Ransomware un pericolo reale per le aziende

Gli attacchi di malware ransomware in questo periodo si stanno dimostrando come una delle pratiche più temibili dei cybercriminali. Per chi ancora non conoscesse il termine, un “ransomware” è un tipo di malware creato per limitare l’accesso ai dati del dispositivo che infetta, in questo modo i malintenzionati possono chiedere un riscatto per rimuovere il malware e sbloccare il sistema. Su infrastrutture piccole è un problema che si può risolvere se si ha a disposizione un completo backup dei server, situazione che però diventa difficile da gestire su infrastrutture di grandi dimensioni. In entrambi i casi, il vero problema è il tempo di blocco, ovvero per quanto tempo l’azienda o la pubblica amministrazione dovrà restare offline (spesso bloccando la produzione o la fornitura di servizi), situazione che alla fine potrebbe rivelarsi più costosa del riscatto richiesto. A livello di programmazione, i ransomware di nuova generazione si dimostrano, nella maggior parte dei casi, estremamente avanzati. Ultimamente è stato scoperto un ransomware di nuova generazione chiamato VHD che si distingue per la sua capacità di autoreplicarsi (e non solo di propagarsi) attaccando l’infrastruttura della vittima designata.

Il caso Garmin

Perfino illustri nomi nomi dell’information technology sono caduti vittime di questo genere di attacchi. L’ultimo in ordine di tempo è Garmin il marchio statunitense noto per i sistemi di navigazione per auto, nautica, aeronautica e più recentemente per i dispositivi personali connessi, tra cui smartwatch e smart band per le attività sportive. L’azienda è stata colpita da un attacco ransomware che a quanto sembra ha fatto breccia in un piccolo stabilimento asiatico, per poi propagarsi in parte dell’infrastruttura aziendale costringendo il gigante della tecnologia a spegnere la maggior parte dei server e dei computer. La situazione si è dimostrata così grave da dover ricorre a quello che viene definito un “hard shutdown”, ovvero il blocco totale di tutta l’infrastruttura, per fermare l’avanzata del virus e verificare le aree colpite. Fortunatamente sembra che non ci sia stato nessun data breach e che i dati degli utenti siano rimasti inviolati. indubbiamente è stato un duro colpo per Garmin in quanto la maggior parte della sua attuale produzione si basa su dispositivi connessi, che sfruttano la tecnologia Garmin Connect per sincronizzare le sessioni di allenamento, la posizione e la gestione dei dati. Il problema più grande però riguarda il Garmin Pilote per l’aeronautica e il sistema satellitare inReach che offre copertura globale nel mondo, oltre che per il tracciamento GPS, per gli avvisi di soccorso e per la rete di telefonia satellitare Iridium. Questi fortunatamente sono stati i primi sistemi ad essere ripristinati in tempi brevi.

Evil Corp

Secondo le più recenti informazioni l’attacco è stato portato a termine con il temibile ransomware WastedLocker, creato dai cybercriminali russi di Evil Corp. Quando WastedLocker infetta un server, ogni file che incontra viene codificato e criptato, rendendolo inaccessibile fino allo sblocco, che solitamente avviene dopo il pagamento di un riscatto. Una situazione che ha messo Garmin in una posizione critica per l’impossibilità di pagare l’eventuale riscatto senza subire sanzioni dal governo americano, che già da tempo ha classificato Evil Corp come organizzazione criminale. Per quanto riguarda l’azienda, con una relazione ufficiale ha comunicato che il proprio sistema informatico è stato vittima di un attacco che è penetrato all’interno di alcuni server e che gli esperti di computer forensic che si stanno occupando del caso non hanno rilevato elementi per poter affermare che i dati degli utenti, incluse le informazioni sui pagamenti di Garmin Pay, siano stati violati. Le funzioni dei prodotti Garmin non sono state compromesse, fatta eccezione per la possibilità di caricare e condividere i servizi online su Garmin Connect. I server sono in fase di ripristino e l’azienda conta di tornare al normale funzionamento nei prossimi giorni.

Un alto costo

Quando tutto tornerà alla normalità ci si potrà chiedere: quanto è costata questa disavventura per Garmin? Oltre al danno all’immagine, ci sono stati giorni di fermo produzione e costi altissimi per il ripristino di tutte le funzioni. Situazione che sottolinea ancora una volta quanto siano fondamentali gli investimenti per la sicurezza e le pratiche di Vulnerability Assessment di cui abbiamo già trattato in questi articoli. Come evidenziato dagli esperti di Hypergrid, queste procedure, insieme al penetration test, rappresentano a tutti gli effetti una vera e propria barriera contro gli attacchi informatici dato che, oltre ad analizzare la vulnerabilità dell’infrastruttura, è possibile simulare attacchi informatici verso un determinato obiettivo per testarne le difese e le criticità ed evidenziare una particolare falla. Ovviamente individuata l’eventuale vulnerabilità il team è in grado di proporre le soluzioni per porvi rimedio.

Per consulenze e informazioni non esitate a contattarci all’indirizzo info@hypergrid.it