Il ransomware sugli OT è un'arma altamente efficace per risolvere i problemi geo-politici.

Aggiornato il: lug 22


Questo è quanto riporta un veterano esperto in sicurezza informatica OT (Operational technology) Mark Carrigan il quale dice che l'attacco alla Colonial Pipeline, poteva andare peggio, molto ma molto peggio.

“Quando si tratta di produzione, c'è un dispositivo in campo che riceve un segnale. Quel segnale torna a un computer che elabora le informazioni ed invia un altro segnale per intraprendere un'azione fisica che consente che la produzione avvenga. Potrebbe aprire una valvola per creare più vapore in modo da poter creare più elettricità. Oggi, la produzione moderna, soprattutto nelle infrastrutture critiche e in molti altri settori, si basa su OT"

ha affermato. Infatti questo spiega la differenza sostanziale tra tecnologia dell'informazione (IT) e tecnologia operativa (OT).



Il ransomware è ora una minaccia esistenziale per il business, ha affermato Anthony Belfiore, Chief Security Officer dell'assicuratore Aon. Quando lavorava per JP Morgan Chase, la banca è stata colpita dal governo iraniano con attacchi DDoS (distributed denial of service) mirati per sei mesi consecutivi. Ma, come ha detto Belfiore, non era una minaccia essenziale per la produttività. Era solo fastidioso.



Sarebbe ingiusto puntare il dito contro le aziende che vengono attaccate con i ransomware, afferma Mark Carrigan. Anche se avrebbero potuto fare di più nel proteggersi da possibili attacchi, abbiamo a che fare con imprese criminali che ora investono milioni di dollari nelle loro attività, questi soldi spesso derivanti dagli introiti degli stessi riscatti che fagocitano alle organizzazioni che attaccano.



"Anche gli OT sono computer, ma hanno caratteristiche molto diverse dall'IT tradizionale. Una delle principali differenze è l'età. Le società di infrastrutture critiche, come raffinerie o centrali elettriche, possono avere OT vecchi di 10-15 o anche di 30 anni."

La domanda che sorge spontanea è “Perché sono così vecchi?


Il primo motivo è che risulta molto costoso cambiarli. "La programmazione e l'ingegneria che ne derivano sono molto delicate e la migrazione a un nuovo sistema non è un compito facile", riporta Carrigan. Inoltre, anche se questo venisse aggiornato, il design di base dei nuovi sistemi di controllo industriale è solitamente "insicuro per progettazione".



Cose come lo zero-trust non potrebbe essere applicato nel mondo OT, ha spiegato Carrigan.


A causa dell'età di questi sistemi e delle loro differenze, spesso ci sono gravi problemi di compatibilità, e questo non permette di applicare le buone pratiche di una corretta sicurezza dei dispositivi OT.

“In molti casi, è proprio la tecnologia IT che hai applicato al mondo OT a renderlo insicuro. La tecnologia IT può causare malfunzionamenti e disconnessioni. L'altro grosso problema è l'affidabilità, specialmente nei processi critici per la sicurezza. Che si tratti di produzione offshore di petrolio o di una centrale elettrica, queste cose devono essere disponibili 24 ore su 24, 7 giorni su 7. Non si possono mettere offline i sistemi di sabato per implementare una patch. Non si può smontare quel sistema a causa del grave impatto sulla produzione”,

ha spiegato Carrigan.



Inoltre, potrebbero essere coinvolti in un sistema OT, prodotti di centinaia di fornitori diversi. Tutto questo non fa altro che aumentare la sfida.

"I nostri avversari stanno imparando a conoscere queste applicazioni software, le acquistano, capiscono quali vengono utilizzate frequentemente e le sfruttano per ottenere l'accesso"

ha affermato Carrigan.


Steve Katz, ex CISO di Citi Group e veterano del settore da 40 anni, ha affermato che il ransomware ha aumentato la redditività nel tempo. I criminali richiedevano centinaia di migliaia di dollari come riscatto, ma ora avere i tuoi file decifrati costa molto di più, fino a ben 70 milioni di dollari, come abbiamo visto nell'universal decrypt di REvil nell'attacco di Kaseya.


Gli sviluppatori di ransomware non sono persone stupide, ha sostenuto. Sono ben finanziati e gestiscono il loro modello di business per ottenere una parte del prezzo semplicemente affittando ransomware ad altri criminali.



“L'unico modo per superarlo è fermarci alla fonte. Finché ci sono paesi in cui i criminali informatici regnano liberamente, abbiamo un grosso problema. Questo deve essere affrontato ai più alti livelli del governo. Penso che oggi questo stia avvenendo."

ha detto Katz.