Il Disruptionware fa parte della famiglia dei malware e, come tale, il suo obiettivo è quello di interrompere l’operatività delle sue vittime compromettendo l’integrità di dati, sistemi e reti aziendali.
Questo tipo di minaccia introduce diversi rischi soprattutto all’interno dei sistemi OT, Operational Technology, definiti dal sito Gartner come “l’insieme di hardware e software che rileva o causa cambiamenti attraverso il monitoraggio o il controllo diretto di dispositivi fisici, processi ed eventi di un’impresa”.
Degradare processi di produzione, interromperli e danneggiare la reputazione.
Queste sono solo alcune delle conseguenze alle quali vanno incontro le aziende che non hanno ancora progettato una policy di sicurezza informatica adeguata, che preveda controlli per ridurre l’interruzione e un sistema di protezione delle proprie attività commerciali.
Il report ICIT ha dichiarato che “il disruptionware è potenzialmente devastante per le infrastrutture critiche, in quanto ha un’alta percentuale di riuscita nel compromettere i sistemi, consuma le risorse della vittima, interrompe operazioni quotidiane e può diffondersi lungo la supply chain”.
Il Disruptionware si diffonde attraverso i ransomware
Il metodo di diffusione preferito dagli hacker è attraverso i ransomware, virus il cui obiettivo è quello di ottenere una somma di denaro in cambio della chiave che decripta i file contenuti nel computer della vittima. Nel caso di un Disruptionware, però, le intenzioni sono quelle di bloccare la produttività dell’utente.
Oltre a quella del ransomware, ci sono diversi metodi di diffusione:
- Wipers
Malware che cancellano i dati memorizzati sul device che li ospita - Bricking Capabilities
Malware PDoS (Permanent Denial of Service) capaci di riconfigurare le impostazioni hardware, software o firmware e causare la compromissione o la distruzione fisica del sistema - Automated Components
Come botnet. Utilizzati per intasare una rete attraverso traffico in entrata, con l’obiettivo di un attacco DDoS (Distributed Denial of Service) - Data Exfiltration Tools
Strumenti usati per copiare e trasferire i dati da una rete all’altra - Network Reconnaissance Tools
Come trojan da accesso remoto, o strumenti per la mappatura di rete e altri per identificare e diffondere malware.
Come prevenire questo tipo di attacchi?
Lavorare su un programma di prevenzione aiuta a conoscere nel dettaglio quali procedure considerare nel caso si verifichi un attacco. Non solo: essere consapevoli delle componenti della propria infrastruttura e coordinare nel migliore dei modi hardware, software e personale addetto rendono più efficienti i test di monitoraggio e l’arginamento di intrusioni.
Una buona policy di sicurezza dovrebbe:
- formare gli utenti sulle potenziali minacce provenienti da e-mail di phishing
- limitare l’esposizione a Internet, attraverso l’utilizzo di server proxy
- eseguire il backup di tutte le risorse
- predisporre un piano di risposta immediata agli incidenti
- definire i ruoli e le responsabilità del personale durante gli attacchi
- eseguire test periodici sui sistemi e sulle reti
