Hydro, il colosso norvegese dell'alluminio sotto attacco cyber

E' di qualche giorno fa (19 marzo) la notizia che una delle più grandi società di produzione di alluminio, la norvegese Hydro, abbia subito un attacco cyber.

L'attacco condotto attraverso l'uso di un ransomware, apparentemente mira ad ottenere un riscatto. 

Nel corso di una conferenza stampa il responsabile finanziario della società, Eivind Kallevik, ha annunciato che l'attacco è abbastanza grave.

Sembra che il virus non abbia avuto grosse conseguenze sulla produzione  (cosa alquanto difficile da credere!) infatti alcuni impianti sono stati disconnessi e altri sono stati attivati in modalità manuale.

La Norway's National Security Authority (NSM) incaricata di dare assistenza alla Hydro oltre che fornire aiuto ha in corso gli accertamenti del caso per individuare i responsabili dell'attacco. Il ransomware utilizzato è conosciuto col nome di LockerGoga ed è stato impiegato in combinazione con un attacco diretto contro il servizio di Active Directory. Ma è ancora troppo presto per essere sicuri, al momento si tratta infatti solo di ipotesi.

Supponendo che le prime ipotesi sul ransomware siano esatte, vediamo cosa ci dice TrendMicro su LockerGoga. Secondo la società di sicurezza informatica il ransomware LockerGoga ha fatto la sua apparizione di recente (gennaio), contro una società di consulenza ingegneristica francese, la Altran Technologies. La prima cosa che il malware fa una volta infettato un sistema, è cambiare le password degli utenti, rendendolo inaccessibile, quindi inizia a cifrare i file presenti nel sistema e invia sullo schermo un messaggio di richiesta di riscatto. L'impiego di sistemi diversi (dal pagamento del riscatto!) porteranno alla compromissione dei dati. Sembra che LockerGoga non abbia la capacità di diffondersi in rete a differenza dei suoi parenti WannaCry e Petya/NotPetya, invece ha la capacità di superare le difese messe in campo da molti sistemi di protezione (sandbox e machine learning). 

Sul sito TrendMicro è possibile leggere gli aggiornamenti.

Alcune considerazioni:

Ancora una volta una grossa società è stata colpita, cosa che dimostra che il possedere (almeno teoricamente) grandi risorse non mette al riparo dal rischio. Ciò che occorre è una strategia di sicurezza e un impiego oculato delle risorse, umane e non.

La società produttrice di parti in alluminio occupa una grossa fetta del mercato europeo e americano (circa il 20 %), l'attacco ha avuto delle ripercussioni sul valore delle azioni ma i danni maggiori saranno presumibilmente dovuti alla necessità di rallentare o bloccare la produzione.  

Sembra che il ransomware non faccia uso di una catena di Comando e Controllo, e la cosa dunque farebbe pensare che il malware possa essere controllato dall'interno della rete stessa della Hydro.

Ancora una volta occorre evidenziare alcune problematiche che affliggono il nostro mondo, altamente informatizzato, ma ancora lontano dall'essere esente da problemi di tutti  i tipi.

La prima considerazione da fare, non legata al fatto in se, riguarda la velocità con cui si produce il software e si rilasciano nuove funzionalità, velocità che è andata sempre aumentando nel corso degli anni e che non depone certo a favore della buona esecuzione. 

La seconda riguarda la complessità: spesso, voler ricercare la semplicità di utilizzo da parte degli utenti (di tutti  i livelli, per esempio introducendo interfacce grafiche ecc.), ha portato ad un incremento esponenziale della complessità dei software (e dei sistemi in generale), complessità che, ancora una volta, è nemica del buon funzionamento.

La terza considerazione riguarda la generale mancanza di expertise nel campo della sicurezza informatica, evidenziata spesso in ambito Unione Europea ma che ancora non trova soluzione, se è vero infatti che sono aumentati i corsi universitari in sicurezza informatica è altrettanto vero che rimane una certa distanza tra queste ultime e il mondo industriale.

Infine, in molti paesi, la mancanza di finanziamenti pubblici del settore condiziona fortemente lo sviluppo di un tessuto di imprese capaci e pronte ad offrire i propri servizi di sicurezza a organizzazioni e società di piccole e medie dimensioni, limitando fortemente la capacità di crescita delle competenze a causa della mancanza di concorrenza.  

Occorrerebbe anche riflettere sulla crescita enorme delle società informatiche e cominciare ad interrogarsi sulla necessità di esigere da queste ultime una maggiore serietà professionale nel rilascio del software e dei sistemi.

Infine, ma non meno importante, è necessario iniziare a riflettere seriamente sulla invasività della informatica nel mondo attuale, non certo per cercare di limitarla, cosa ormai impossibile, ma per capire come limitare i danni in caso di attacco cyber e come poter garantire un sufficiente, alternativo, livello di comando e controllo non basato su tecnologie digitali.

Immagino già che qualcuno starà pensando: "Ecco, il ritorno di carta, penna o macchina da scrivere e servizio di fattorini... ma dove vive questo?", ebbene si, in alcuni casi la cosa potrebbe essere necessaria e per funzionare dovrebbe essere esercitata regolarmente per preservare un sapere che sta scomparendo. 

Alessandro Rugolo

Per approfondire:
- https://www.bbc.com/news/technology-47624207;
- https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-extensive-cyber-attack-impacting-operations-jtfgz6td;
- https://www.reuters.com/article/us-norsk-hydro-cyber-security/norway-say-hydro-cyber-attack-began-monday-evening-and-escalated-during-the-night-idUSKCN1R00TO?il=0;
- https://www.thelocal.no/20190322/norways-norsk-hydro-hit-by-ransom-cyber-attack.
- https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/what-you-need-to-know-about-the-lockergoga-ransomware

First Canadian Threat Report from Cybersecurity Firm Carbon Black Finds That 83% of Surveyed Canadian Businesses Have Been Breached During the Last 12 Months

PRESS RELEASE Mar 12, 2019

Surveyed businesses report phishing and ransomware are the most likely to spawn breaches

WALTHAM, Mass., March 12, 2019 —Carbon Black(NASDAQ: CBLK), a leader in cloud-delivered, next generation endpoint security, today released the results of its first Canadian Threat Report. The research demonstrates the apparent intensity of cyber threats facing Canadian businesses.

According to the research, attacks are increasing in volume and sophistication, causing regular security breaches affecting 83% of organizations surveyed. The report analyzes survey results from different industries, organization sizes and IT team sizes to build a picture of the modern attack and cyber defense landscape in Canada.

Key survey research findings:

• 83% of surveyed Canadian organizations have been breached in the last 12 months
• The average number of breaches per surveyed organization is 3.42
• 76% of surveyed organizations have seen an increase in attack volumes
• 81% of surveyed organizations say attacks have become more sophisticated
• 85% of surveyed organizations plan to increase spending on cyber defense

Escalating cyber attacks

Of the 76% of Canadian businesses reporting an increase in cyberattacks, 25% said the volume has grown by 51% or more in the past year. In addition, 81% of surveyed businesses said they’ve witnessed an increase in attack sophistication.

Of note, 85% of Canadian organizations surveyed said they are planning to increase spending on cyber defense in response to the escalating threat landscape.

“Our first Canadian threat report indicates that organizations in Canada are under intense pressure from escalating cyberattacks,” said Tom Kellermann, Carbon Black’s Chief Cybersecurity Officer. “The research indicates increases across the board in attack volume and sophistication, causing frequent breaches. In response, an encouraging number of Canadian organizations are adopting threat hunting and seeing positive results. As threat hunting strategies start to mature, we hope to see fewer attacks making it to full breach status.”

The human factor plays a part in the attacks that lead to breaches, the survey found. Phishing attacks are at the root of one in five successful breaches, the survey noted.

Additionally, 59% of surveyed Canadian organizations said they are actively threat hunting, with one in five (20%) saying they have threat hunted for more than a year. A very encouraging 86% of those organizations report that threat hunting has strengthened their defenses. 

-ends-

Survey Methodology

Carbon Black commissioned a survey, undertaken by an independent research organization, Opinion Matters in January 2019.  250 Canadian CIOs, CTOs and CISOs were surveyed from companiesin a range of industries including: financial, healthcare, government, retail, manufacturing, food and beverage, oil and gas, professional services, and media and entertainment. This forms part of a global research project with other countries being surveyed including: Australia, Canada, France, Germany, Italy, Japan, Singapore and the UK.

Symantec to Host Tech Talk: “Integrated Cyber Defense”

press release 02/28/2019

MOUNTAIN VIEW, Calif.--(BUSINESS WIRE)-- Symantec Corp. (NASDAQ: SYMC), the world’s leading cyber security company, will host a Tech Talk webcast in conjunction with RSA® Conference 2019. Greg Clark, President and CEO, and Hugh Thompson, CTO, will discuss Symantec’s technology innovation and leadership in securing the cloud generation. Interested parties can find more information on Symantec’s Investor Relations website at http://symantec.com/invest.

No financial information will be presented on this webcast.

Date: Monday, March 4, 2019

Time: 11:00 am PT / 2:00 pm ET

Speakers: Greg Clark, President and CEO; Hugh Thompson, CTO

Dojo by BullGuard Wins 2018 Broadband World Forum Award For Network Security

Press release

Prestigious award recognizes excellence in the broadband marketplace

SAN FRANCISCO and HERZLIYA, Israel – OCTOBER 29, 2018 – BullGuard, the award-winning consumer cyber security company, today announced Dojo by BullGuard has received the 2018 Broadband World Forum Award for Best Network Security. Broadband World Forum is an annual Informa event that brings together hundreds of innovators in the broadband community.

The annual Broadband World Forum Awards are regarded as the most prestigious recognition of excellence in the broadband industry. The 2018 categories were designed to showcase innovation in network technology, new products, or business models, as well as those delivering broadband for the social good.

Dojo by BullGuard’s cybersecurity solutions have been the recipient of numerous awards in the past year, including the GSMA 2018 GLOMO Award for Best Connected Consumer Device at Mobile World Congress Barcelona, the 2018 Fortress Cybersecurity Award, Computing’s 2018 Cloud Excellence Award, the 2018 Stratus Award for Cloud Computing, and the 2018 IoT Evolution Product of the Year Award, amongst others.

“It’s an honor to win the 2018 Broadband World Forum Award for Best Network Security for Dojo by BullGuard,” said Yossi Atias, General Manager of IoT Security at BullGuard. “In the next two years, more than 21 billion IoT devices will be connected around the world. Winning the Broadband World Forum Award for Network Security solidifies the opportunity and critical nature for CSPs and ISPs to mitigate the forecasted IoT-related cyberattacks.”

Dojo by BullGuard is an early pioneer and leader in the IoT security domain. Dojo enables CSPs to leverage their existing broadband services and offer a managed enterprise-grade cybersecurity services to their customers. Dojo Intelligent IoT Security Platform (DIP) is easily integrated into CSPs network via open APIs, providing an end to end solution for a wide range of IoT security use cases. Unlike other generic IoT platforms, DIP is designed from the ground up as a managed IoT security service for the CSP market. Service providers who implement the Dojo Intelligent Platform provide their end customers unprecedented multi-layered protection.

View a short video of the Dojo Intelligent IoT Security platform for CSPs and ISPs here.

ATTACK TRAFFIC UP BY 32 PERCENT IN 2018

Press release 


F-Secure’s research highlights increase in attacks but survey data shows companies still struggle with incident detection.

Helsinki, Finland – March 5, 2019: New research from cyber security provider F-Secure reports a significant increase in attack traffic in the latter half of 2018. But while attacks are increasing, it seems many companies are struggling with incident detection.

Attack traffic observed by F-Secure’s network of decoy honeypots in 2018 increased by 32 percent over the previous year, and increased fourfold in the latter half of 2018 compared with the first half of the year.

Recent survey data suggests that many companies may not have the visibility they need to catch attacks that make it past preventative measures like firewalls and endpoint protection. F-Secure’s survey* found that 22 percent of companies did not detect a single attack in a 12-month period. 20 percent of respondents detected a single attack during that time frame, and 31 percent detected 2-5 attacks.

For perspective, F-Secure’s detection and response solutions detected 15 threats in a single month at a company with 1300 endpoints,** and 7 threats in a single month at a company with 325 endpoints.*** Roughly one third of F-Secure’s survey respondents indicated that they were using a detection and response solution or service.

None of these trends surprise F-Secure Vice President of Cyber Security Products Research & Development Leszek Tasiemski.

“Today’s threats are completely different from 10 or even 5 years ago. Preventative measures and strategies won’t stop everything anymore, so I’ve no doubt that many of the companies surveyed don’t have a full picture of what’s going on with their security,” Tasiemski said. “Many organizations don’t really value security until an incident threatens to cost them a lot of money, so I’m not completely surprised that there are companies detecting zero attacks over the course of a year.”

Additional highlights in F-Secure’s research include:

• Telnet was the most commonly targeted TCP port, which is likely the result of increasing numbers of compromised Internet-of-Things (IoT) devices searching for additional vulnerable devices
• Companies working in finance and ICT detected the most attacks, while organizations in healthcare and manufacturing detected the fewest
• The largest source and destination of observed attack traffic were US-based IP addresses
• Nginx was the most popular source of web-based attacks

“We find that companies running detection and response solutions tend to have a better grasp of what they’re doing right and what they’re doing wrong. Ideally, the visibility these solutions have will show companies that they’re blocking most of the standard, opportunistic attacks, like the ones our public honeypots usually attract. But these solutions will also pick up what preventative measures like firewalls or endpoint protection miss, which makes detection and response a pretty invaluable part of a healthy security strategy,” said Tasiemski.

*Source: Survey consisted of an online survey of 3350 IT decision makers, influencers, and managers from 12 countries**Source: https://www.f-secure.com/documents/10192/2310496/RDS-Service-Overview.pdf/***Source: https://www.f-secure.com/documents/10192/2317861/F-Secure_Broad_Context_Detection_whitepaper-web.pdf/

More information

Attack landscape H2 2018: Attack traffic increases fourfold

No More Ransom, a global anti-ransomware initiative, announces ESET as new partner

Press Release


20 December 2018: ESET – a global leader in information security software – has been announced as the latest partner of No More Ransom, an international initiative between Europol, the Dutch National Police and major cybersecurity organizations in the fight against ransomware. The collaborative project helps victims of ransomware attacks recover their personal data and has so far managed to decrypt the infected computers of 72,000 victims worldwide. 

With its 130 partners, the No More Ransom online portal hosts a collection of 59 free decryption tools from multiple security software vendors, covering 91 ransomware families. Users from around the world can access the tools for free in order to recover data held hostage by ransomware attacks. Launched in 2016, No More Ransom decryption tools have so far kept around USD 22 million out of the pockets of cybercriminals. 

ESET has long been helping ransomware victims recover encrypted data, its decryption tools having previously been downloaded over 250,000 times. Now two of these tools will also be available to a wider audience through the free, centralized and user-friendly platform of No More Ransom. 

Ransomware has grown to become one of the largest cyberthreats facing businesses and consumers, and the rise of GandCrab and SamSam in 2018 has shown how the threat continues to grow and adapt. One report recently revealed 40% of all successful malware-based attacks involve ransomware. 

The No More Ransom project recognizes that the fight against ransomware requires a joint effort, and ESET’s involvement represents its ongoing commitment to partner with law enforcement to fight cybercrime and allow everyone to enjoy safer technology.

ESET has previously collaborated with law enforcement agencies in large takedowns of malicious infrastructure, including the disruption of the Gamarue malware family. This global collaboration between the public and private sectors involved Microsoft, the FBI, Interpol and Europol. ESET also worked with various international organizations to uncover Operation Windigo, a widespread cybercriminal operation that seized control of tens of thousands of Unix servers. And most recently, the company partnered with law enforcement bodies and Google in the disruption of 3ve, a major online ad fraud operation.

ESET’s latest partnership will continue its commitment to collaborating with law enforcement and industry partners to create a safer digital world. Visit No More Ransom’s website for more information about the project, and find out more about ESET at https://www.eset.com/.

Engineering: Perfezionata l'acquisizione di OmintechIT

Press release 15 marzo 2019

Al via il rebranding della società che si chiamerà Cybertech.

• Con una solida leadership a livello europeo nel segmento della sicurezza informatica e un giro d’affari di 28 milioni di euro nel 2018, l’ingresso di OmnitechIT - da ora in poi Cybertech - nel Gruppo Engineering rappresenta un ulteriore consolidamento in un’area altamente strategica.• Sul fronte industriale l’operazione mira ad ampliare il bouquet di soluzioni di Cybersecurity che Engineering integrerà nella propria offerta.• A livello di sistema, Engineering conferma il proprio ruolo di aggregatore delle migliori competenze italiane per farle crescere nel mondo attraverso la propria presenza internazionale e gli importanti investimenti in R&D che mette in campo.

Engineering, tra le principali realtà a livello globale che accompagna e guida aziende pubbliche e private nella Trasformazione Digitale, attraverso la propria controllata Engineering D.HUB ha perfezionato il closing dell’operazione di acquisto del 51% di OmnitechIT. Quest’ultima è nata in Italia e, dal 2007 ad oggi, ha saputo imporsi quale primo operatore su scala nazionale specializzato nella Cybersecurity e tra i principali player europei, toccando nel 2018 un volume di affari di 28 milioni di euro e un team di 300 persone con competenze specifiche di altissimo livello.

L’accordo prevede il contestuale rebranding della società acquisita in Cybertech e rappresenta un’intesa importante non solo per la sua valenza industriale in un mercato in piena espansione, ma anche per la sua valenza di sistema.

Paolo Pandozy, CEO di Engineering, ha sottolineato: “Abbiamo sempre investito in acquisizioni e continueremo a farlo. Quello della Cybersecurity è un mercato emblematico, estremamente parcellizzato, dove Cybertech è di gran lunga il più importante operatore italiano. Aggregare queste competenze alle nostre significa creare le condizioni per farle crescere contestualmente alla crescita esponenziale prevista per il mercato della sicurezza informatica, mettendo a fattor comune la nostra presenza internazionale e gli importanti investimenti in Ricerca&Sviluppo che ogni anno sosteniamo”.

E’ seguendo questo approccio che combina la solida crescita interna con un’attenta politica di acquisizioni, che Engineering ha registrato negli ultimi 10 anni un incremento del 67% dei ricavi netti e una crescita del 65% dei dipendenti.

L’intesa tra i due Gruppi mira a rafforzare la già importante leadership di Engineering che da sempre vede nelle soluzioni di Cybersecurity una parte cruciale e trasversale della propria offerta, pensata per affiancare i clienti nell’implementazione dei sistemi informatici, nell’integrazione delle tecnologie emergenti, nonché nella conseguente ridefinizione dei processi di gestione delle loro organizzazioni. È infatti proprio nello specifico segmento della sicurezza che l’accordo con Cybertech consentirà un ulteriore ampliamento del bouquet di soluzioni dell’offerta di Engineering.

Roberto Mignemi, CEO di Cybertech, ha aggiunto: “Nel corso di quest’anno abbiamo avuto diversi contatti con soggetti interessati alla nostra realtà, sia finanziari che industriali. Abbiamo scelto di unirci a Engineering perché abbiamo trovato una comune visione strategica rispetto allo sviluppo delle soluzioni di Cybersecurity e gli stessi valori che hanno guidato finora la nostra crescita. Abbiamo fatto una scelta industriale al fianco di una realtà estremamente solida, garantita da una comprovata gestione seria e corretta nell’interesse dei clienti, dei dipendenti e degli azionisti”.