Cyber sicurezza Italia e Ucraina, come proteggersi da eventuali attacchi e dal nuovo malware individuato

La guerra che si sta combattendo in Ucraina, come ormai abbiamo imparato bene, non è solo questione di bombe e sconfinamenti fisici della Russia – seppure siano le immagini che maggiormente colpiscono e che invadono i social e l’informazione online nel clima febbrile che respiriamo dalle 4 di questa mattina -. Spostiamoci sul fronte cyber security: nella giornata di ieri, preludio online di quello che sarebbe accaduto nella notte offline, i siti delle istituzioni e delle banche dell’Ucraina sono stati messi fuori uso da un attacco DDoS su larga scala. Europa e America stanno allertando i propri esperti di cyber sicurezza non solo per assistere l’Ucraina ma anche per proteggere i sistemi dei propri paesi, consci che la lotta si svolge anche a questo livello e che le conseguenze di una mancata protezione potrebbero essere gravissime per la quotidianità dei cittadini che sono lontani dalle bombe. Ecco allora che, anche per quanto riguarda la cyber security Italia, arriva l’avvertimento del CSIRT – l’istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) – sul nuovo malware HermeticWiper.

LEGGI ANCHE >>> Cosa sappiamo del massiccio attacco hacker ai siti istituzionali ucraini

Cyber security Italia e Ucraina, il malware wiper che ci mette a rischio

Il CSIRT ha pubblicato una serie di nuovi indicatori di Compromissione, ovvero le prove che si è verificato un attacco informatico. Gli IoC non solo forniscono informazioni su quanto già accaduto ma tornano utili quando si tratta di prepararsi al futuro e per azioni preventive e di protezione. L’istituto – che aveva già precedentemente parlato di «possibili rischi cyber derivanti dalla situazione ucraina» – ha fatto sapere che risulta essere stato distribuito il malware denominato HermeticWiper (alias KillDisk.NCV) di tipo “wiper”.

Lo scopo di questo tipo di virus è quello di distruggere intenzionalmente i dati presenti sui dispositivi infettati rendendoli, di fatti, irrecuperabili e minando al funzionamento corretto del sistema operativo in esecuzione – spiega il CSIRT -. Vengono poi messi a disposizione gli indicatori di compromissione in allegato con la massima raccomandazione ad elevare il livello di attenzione delle infrastrutture nazionali in materia cyber.

Le azioni di mitigazione necessarie per proteggere le infrastrutture digitali italiane

Il CSIRT ha pubblicato una serie di consigli ben precisi per arginare i rischi di subire un attacco malware allo stato attuale delle cose, tra gli altri segnaliamo: «Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business; Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale; Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud».

Per quanto riguarda, invece, il lato tecnico: «Prioritizzazione delle attività di patching dei sistemi internet-facing; Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale; Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione; Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell)».