Pillole
Visite: 4434

Gli attacchi ransomware si stanno evolvendo rapidamente per colpire gli endpoint dei sistemi di controllo industriale (ICS) in tutto il mondo con un aumento significativo dell'attività durante l'ultimo anno.

Un esempio è stato l'attacco a Colonial Pipeline da parte del gruppo Dark Side.

Un rapporto dei ricercatori di Trend Micro mette in evidenza questa tendenza dominante.
Le reti ICS che supportano le utenze critiche, come acqua ed elettricità, devono essere pienamente operative per fornire servizi.

Più a lungo tali reti rimangono inattive, maggiore è l'interruzione di servizio provocata e maggiore è il danno.


Secondo il rapporto, i recenti attacchi ransomware sono solo motivati finanziariamente poiché colpire le reti ICS nelle fabbriche operative e negli ambienti di produzione aumenta le probabilità che il riscatto venga pagato.


I criminali informatici utilizzano diversi tipi di ransomware che prendono di mira ICS. Tuttavia, quattro famiglie più rappresentate sono Ryuk, Nefilm, Revil e LockBit, che insieme rappresentano oltre la metà di questi attacchi.


Secondo il rapporto, gli Stati Uniti sono uno dei paesi più presi di mira seguiti da India, Taiwan e Spagna.

Pillole
Visite: 4662
Spesso e volentieri mi ritrovo a dover rivedere alcune ricerche effettuate sul web con uno specifico motore di ricerca, il più delle volte non ricordo il contesto oppure la giusta frase o termine usato nella ricerca.
#MyLastSearch della #NirSoft ci da una mano, permette la scansione della cache e dei file di cronologia del browser Web e individua tutte le query di ricerca effettuate con i motori di ricerca più popolari (#Google, #Yahoo e #MSN) e con i siti di social networking più diffusi (#Twitter, #Facebook, #MySpace).
Le query di ricerca effettuate vengono visualizzate in una tabella, è possibile salvarla in un file di testo/html/xml.

Pillole
Visite: 4868
Sempre nell'ottica di realizzare un buon arsenale di strumenti utili allo scopo, oggi vi propongo una utility funzionale #Bstrings.
Anche questa proveniente dal gruppo di applicazioni di Eric Zimmerman.
#Bstrings viene usata per cercare in qualsiasi tipo di file informazioni potenzialmente preziose ad una indagine.
Esempio:
Bstrings -f NomeFile --lr ipv4
Ci mostra gli eventuali indirizzi IPV4, presenti nel file binario che si sta esaminando.
Bstrings -f NomeFile --ls "Testo da ricercare"
Ci mostra la presenza di un testo all'interno del file.
Buon divertimento.

Pillole
Visite: 5105

Di attacchi di falsificazione ne esistono fin troppi per una trattazione generalizzata; prendiamone dunque in considerazione uno: l'ARP Poisoning (o spoofing).

Questa tecnica viene utilizzata per ridirigere "fisicamente" il traffico in essere tra due peer operanti in un medesimo dominio di broadcast attraverso un "terzo incomodo"; questa è parte dell'arsenale sia dei Red Team che dei Blue Team: per i primi con finalità di strumentare un attacco MiM, per i secondi con l'intento di eseguire una analisi (sniffing) di traffico non altrimenti intercettabile per difetto di predisposizione dell'infrastruttura (assenza di TAP o SPAN).

Contrastare con tecniche "attive" questa tipologia di attacco dovrebbe presupporre una analisi di tutto il traffico ARP comparandolo con un censimento di MAC noti e autorizzati. Un bel problema, anche per apparati di analisi dedicati come gli IDS (che potrebbe solo generare un laconico quanto allarmante avviso, con una quantità delle regole necessaria a dir poco spropositata). Firewall e IPS sono anche questi fuori gioco in quanto questo tipo di attacco si pone nel medesimo dominio di broadcast, che è spezzato da questi per loro natura.

In generale ci si affida così maggiormente a difese "passive" come il port-security (denominazione di Cisco) degli switch che impedisce a MAC non censiti di attestarsi sulla rete, oppure alle tabelle ARP statiche.

Purtroppo però impersonare una postazione autorizzata mediante una altro apparato fisico è ancora possibile (cambiando il MAC della scheda). Dunque l'accesso fisico alla rete da parte di un agente di minaccia (con rogue devices) resta ancora un problema enorme e difficile da difendere.

Verificare la predisposizione di una rete a questo tipo di attacco è comunque un dovere per indicare almeno se sia stato garantito almeno il profilo massimo di difesa possibile.

  1. Evoluzione del modello estorsivo dei Ransomware
  2. Initial Access Broker e Ransomware Threat Group entrano in partnership
  3. Il Ransomware Avaddon chiude i battenti
  4. Come un malware può Killare un antivirus.

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.