Avete mai sentito parlare di siegeware? Questo tipo di ransomware esiste da tempo, ma se ne parla raramente. Gli attacchi agli edifici intelligenti sono ancora lontani dalla normalità, ma il continuo aumento degli attacchi ransomware potrebbe cambiare le cose. Per saperne di più sul siegeware e scoprire come evitare questa minaccia.
Immaginate di avere il controllo di un edificio intelligente. Potrebbe essere un ufficio, un complesso residenziale o un ospedale. Improvvisamente iniziano a verificarsi dei problemi: le porte si rifiutano di chiudersi o sbloccarsi, il riscaldamento diventa incontrollabile o gli ascensori si bloccano. Se il sistema di controllo non risponde, potreste trovare un messaggio che vi invita a pagare immediatamente un riscatto, altrimenti il sistema rimarrà offline. Sembra irreale? Con l'emergere di siegeware e ransomware che prendono di mira gli edifici intelligenti, le persone dovrebbero sapere che questo scenario è reale. Gli operatori e i proprietari di edifici intelligenti dovrebbero familiarizzare con la minaccia e preparare la loro strategia di risposta.
Il ransomware diventa siegeware
Con l'IoT (Internet delle cose) in crescita, i criminali informatici possono rapidamente impossessarsi delle proprietà di una persona e utilizzarle a scopo di estorsione, sia che si tratti di computer, telefoni o automobili (in questo caso si parla di jackware). Siegeware sfrutta i sistemi digitali di un edificio collegato in rete e in alcuni casi utilizza l'accesso per provocare il caos, ad esempio togliendo la corrente, disattivando gli ascensori, spegnendo i sistemi di condizionamento dell'aria o tutto allo stesso tempo. Il proprietario dell'edificio è quindi costretto a credere che potrà riavere il controllo solo dopo aver pagato un generoso riscatto, ma questo non sempre risolve la situazione. In passato, i criminali hanno rilasciato i sistemi infetti solo raramente dopo l'attivazione del siegeware. Alcuni potrebbero pensare che siegeware sia un problema inventato, ma questa minaccia esiste già da tempo.
|
Il Siegeware nella vita reale
The Un dirigente di una società immobiliare che gestisce una dozzina di edifici in diverse città degli Stati Uniti ha ricevuto il seguente messaggio sul suo smartphone: "Abbiamo violato tutti i sistemi di controllo del suo edificio in XXX Street 400 e li spegneremo per tre giorni se non pagherà 50.000 dollari in Bitcoin entro 24 ore". L'edificio a quell'indirizzo è una delle numerose cliniche mediche presenti nel portafoglio dell'azienda che utilizzano "sistemi di automazione degli edifici" (BAS) per controllare a distanza il riscaldamento, l'aria condizionata e la ventilazione, nonché gli allarmi antincendio e i sistemi di gestione che includono l'illuminazione, i sistemi di sicurezza e altro ancora. Di solito l'amministratore ha fino a otto sistemi diversi sotto controllo remoto. L'azienda ha avuto la lungimiranza di sviluppare un efficace piano di risposta alla crisi e non ha dato seguito al tentativo di ricatto. Sebbene lo scenario fosse del tutto nuovo per loro, il team IT è stato in grado di avviare rapidamente misure di backup. Alla fine, le operazioni quotidiane dell'ospedale sono state interrotte solo temporaneamente; l'incidente ha avuto poche conseguenze. |
Accesso remoto: fonte di comfort o pericolo?
Con il crescente grado di automazione e connettività, "prendere in ostaggio" gli edifici è relativamente semplice: Gli attori delle minacce devono "solo" hackerare il BAS attraverso Internet per controllare completamente tutte le funzionalità. Sfruttano le possibilità offerte dalla manutenzione remota, che dovrebbe aumentare il comfort a costi ridotti. Oggi i tecnici possono risolvere i problemi o implementare nuove impostazioni da una postazione di comando centrale in un'altra parte del Paese. Questo diventa problematico quando l'accesso remoto è progettato per le prestazioni e non per la sicurezza. Spesso i produttori si affidano alla semplice combinazione di un nome utente e di una password come protezione dell'accesso. La security by design, i meccanismi di difesa contro gli attacchi brute force o l'autenticazione a più fattori (MFA) potrebbero garantire una maggiore sicurezza, ma troppo spesso vengono omessi per motivi di costo.
Le vittime sono sorprendentemente facili da trovare
Come fanno i criminali informatici a trovare le loro vittime? Il motore di ricerca "Shodan" (www.shodan.io) lo rende relativamente facile. Una ricerca di "BAS" porta a circa 11.095 potenziali obiettivi in tutto il mondo che potrebbero essere raggiunti tramite Internet. Questi includono 1.162 negli Stati Uniti (al 06/06/2022). Sono tutti ordinatamente elencati e integrati con molti dati aggiuntivi, dall'indirizzo IP alle informazioni SSL e al router utilizzato. Nel 2015, l'Università del Michigan ha ideato Censys, che funziona in modo simile a Shodan e ha permesso agli hacker di cercare facilmente i dispositivi connessi a Internet.
Con queste conoscenze e un elenco di vittime, un aggressore ha praticamente campo libero. Nel caso più semplice, cerca di ottenere l'accesso utilizzando nomi utente standard con la password corrispondente al tipo di sistema in questione. Le credenziali predefinite per i diversi sistemi sono reperibili online e, purtroppo, molti operatori di BAS continuano a utilizzarle senza proporre una soluzione di accesso più sicura. Anche se le credenziali sono state modificate, spesso non esiste un sistema di notifica o un limite al numero di tentativi di accesso non riusciti, rendendo possibile ai criminali informatici tentare ripetutamente di violare gli account fino a quando non hanno successo.
Gli hacker possono basarsi sulle credenziali utilizzate più di frequente e sulle informazioni catturate dal dark web, oppure ricorrere a metodi di forza bruta e/o a cracker di login. Questi ultimi sono molto popolari e facili da trovare su Internet, inoltre stanno diventando sempre più avanzati e di successo, spesso con uno sforzo minimo. Di conseguenza, gli attacchi siegeware possono essere portati a termine anche da criminali informatici medi che non dispongono di conoscenze approfondite.
Prendersi cura della sicurezza
Come ridurre il rischio di siegeware? Due domande principali determinano le azioni future: Quanto è alto il grado di automazione della tecnologia dell'edificio e quanto è protetto l'accesso? I costruttori, i gestori di immobili e gli appaltatori dovrebbero sedersi insieme e discutere i problemi di sicurezza e le aree di accesso remoto. Per quanto sia comodo avere accesso remoto in ogni momento tramite un login basato sul web, l'amministratore/proprietario spesso non conosce i possibili pericoli.
Quando si utilizza un BAS, tutte le parti coinvolte dovrebbero porsi le seguenti domande:
- Abbiamo cambiato le credenziali di accesso da quelle predefinite a una combinazione più sicura di login unico e password/passphrase?
- Il login si trova dietro un firewall?
- L'accesso è protetto dall'autenticazione a più fattori?
- Esiste una restrizione sui tentativi di accesso falliti, compreso il blocco?
- Riceviamo una notifica per ogni tentativo di accesso non riuscito?
- Esiste un elenco limitato di persone che hanno accesso al BAS?
- Abbiamo un contratto di manutenzione con il fornitore che gli impone di aggiornare regolarmente il software?
- Scollegiamo il sistema da Internet quando la connessione non è necessaria?
- Abbiamo preparato un piano di risposta alle crisi operative in modo che, in caso di problemi, sappiamo chi contattare e cosa fare?
Se la risposta a una di queste domande è negativa, è possibile che il vostro BAS sia vulnerabile a un attacco informatico. Oltre a causare disagi, la gestione di un attacco siegeware può costare ingenti somme di denaro. Se l'incidente viene discusso pubblicamente, l'attacco dell'azienda può essere considerato inaffidabile o insicuro. I proprietari degli edifici possono anche incorrere in azioni legali e multe elevate. Nel complesso, il siegeware ha un impatto molto più significativo del semplice blocco di alcune porte o dell'interruzione del riscaldamento per un po'. È utile essere consapevoli dei rischi e cercare di proteggere il proprio BAS.