ransomware
SICUREZZA INFORMATICA

Quanto costa veramente un attacco Ransomware?

Sempre più pericolosi e sempre in aumento, ma quanto costano alle aziende gli attacchi Ransomware?

È stato sicuramente un Annus horribilis per le grandi aziende dal punto di vista degli attacchi Ransomware, solo in questo 2019 (ovviamente ancora non concluso) si sono registrati casi così devastanti – in termini puramente economici – da battere ogni record finora registrato.

Soltanto l’ondata di NotPetya, uno dei Ransomware più pericolosi, che aveva coinvolto i giganti delle spedizioni via mare Maersk e quelli della 24/7 delivery di FedEx hanno raggiunto una stima conservativa di oltre 300 milioni di dollari ciascuno.

Ransomware in breve

Per la maggior parte delle persone però un ransomware è solamente un altro tipo di Virus che malauguratamente può colpirei il nostro pc. Tecnicamente con questo termine viene indicata una classe di malware che rende completamente inaccessibili i dati dei computer infettati se non dietro pagamento di un riscatto (appunto dalla parola inglese ransom).

Di fatto sono Trojan crittografici appositamente designati per estorcere denaro, attraverso un “sequestro di file”, che, in pratica, rende il pc inutilizzabile.

Se infettati da ransomware, al posto del classico sfondo all’accensione del nostro device vedremo comparire un avviso che scimmiotta una comunicazione di un ente ufficiale – magari imitando i loghi della guardia di finanza – e ci chiede di pagare una “multa” per riavere accesso al pc.

Ovviamente è inutile dire che pagare questa somma è quasi sempre controproducente: si rischia di non avere indietro l’accesso e al contempo si fomenta il Cyber crimine.

Questo è lo scenario “base”, ma cosa succede quando questi ransomware bloccano i pc di aziende che “valgono” svariati milioni di fatturato al giorno e senza di essi non possono svolgere le loro attività regolari?

È quello che è successo alla danese Demant , gigante nel campo delle forniture sanitarie, nell’ultimo caso di attacco ransomware di alto profilo.

L’Incident di Demant

I problemi per Demant sono iniziati all’inizio del mese, nella notte del 3 settembre, quando in una breve dichiarazione sul suo sito web, l’azienda ha dichiarato di aver intenzione di chiudere l’intera infrastruttura IT interna a seguito di quello che inizialmente descriveva come “un incidente critico”.

Ciò che è realmente accaduto sulla rete aziendale, non lo sapremo mai, poiché Demant non ha mai rivelato nulla, tranne che la sua “infrastruttura IT è stata colpita da Cyber Crimine”.

I resoconti dei media danesi hanno dato adito alle voci che considerano l’incidente come un attacco di ransomware e, di sicuro, aveva tutti i tratti di un ransomware anche dall’esterno.

Secondo le stesse dichiarazioni dell’azienda tutta l’infrastruttura IT è stata colpita; ed è stata colpita duramente!

L’intero ERP è stato messo in crisi, gli impianti di distribuzione e produzione polacchi sono stati messi fuori gioco, i siti di produzione e assistenza in Messico, i siti di produzione di impianti cocleari in Francia, il sito di produzione di amplificatori in Danimarca e l’intera rete nel bacino Asia-Pacifico.

Durante il corso di un normale incidente informatico di questo genere le aziende mediamente si riprendono, dopo la dovuta fase di Data Recovery, dopo le violazioni dei dati entro pochi giorni.

Tuttavia, Demant ha impiegato settimane e non c’è certezza che sia ancora concluso. Questo livello di distruzione, da cui ci vogliono mesi per riprendersi, si verifica di solito solo durante le infezioni da ransomware.

I rischi di lungo periodo

Nel caso dell’azienda danese, il personale ha recuperato il controllo di quasi tutta l’infrastruttura IT, ma le perdite maggiori, come prevedibile, sono derivate in primo luogo dall’impatto del mancato accesso a questi sistemi.

L’azienda ha segnalato “ritardi nella fornitura di prodotti e un impatto sulla nostra capacità di ricevere ordini”.

Non solo, ha proseguito in una nota, “nella nostra attività di vendita al dettaglio di apparecchi acustici, molte cliniche della nostra rete non sono state in grado di servire regolarmente gli utenti finali”.

Questi sconvolgimenti commerciali sono stati un disastro per i profitti dell’azienda. In un messaggio ai suoi investitori, Demant ha detto che si aspetta di perdere da qualche parte tra gli 80 e i 95 milioni di dollari.

La somma sarebbe stata maggiore, ma l’azienda prevede di incassare una polizza di assicurazione informatica da 14,6 milioni di dollari.

La maggior parte delle perdite sono derivate dalla perdita di vendite e dal fatto che l’azienda non è stata in grado di evadere gli ordini. Il costo effettivo del processo di Data Recovery e della ricostruzione della sua infrastruttura IT è stato di soli 7,3 milioni di dollari, una piccola somma rispetto al totale complessivo.

“Circa la metà delle vendite perse stimate si riferisce alla nostra attività all’ingrosso di apparecchi acustici. L’incidente ci ha impedito di realizzare le nostre ambiziose attività di crescita in alcuni dei mesi più importanti dell’anno, in particolare negli Stati Uniti, che è il nostro mercato più grande”, ha detto Demant in un comunicato stampa la scorsa settimana.

L’azienda si aspetta che il Cyber Security Incident abbia un effetto duraturo sui profitti, dimostrando ancora una volta perché le aziende non possono più ignorare la loro posizione in materia di sicurezza informatica.

Come evitare il Ransomware

Il caso di Demant esemplifica benissimo quali sono i rischi legati a un’infezione da Ransomware. Ma esistono delle best practice per ridurre al minimo i rischi:

  • Utilizzare software antivirus e anti malware o altre politiche di sicurezza per bloccare l’avvio di payload noti;
  • Eseguire backup frequenti e completi di tutti i file importanti e isolarli dalle reti locali e aperte. I professionisti della sicurezza informatica considerano il backup e il ripristino dei dati (74% in un recente sondaggio) di gran lunga la soluzione più efficace per rispondere a un attacco ransomware riuscito;
  • Mantenere i backup offline dei dati archiviati in posizioni inaccessibili da qualsiasi computer potenzialmente infetto, come unità di archiviazione esterne disconnesse o il cloud, che impedisce loro di accedere al ransomware;
  • Installa gli ultimi aggiornamenti di sicurezza emessi dai fornitori di software del tuo sistema operativo e delle tue applicazioni. Ricorda di Patch Early e Patch Spesso per chiudere le vulnerabilità note nei sistemi operativi, nei browser e nei plug-in Web;
  • Prendere in considerazione la distribuzione di software di sicurezza per proteggere gli endpoint, i server di posta elettronica e i sistemi di rete dalle infezioni;
  • Esercitare l’igiene informatica, ad esempio prestando attenzione quando si aprono allegati e collegamenti e-mail;
  • Segmenta le tue reti per mantenere i computer critici isolati e per prevenire la diffusione di malware in caso di attacco. Disattiva le condivisioni di rete non necessarie;
  • Disattiva i diritti di amministratore per gli utenti che non li richiedono. Offri agli utenti le autorizzazioni di sistema più basse di cui hanno bisogno per svolgere il loro lavoro;
  • Limitare il più possibile le autorizzazioni di scrittura sui file server;
  • Istruisci te stesso, i tuoi dipendenti e la tua famiglia sulle migliori pratiche per tenere il malware fuori dai tuoi sistemi. Aggiorna tutti sulle ultime truffe di phishing via e-mail e ingegneria umana volte a trasformare le vittime in abittori;
  • È chiaro che il modo migliore per rispondere a un attacco ransomware è quello di evitare di averne uno in primo luogo. Oltre a ciò, assicurandoti che i tuoi dati preziosi siano sottoposti a backup e non raggiungibili dall’infezione da ransomware assicurerai che i tuoi tempi di inattività e la perdita di dati siano minimi o nulli se subisci un attacco.

Se anche queste dovessero fallire, o se il ransomware si fosse già insinuato all’interno della rete, non resta che avviare una procedura di Data Recovery.

Swascan Team