Dopo aver preso di mira entità strettamente legate al governo russo, gruppi di hacktivisti fomentati dal clima di conflitto geopolitico, hanno spostato le loro attenzioni sulle società occidentali che si rifiutano di lasciare la Russia.
Nicola Bressan, CTO di Yarix, divisione Digital Security di Var Group, ha commentato: “Stiamo osservando l’espansione del perimetro del target degli hacktivisti. Mentre inizialmente gli attacchi si rivolgevano ad organizzazioni con sede in Russia, ora l’attenzione è rivolta ad aziende occidentali che operano su suolo russo e che non hanno dichiarato esplicitamente la loro posizione. Lo scenario dunque è mutato: è stato intimato, anche attraverso canali sociali, a diverse realtà di sospendere le operazioni in Russia per evitare di diventare bersaglio di attacchi informatici. Scaduto ormai l’ultimatum di 48 ore”, contiuaa il CTO, “per queste aziende, accusate dagli hacktivisti di contribuire al conflitto geopolitico attraverso il sovvenzionamento dell’apparato militare russo usato nella guerra contro l’Ucraina, molte sono state prese di mira con attacchi DOS o con violazioni che hanno avuto come obiettivo l’esfiltrazione di dati. Con questo cambiamento in atto, è più difficile prevedere se e quale branch dell’azienda verrà colpita: la soglia di attenzione, di conseguenza, dovrà essere alta e attiva sul perimetro globale del business”.
Diego Marson, CSO dell’azienda, ha aggiunto: “Allo stesso tempo, bisogna però evitare psicosi collettive e non ricondurre tutti gli attacchi cyber che stanno avvenendo in questi giorni alla geopolitica in Ucraina. In base a quelle che sono le nostre evidenze, c’è un’escalation di attacchi cyber anche verso target italiani che però seguono la coda lunga di gang ransomware ma che non sono collegabili in maniera diretta al conflitto geopolitico in corso; è il caso di Lockbit, che non ha mai interrotto la pubblicazione nel proprio blog di aziende, anche italiane, che probabilmente hanno subito una compromissione. Il fatto che questo incremento di attacchi cyber sia collegato a gruppi che non hanno interesse finanziario ma dimostrativo rende più difficili le azioni di protezione da mettere in atto e richiede di prestare sempre più attenzione a tutte le informazioni di contesto”.
I due professionisti hanno concluso con un consiglio importante in questo clima di tensione portato dal conflitto geopolitico tra Russia e Ucraina, affermando: “Sarà fondamentale, per le imprese italiane, provvedere ad una serie di azioni rapide per mettere in sicurezza il proprio business. Tra tutti, particolare importanza avrà monitorare con frequenza bollettini emessi dal CSIRT italiano per applicare le eventuali contromisure indicate; valutare in modo critico sia i fornitori di servizi che i fornitori di tecnologia di protezione in uso nelle proprie infrastrutture e mappare tutte le potenziali superfici di attacco avvalendosi di servizi di threat intelligence. Non solo, bisognerà implementare indicatori di compromissione segnalati da enti nazionali e validare piani di business continuity e disaster recovery rispetto alle proprie necessità di business, soprattutto in riferimento a situazioni specifiche derivanti dalle modalità di attacco osservate. Ad esempio attraverso strumenti e servizi di protezione per attacchi DoS di tipo volumetrico e per monitorare anomalie legate a trasferimenti e accessi ai dati”.
