Chi lavora nella cyber security sempre più spesso si sente rivolgere questa domanda da parte dei responsabili di un’azienda colpita da un attacco di malware con conseguenze spesso poco piacevoli.

Nei giorni scorsi mi ha colpito un post su linkedin di Piero Iezzi di Swascan che qui riporto:

“L’analisi delle principali tecniche di #cyberattack di Gennaio #2021, condotta da #hackmageddon.com, mettono al primo posto gli attacchi #malware con il 36,1%.
Questi attacchi avvengono tramite:

  • Sfruttamento delle vulnerabilità tecniche del perimetro
  • Social Engineering

L’82% circa di questi attacchi sono noti e conosciuti. Per intenderci: Il target non è l’azienda ma la vulnerabilità. Il #cybercrime è by opportunity e non by target. Da dove iniziare? L’analisi del rischio tecnologico e la formazione e sensibilizzazione dei dipendenti sono il punto di partenza indispensabile”.

Ho allora chiesto a Piero Iezzi un ulteriore commento, con particolare riferimento al mondo OT/Industrial Cyber Security ed ecco qui le sue parole:

Il target non è (più e solo) l’azienda ma la vulnerabilità. Il #cybercrime è by opportunity e non by target. Questo diventa un paradigma universale per ogni tipo di Industry e business, ma – se possibile – ancora più prezioso nel contesto della #OT. I cambiamenti negli ambienti di produzione dovuti alle tecnologie wireless, 5G e IIoT stanno inaugurando una nuova era di flessibilità, produttività e controllo. Allo stesso tempo, però, queste innovazioni espandono il panorama delle minacce (ed il perimetro). Ogni singolo nuovo “tassello” può rappresentare una potenziale falla, dobbiamo agire di conseguenza imponendo ad ogni livello le migliori best practice, soluzioni e tecnologie di Cyber security bastate sull’approccio tripartito di sicurezza predittiva, preventiva e proattiva”.

Proprio con riferimento a questo scenario, sempre nei giorni scorsi, abbiamo trovato su siti e stampa specializzati la notizia che il marchio USA Molson Coors ha visto bloccarsi una grande Birreria a con interruzione di produzione, imbottigliamento e spedizioni con un considerevole impatto anche dal punto di vista finanziario, come evidenziato nei report della SEC essendo una società quotata in Borsa. Molson Coors, con un fatturato di quasi 12 miliardi di dollari nel 2020, è una dei più grandi produttori di birra e bevande in USA.
(vedi anche qui: Molson Coors says cyberattack disrupted beer brewing (cyberscoop.com) e Molson Coors Cracks Open a Cyberattack Investigation | Threatpost )

In seguito a questo episodio, Molson Coors ha ingaggiato società di informatica forense e consulenti legali per indagare e attualmente “sta lavorando H24 per ripristinare i propri sistemi il più rapidamente possibile”, secondo quanto riportato dal report alla SEC.

L’Azienda gestisce sette birrifici e impianti di confezionamento negli Stati Uniti, tre in Canada e dieci in Europa (uno anche in Italia). Produce diverse marche di birra oltre alla sua omonima, tra cui Blue Moon, Miller Lite e Pilsner Urquell. Molson Coors Beverage Co. è il quinto più grande gruppo birrario al mondo, dopo aver acquistato nel 2017 il birrificio romano Birradamare, sta sviluppando la sua presenza anche sul mercato italiano.

Si parla di probabile attacco di ransomware: sebbene la società non abbia rilasciato dettagli sull’incidente, ha però affermato che “potrebbe trattarsi di ransomware”, data la gravità dell’interruzione e la seguente attività di attacco informatico subito.

“Gli attacchi di alto profilo stanno diventando fin troppo comuni, poiché gli aggressori si sono resi conto di quanto possano essere più redditizi quando prendono di mira organizzazioni di grandi dimensioni e bloccano le attività aziendali critiche, in questo caso la produzione e spedizione della birra dei uno dei più grandi e noti marchi di birra del mondo” ha osservato Edgard Capdevielle, CEO di Nozomi Networks, in un’e-mail ai redattori di Threatpost. I dispositivi per la OT cyber security prodotti Nozomi sono distribuiti e supportati da ServiTecno.

Molson Coors non è l’unico grande birrificio ad essere stato colpito da un attacco informatico significativo. L’anno scorso, il distributore di birra australiano Lion ha subito uno shutdown dei suoi sistemi IT, che ha rallentato tutte le attività. La canadese Waterloo ha dichiarato di aver perso 2,1 milioni di dollari a causa di un attacco di social engineering. Senza dimenticare il ramsomware a Campari lo scorso dicembre 2020.

Fortunatamente oggi in ServiTecno abbiamo tool, tecnologie e metodologie in grado di ridurre l’esposizione agli attacchi ed in grado di ridurre drasticamente gli eventuali danni su reti e impianti in produzione.
E qui torno alla chiosa fatta da Piero Iezzi nel suo post che ho sopra riportato:
“Da dove iniziare? L’analisi del rischio tecnologico e la formazione e sensibilizzazione dei dipendenti sono il punto di partenza indispensabile. NON ABBASSIAMO LA GUARDIA! “

P.S. naturalmente ringrazio Piero Iezzi, Cybersecurity Director e CEO at Swascan, per la disponibilità e la sua indubbia professionalità.

Ma cos’è una vulnerabilità informatica?

Una vulnerabilità informatica può essere considerata come una componente di un sistema informatico, in corrispondenza alla quale le misure di sicurezza sono assenti, ridotte o compromesse, in modo da rappresentare un punto debole del sistema e consentire di compromettere il livello di sicurezza dell’intero sistema. Le vulnerabilità possono essere CVE (common vulnerabilities and exposures), ovvero le vulnerabilità standardizzate (valutate in base alla gravità mediante il CVSS) e 0 days, ovvero le vulnerabilità non ancora standardizzare (di solito particolarmente gravi).
Visto il loro potenziale impatto su un numero enorme di sistemi informatici le vulnerabilità non standardizzate possono essere pagate cifre astronomiche al mercato nero, si parla di cifre oltre il milione di €.