CybergON, business unit di Elmec Informatica dedicata alla sicurezza informatica, ha stilato 4 principali azioni di mitigazione che le aziende devono mettere in atto per alzare la difesa contro i gruppi di cybercriminali.
È necessario innalzare il livello di priorità nel monitoraggio di eventi che coinvolgano sistemi presenti in Ucraina e/o Russia, prestare attenzione a eventi che coinvolgono IP pubblici indicati nelle liste del CERT e in generale da IP pubblici assegnati a Russia o Ucraina, monitorare tutti gli accessi a piattaforme sensibili, come Office 365 e Azure, che provengono dai paesi a rischio e mantenere aggiornati gli Indicator Of Compromise (IOC) identificati a livello internazionale e consigliati dal CERT Europeo sugli strumenti di detection.
Infine, è importante adottare pratiche di patching dei tool con vulnerabilità note e innalzare il livello di consapevolezza interno dei rischi legati.
Queste azioni permettono di contrastare l’azione di due nuove minacce.
Il primo malware, noto come Hermetic Wiper, è nato in occasione del conflitto e ha uno scopo distruttivo, ovvero distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione.
Il secondo malware, noto invece come Cyclops Blink viene indicato come un “pezzo di malware altamente sofisticato che è stato sviluppato professionalmente”. La distribuzione del malware sembra avvenire verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. La persistenza sui dispositivi target è ottenuta sfruttando un aggiornamento firmware apparentemente legittimo, che garantisce l’esecuzione del codice malevolo anche a seguito di eventuali riavvii dei sistemi interessati.
WatchGuard, in collaborazione con CISA, FBI, NSA e NCSC UK, ha reso disponibili a questo link le indicazioni necessarie all’identificazione e la rimozione di Cyclops Blink sui dispositivi interessati.