Ransomware, cedere al riscatto anche dopo il ripristino dati non è mai una buona idea - Cyber Security 360

SICUREZZA INFORMATICA

Ransomware, cedere al riscatto anche dopo il ripristino dati non è mai una buona idea

Sempre più spesso le aziende pagano il riscatto in seguito ad un attacco ransomware al fine di evitare ulteriori danni materiali e di immagini, pur disponendo di un backup dei dati. Sarebbe invece meglio investire nella formazione del personale e ottimizzare gli standard di sicurezza dei processi e dei sistemi

12 Feb 2021
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

La tendenza di crescita degli attacchi di ransomware vista nel 2020, sembra destinata a continuare anche nel 2021: questo tipo di offensive criminali si sta dimostrando ancora l’approccio più redditizio, vista la scelta sempre più comune da parte delle aziende di pagare il riscatto al fine di evitare ulteriori danni (materiali e d’immagine), pur avendo un backup a disposizione.

Tecniche e approcci innovativi per spingere le vittime a pagare

Alcune organizzazioni che cadono vittima di attacchi ransomware pagano il riscatto alle bande di cyber criminali nonostante siano in grado di ripristinare le proprie reti e i dati con sistemi di backup, al fine di evitare che alcuni dati sensibili vengano pubblicati.

Nel corso dell’ultimo anno, molte delle “bande del ransomware” fra quelle di maggior successo hanno aggiunto un’ulteriore tecnica alla loro strategia, nel tentativo di costringere le vittime a pagare il riscatto dopo aver compromesso le loro reti.

Stiamo parlando della doppia estorsione.

All’inizio del 2020, solo l’organizzazione criminale nota con il nome di Maze utilizzava attivamente questa tattica. Come spesso accade, le idee di successo sono contagiose e ora, a inizio 2021, sono ben 17 le bande di ransomware che hanno adottato lo stesso approccio.

Tuttavia, secondo il rapporto “State of Ransomware” pubblicato dalla società di cyber security Emsisoft, sono state vittime di attacco ransomware anche società in grado di ripristinare la loro rete tramite backup (e che l’hanno effettivamente eseguito con successo) che hanno comunque preferito pagare riscatti di centinaia di migliaia o milioni di dollari (in Bitcoin) nel tentativo di impedire ai criminali informatici di far trapelare le informazioni rubate.

La professionalità delle organizzazioni cyber criminali

Così come accade alle società che operano su mercati legittimi, le imprese criminali adottano strategie che hanno dimostrato di funzionare, e il furto di dati o la loro compromissione con annessa richiesta di riscatto è una strategia efficace.

Alcune organizzazioni che, per opportunità o per la presenza di un piano di recupero preventivo, sono state in grado di utilizzare i backup per recuperare dagli attacchi hanno comunque pagato il riscatto semplicemente per evitare che i loro dati fossero pubblicati.

Tale scelta fa comprendere l’efficacia della strategia della “doppia estorsione”. Questo approccio ha aumentato la percentuale di attacchi ransomware conclusi con pagamento di riscatto e, conseguentemente, un incremento nel ROI delle organizzazioni cyber criminali.

Numeri allarmanti

Gli attacchi ransomware hanno fatto migliaia di vittime durante lo scorso anno, con centinaia di agenzie governative, strutture sanitarie, scuole e università, così come aziende private, a subire i danni dei tentativi di estorsione dei cyber criminali.

Secondo gli ultimi dati, le organizzazioni del settore pubblico negli Stati Uniti sono state le più colpite dagli attacchi con ransomware, per un totale di 2.354 istituzioni governative, sanitarie ed educative finite nel mirino.

In questi numeri sorprendenti sono incluse 1.681 fra scuole, college e università, 560 strutture sanitarie e 113 enti e agenzie federali, statali e comunali. Nello stesso periodo anche 1.300 aziende private sono state colpite da attacchi della stessa natura.

Mentre alcune organizzazioni cedono a questa richiesta di riscatto, pagando centinaia di migliaia o addirittura milioni di dollari in Bitcoin, pensando che si tratti del modo più veloce per ripristinare la rete, altre si rifiutano. Tale decisione può determinare una fase di stallo, della durata di settimane o mesi, prima che venga ripristinata la rete. Come detto, altre società hanno preferito effettuare il ripristino da backup e pagare anche il riscatto.

L’ammontare totale dei danni finanziari causati dagli attacchi ransomware è stimato nell’ordine grandezza di 5-10 miliardi di dollari. E poiché questo approccio criminale sta avendo successo, è probabile che ancora più gruppi di ransomware adotteranno la tecnica della doppia estorsione, vista l’efficacia della minaccia di pubblicare dati sensibili verso le aziende coinvolte.

Numeri che anche in Europa seguono questa falsariga.

Tuttavia, mentre gli attacchi ransomware continuano ad arrecare danno a un numero significativo di organizzazioni, ci sono contromisure relativamente semplici che possono essere applicate nel tentativo di proteggersi dal ransomware e da altri attacchi malware.

I consigli per difendersi

Il phishing rimane uno dei metodi principali di distribuzione del ransomware – specialmente in corrispondenza dell’esplosione del lavoro da remoto provocata dalla pandemia da COVID-19. Le aziende e le organizzazioni pubbliche dovrebbero impegnarsi nel ribadire l’importanza di valutare attentamente l’affidabilità di una e-mail (e dei suoi allegati) per evitare l’ingresso di malware.

Se i dipendenti sospettano della legittimità del contenuto di un messaggio di posta elettronica, devono effettuare immediatamente una segnalazione al ramo aziendale di competenza.

Sarebbe inoltre opportuno prevedere e applicare una buona politica di patching, ovvero l’installazione sistematica, rapida e completa di tutte le patch e degli aggiornamenti di sicurezza degli elementi software e hardware utilizzati all’interno del sistema informatico aziendale.

In questo modo si chiude immediatamente la porta più ampia e semplice attraverso la quale si introducono solitamente i threat actor per rilasciare il malware.

Non va poi dimenticata l’importanza della pianificazione dei backup, un’altra priorità per mantenere l’integrità degli asset aziendali. Dovesse avvenire il peggio, la rete e i dati aziendali potranno essere ripristinati senza dover attendere l’OK degli estorsori.

Il 2021 non deve essere necessariamente una fotocopia del 2020. Investendo nella formazione del personale, lavorando sugli standard di sicurezza dei processi e dei sistemi, è possibile ridurre in modo sensibile le probabilità di finire vittima di un attacco con ransomware.

Se la totale immunità è anche solo difficile da immaginare, è però possibile ridurre la gravità dei danni, il loro impatto e i costi finali per i bilanci societari.

Non abbassiamo la guardia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3