Swatch sotto attacco, perché ha spento i sistemi IT per salvarsi

Anche Swatch è stata colpita da un attacco mirato alla cyber security. Nel fine settimane i sistemi IT sono stati spenti per precauzione.

Autore: Redazione SecurityOpenLab

Anche il produttore svizzero di orologi Swatch Group è stato vittima di un attacco informatico. Fonti di stampa riportano che nel fine settimana, ossia fra il 26 e il 27 settembre, a seguito di un'intrusione l'azienda ha dovuto disattivare il sistema IT per prevenire la diffusione dell'attacco. Non è stata chiarita la natura dell'attacco, ma la possibilità che si sia trattato di un ransomware è data come altamente probabile.

L'agenzia di stampa svizzera AWP riporta una dichiarazione ufficiale in cui "Swatch Group conferma di aver identificato chiari segni di un attacco informatico in via di sviluppo su alcuni dei suoi sistemi informatici durante il fine settimana".

L'arresto dei sistemi è stato fatto in via precauzionale. Da una parte ha costretto all'interruzione di alcune operazioni, dall'altra ha permesso di circoscrivere i danni, bonificare i server interessati e riavviare i sistemi in tutta sicurezza.


Il parere dell'esperto


Una procedura, quella appena descritta, che vediamo ripetersi frequentemente quando vengono identificati i segnali di un possibile attacco in corso. Fabrizio Croce, VP Sales South EuropeWatchGuard Technologies, ci spiega perché.

Sfortunatamente un ransomware agisce in modo silente. Scoprire che è in atto un'infezione non è semplice e spesso si scopre quando è già tardi. Lo "spegnere tutto" può prevenire una diffusione di un ransomware in una rete. Tuttavia, alla riaccensione dei sistemi il malware è ancora attivo e riparte da dove si era interrotto, per questo si deve essere certi di essersi anche sconnessi dalla rete.

Una sorta di best practice potrebbe essere:   Una volta sconnesso tutto, una procedura di ripristino (considerando windows come sistema operativo) si potrebbe riassumere in: 

Se non ci si è accorti in tempo dell'attacco,
non rimane altro che riformattare tutto, riprendere il backup oppure….pagare come molte aziende (anche blasonate) sfortunatamente hanno fatto.

E’ banale dire che la migliore cura è la prevenzione, adottando contromisure che la tecnologia mette a disposizione: i ransomware non sono imbattibili, ma ci si può “vaccinare” sia con strumenti informatici sia con l’educazione del personale. Insegnare ai dipendenti a non aprire allegati sconosciuti, non cliccare su link sospetti, non inserire chiavette di dubbia provenienza, non usare Wi-Fi esterni all'azienda o telefoni in tethering è un primo passo.

Poi è necessario passare alla parte logica/informatica. E' necessario
usare firewall di ultima generazione con tecnologie di Intelligenza Artificiale e Sandobxing, non tralasciare mai l’endpoint perché un'infezione può essere portata all’interno da un pendrive o una connessione Wi-Fi non protetta che bypassa il perimetro.

Anche per l’endpoint vi sono soluzioni antivirus di ultima generazione che includono le tecnologie EPP (Endpoint Protection Platform) e EDR (Endpoint Detecion and Response)  studiate appositamente per arginare le minacce zero-day e bloccare i processi di criptazione propri dei ramsomware.

In ultima analisi, vale per i ransomware ma anche per eventi catastrofici come alluvioni, terremoti etc: bisogna avere una seria politica di disaster recovery, spesso non implementata per questioni di costi, che si moltiplicano per 1000 in caso un evento nefasto.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.