loro tunnel VPN è progettata per instradare tutto il traffico attraverso il tunnel, che potrebbe avere misure di sicurezza di rete in atto per filtrare i contenuti pericolosi.
Allo stesso tempo, i computer con software VPN mostrano una percentuale più alta di minacce fornite tramite supporti rimovibili e cartelle di rete.
Di tanto in tanto, i vari virus e worm che si sono diffusi per un decennio tra i computer in ambienti ICS tramite dispositivi USB o cartelle di rete colpiscono i computer degli ingegneri ICS. Tali minacce sono state bloccate più spesso sui computer con software VPN.
Software di accesso remoto
I computer nel settore dell’ingegneria ICS con e senza software di accesso remoto (rispettivamente 64,6% e 35,4%) hanno un panorama di minacce abbastanza simile ad eccezione delle minacce fornite con contenuto Internet: la percentuale per questo tipo di minaccia è significativamente inferiore per i computer su cui è stato utilizzato software di accesso remoto.
Alcuni computer che utilizzano software di accesso remoto evidentemente utilizzano anche software VPN, nel frattempo utilizzano Internet meno frequentemente rispetto ai computer senza software di accesso remoto.
Sebbene i computer che utilizzano software di accesso remoto mostrino una percentuale inferiore di minacce Internet, riscontriamo molti casi di attacchi a servizi di rete come SMB, MS SQL e RDP. La maggior parte di questi attacchi è dovuta a epidemie di worm in una sottorete (fisica o virtuale). Questi worm utilizzano Mimikatz e si diffondono sulla rete abusando di credenziali rubate, sfruttando una vulnerabilità RCE o eseguendo con successo attacchi di forza bruta su un servizio di rete.
Il rapporto completo è disponibile al seguente link:
