Kaspersky Lab svela come i RAT (Remote Administration Tool) possano diventare una minaccia per le reti industriali

(Roma, 20 settembre 2018 ) - I Remote Administration Tool legittimi possono rappresentare una seria minaccia per le reti industriali: sono installati sul 31,6% degli ICS (Sistemi di Controllo Industriale), ma spesso passano inosservati fino a quando il team di sicurezza dell'azienda scopre che i cybercriminali hanno utilizzato proprio un RAT per installare un ransomware o un software per il mining di criptovalute, per rubare informazioni riservate o anche del denaro. Questo è quello che hanno scoperto gli esperti di Kaspersky Lab dedicando una ricerca proprio a questo tema. I RAT (Remote Administration Tool) sono software legittimi che permettono a terzi di accedere ad un computer da remoto. Sono spesso utilizzati in maniera legittima dai dipendenti di imprese industriali per risparmiare risorse, ma possono essere sfruttati anche da attori malevoli per ottenere un accesso nascosto e privilegiato ai computer presi di mira. Secondo un report pubblicato da ICS CERT di Kaspersky Lab, i RAT sono molto diffusi in tutti i settori: quasi un terzo dei computer ICS protetti dai prodotti Kaspersky Lab hanno dei Remote Administration Tool installati. Ancora più importante è che quasi un RAT su cinque viene fornito in bundle con il software ICS secondo impostazioni predefinite. Questo rende i RAT meno visibili agli amministratori di sistema e, di conseguenza, più interessanti per i cybercriminali. Secondo la ricerca, gli utenti malintenzionati utilizzano software RAT per: - Ottenere l'accesso non autorizzato ad una rete presa di mira; - Infettare la rete con un malware per condurre attività di spionaggio, sabotaggio e ottenere profitti finanziari illegali sfruttando operazioni che coinvolgono i ransomware, o l'accesso alle risorse finanziarieattraverso le reti attaccate. La minaccia più significativa rappresentata dai RAT è la loro capacità di ottenere privilegi di rilievo nel sistema attaccato. In pratica, questo significa ottenere un controllo senza alcuna limitazione su una realtà industriale, che può, a sua volta, portare a significative perdite finanziarie, fino a condurre una vera e propria catastrofe dal punto di vista strutturale. Tali capacità sono spesso acquisite attraverso un attacco base di tipo “forza bruta”, che consiste nel tentare di indovinare una password provando tutte le possibili combinazioni di caratteri finché non viene trovata quella corretta. La “forza bruta” è uno dei metodi più diffusi per assumere il controllo di un RAT, ma gli attaccanti possono anche trovare e sfruttare vulnerabilità all'interno del software stesso. "Il numero dei sistemi di controllo industriale che utilizzano i RAT è preoccupante, ma molte imprese non sospettano neanche quanto possa essere grande il potenziale rischio a loro associato. Ad esempio, di recente, abbiamo osservato una serie di attacchi indirizzati ad un'azienda automotive, all'interno della quale uno dei computer aveva un RAT installato. Questo ha portato a tentativi sistematici di installare dei malware sul computer per un periodo di diversi mesi. Le nostre soluzioni di sicurezza bloccano questo tipo di tentativi almeno due volte a settimana. Se quell'organizzazione non fosse stata protetta dal nostro software di sicurezza, le conseguenze sarebbero state a dir poco spiacevoli. Tuttavia, questo non significa che le aziende debbano immediatamente rimuovere tutti i Remote Administration Tool dalle loro reti, (dopo tutto sono applicazioni molto utili e che fanno risparmiare tempo e denaro), ma la loro presenza su una rete dovrebbe essere trattata con attenzione, in particolare sulle reti ICS che spesso fanno parte di infrastrutture critiche", ha affermato Kirill Kruglov, Senior Security Researcher del Kaspersky Lab ICS CERT. Per ridurre il rischio di cyberattacchi che coinvolgono i RAT, Kaspersky Lab ICS CERT consiglia di mettere in atto le seguenti misure tecniche: - Verificare l'utilizzo degli strumenti di applicazioni e sistemi RAT utilizzati nella rete industriale. Rimuovere tutti gli strumenti di amministrazione da remoto che non sono necessari per il processo industriale. - Effettuare un audit e disabilitare i RAT forniti insieme al software ICS (fare riferimento alla relativa documentazione del software per istruzioni più dettagliate), purché non siano necessari per il processo industriale. - Monitorare e registrare con attenzione gli eventi legati a ciascuna sessione di controllo da remoto richiesta dal processo industriale; l'accesso da remoto deve essere disabilitato di default e abilitato solo su richiesta e solo per periodi di tempo limitati. Il report completo è disponibile sul sito di Kaspersky Lab ICS CERT. Informazioni su Kaspersky Lab Kaspersky Lab è un'azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l'expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell'azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Informazioni su ICS CERT di Kaspersky Lab Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) è un progetto globale lanciato da Kaspersky Lab nel 2016 con l'obiettivo di coordinare gli sforzi dei fornitori di sistemi di automazione, i proprietari di infrastrutture industriali, gli operatori e i ricercatori nell'ambito della sicurezza IT nella protezione delle industrie dai cyberattacchi. ICS CERT di Kaspersky Lab si impegna soprattutto nell'identificare minacce potenziali ed esistenti che mirano ai sistemi di automazione e all'Internet of Things in ambito industriale. Nel corso del primo anno di attività, il team ha rilevato oltre 110 vulnerabilità critiche nei prodotti dei più importanti fornitori ICS a livello globale. ICS CERT di Kaspersky Lab è membro attivo e partner delle maggiori istituzioni internazionali che si occupano di elaborare misure per la protezione di imprese industriali dagli attacchi informatici. ics-cert.kaspersky.com