E’ uscito in questi giorni lo “State of Ransomware 2021”. Si tratta di una ricerca sui costi relativi al ripristino delle attività dopo un attacco ransomware.
Nel 2021 il costo è raddoppiato rispetto al 2020, passando da 800mila dollari circa agli attuali 1,85 milioni.
Secondo il rapporto (studio effettuato su 5400 IT manager di aziende di medie dimensioni) il riscatto medio pagato è stato di 170.404 dollari mentre quello più consistente è stato di 3,2 milioni. Molti hanno pagato 10mila dollari, mentre almeno 10 aziende hanno pagato riscatti di oltre 1 milione di dollari.
Nello studio è stato rilevato anche che, rispetto alla precedente rilevazione, le aziende che hanno scelto di pagare il riscatto sono aumentate quasi di dieci punti percentuali anche se solo 1 su 10 è riuscita a recuperare tutti i dati dopo aver pagato.
Oltre la metà degli intervistati ha confermato che questo tipo di attacchi sono sempre più complessi e articolati e non possono essere affrontati in autonomia dal reparto IT aziendale.
Lo studio ha anche confermato una tendenza al rialzo che si è sviluppata in questo ultimo anno: il ricorso alla brand reputation per la richiesta di riscatto.
Molte aziende (il 7% del campione analizzato), infatti, hanno subìto richieste di riscatto anche se i dati non erano criptati in quanto oggetto di Data Breach (furto di informazioni sensibili). In questi casi la richiesta riguarda la minaccia di pubblicazione dei dati sensibili, cosa che farebbe perdere credibilità all’azienda colpita.
La ricerca effettuata da Sophos rileva anche una sostanziale diminuzione degli attacchi ransomware (dal 51% al 37%) negli ultimi 12 mesi ma è interessante leggere questi dati con gli occhi di chi ha svolto la ricerca:
“L’apparente diminuzione del numero di aziende colpite dal ransomware – ha detto Chester Wisniewski, principal research scientist di Sophos – è una buona notizia, ma tale dato viene ridimensionato dal fatto che probabilmente riflette, almeno in parte, i cambiamenti nei comportamenti dei cybercriminali. Va infatti rilevato un passaggio dagli attacchi su larga scala, generici e automatizzati a quelli più mirati che sfruttano la tecnica di hacking hands-on-keyboard. Ne consegue che nonostante il numero complessivo di attacchi sia più basso, il potenziale dannoso di questa tipologia di attacco è molto più elevato e il ripristino delle attività è reso molto più complesso. Ristabilire la normalità dopo un attacco ransomware può richiedere anni e si tratta di un processo che va oltre la semplice decriptazione e il rispristino dei dati. Interi sistemi devono essere ricostruiti da zero e bisogna mettere in conto un certo periodo di inattività operativa e l’impatto che può avere sull’attività di business. Inoltre, la definizione di ciò che costituisce un attacco ransomware si sta evolvendo. Per una piccola, ma significativa minoranza degli intervistati, gli attacchi hanno comportato richieste di pagamento senza cifratura dei dati. Questo potrebbe essere dovuto al fatto che le aziende colpite avevano tecnologie anti-ransomware in atto per bloccare la fase di crittografia o può essersi trattato di una scelta dei cybercriminali che hanno preferito puntare sulla minaccia di divulgare online le informazioni rubate in caso di mancato pagamento del riscatto richiesto. Un recente esempio di questo approccio è quello del ransomware Clop che ha colpito circa una dozzina di vittime con attacchi di sola estorsione. Riassumendo, è più importante che mai proteggere gli accessi alle reti aziendali, prima che i cybercriminali abbiano la possibilità di accedervi e dispiegare attacchi sempre più complessi. Fortunatamente, se le aziende vengono attaccate, non devono affrontare questa sfida da sole. Oggi infatti servizi di supporto 24 ore su 24, 7 giorni su 7, sono resi disponibili attraverso centri operativi di sicurezza esterni, in grado di mettere a disposizione solide competenze di threat hunting e di incident response”.
Le nostre raccomandazioni
Per evitare gli attacchi di tipo ransomware, ma soprattutto per evitare perdite di business per il ripristino dello stato, bisogna sempre tener presente che:
- Un attacco di questo tipo è sempre dietro l’angolo: nessun settore, nessun paese, nessuna azienda, qualunque sia la sua dimensione, può considerarsi immune.
- Bisogna avere un buon sistema di backup che preveda anche una copia offline. I backup sono il metodo principale che ha permesso alle aziende coinvolte nella ricerca di recuperare i dati dopo un attacco. L’approccio migliore è il “3:2:2” ovvero tre copie di back up, salvati su due supporti diversi, una delle quali offline.
- Bisogna implementare una protezione su più livelli in modo da isolare gli autori degli attacchi fuori dall’infrastruttura IT aziendale.
- L’esperienza umana deve essere associata alla tecnologia anti-ransomware. La tecnologia da sola fornisce il potenziale e l’automazione mentre l’esperienza umana consente di rilevare tecniche e tattiche che vengono adottate per eseguire un attacco mirato. Per venire incontro ai reparti IT delle aziende, Sophos ha attivato il servizio MTR (Managed Threat Detection and Response), un SOC (Security Operation Center) che opera 24 su 24 per la prevenzione e la soluzione di ogni tipo di problema di sicurezza, in congiunzione con i prodotti firewall (XG) e endpoint (InterceptX con EDR)
- Non si deve pagare il riscatto: anche se sembra più facile a dirsi che a farsi ma i dati della ricerca parlano chiaro, pagare il riscatto non garantisce che i dati siano restituiti.
- Si deve predisporre un piano di recovery: è sempre bene prevenire qualsiasi tipo di attacco, ma bisogna avere anche un piano ben preciso per il recupero della situazione a seguito di un cyberattacco. Molte aziende, fra quelle intervistate, dicono che se avessero predisposto una strategia avrebbero potuto ridurre le perdite economiche.