Il fornitore di energia Entega è stato vittima di un attacco informatico. La buona notizia per il momento: l'infrastruttura critica del fornitore di energia con sede a Darmstadt non è interessata, ma gli account di posta elettronica di circa 2.000 dipendenti e il sito Web dell'azienda lo sono. Commenti da Barracuda e FTAPI Software.
Gli attacchi informatici accadono quando meno te li aspetti.
“Questa volta probabilmente ha colpito il fornitore di energia dell'Assia Entega nella notte tra sabato e domenica. Per poter reagire nel modo più efficiente possibile, è necessario disporre di piani di emergenza e responsabilità chiare. Un backup funzionante può anche essere estremamente utile in caso di attacchi ransomware. Alle organizzazioni criminali piace utilizzare la posta elettronica o gli attacchi basati sul Web come gateway per paralizzare i sistemi critici nella rete interna e far fronte alla vittima con una richiesta di riscatto. In questo caso specifico, ci sarebbero dovute essere delle misure funzionanti, visto che l'approvvigionamento energetico al momento non ne risente. Si sarebbero potuti ancora fare danni considerevoli, ma avrebbe potuto essere peggiore. Per poter proteggere meglio i dipendenti dagli attacchi di ingegneria sociale basati su e-mail, si raccomanda una combinazione di misure tecniche con formazione e sensibilizzazione. Questo è immensamente importante, perché in caso di dubbio, una singola persona può innescare eventi gravi con un solo clic del mouse.
Stefan Schachinger, Product Manager Network Security – IoT/OT/ICS (Immagine: Barracuda)
Ovviamente anche le applicazioni web e tutte le altre applicazioni disponibili esternamente devono essere protette. Un firewall per applicazioni Web è adatto per sistemi pubblici, come il sito Web aziendale. Tutti i servizi non destinati all'uso pubblico, come l'accesso alla manutenzione remota, richiedono sempre una protezione separata con metodi di autenticazione forte. Soprattutto con infrastrutture critiche, è particolarmente importante prevenire la diffusione interna di attacchi e malware. Si dovrebbe sempre presumere che un utente malintenzionato possa essere in grado di penetrare nella rete. La segmentazione della rete tra IT e OT o all'interno della rete OT rende particolarmente difficile per gli aggressori arrestare i sistemi anche se hanno già un piede nella porta."
"Più sicurezza per i fornitori di energia - chiudere i varchi".
“Gli attacchi al fornitore di energia con sede a Darmstadt Entega e Stadtwerke Mainz dimostrano ancora una volta che gli operatori di infrastrutture critiche stanno diventando l'obiettivo di attacchi informatici con una frequenza crescente. Alla luce della tesa situazione politica globale, le utility devono reagire e investire nella protezione dei propri sistemi.
A nostro avviso, l'obiettivo principale dovrebbe essere quello di garantire la comunicazione digitale. Gli attacchi ransomware tramite e-mail di phishing sono ancora tra gli attacchi più popolari e purtroppo anche più promettenti contro le società di servizi pubblici: nelle e-mail che ora sembrano ingannevolmente reali, ai dipendenti viene chiesto di aprire allegati di posta elettronica o collegamenti esterni che nascondono malware e , una volta aperto, si diffonde in tutto il sistema in pochi secondi.
Ari Albertini, Chief Operating Officer, FTAPI Software GmbH (Immagine: FTAPI).
I sistemi dei fornitori di energia e gli operatori di KRITIS sono obiettivi molto redditizi e gli attacchi sono spesso pianificati con largo anticipo. Gli aggressori spiano la comunicazione interna ed esterna per formulare e-mail ingannevolmente reali e ottenere così l'accesso ai sistemi. Anche gli attuali casi di Darmstadt e Mainz suggeriscono che è stato svolto un lavoro preparatorio per questi attacchi: poiché non è stata attaccata l'infrastruttura critica in sé, ma il server di posta elettronica, si può presumere che l'obiettivo principale fosse l'accesso ai dati. I criminali informatici li usano spesso per ottenere l'accesso a sistemi critici.
La costante crittografia end-to-end delle comunicazioni e-mail quotidiane blocca gli attacchi tramite e-mail di phishing che sembrano ingannevolmente reali. Non è più possibile per gli aggressori leggere informazioni rilevanti e viene loro negata la base per la creazione di e-mail false”.