Mentre gli attacchi ransomware sono in aumento, sembra essere in diminuzione il numero delle denunce di data leak: il che lascia supporre che sono sempre di più le vittime che pagano il riscatto nella speranza di evitare danni reputazionali. Facciamo chiarezza
Cyber Security Expert, COO and Co-founder of Swascan
Il ransomware ha colpito duro nel terzo trimestre del 2022, con 242 vittime di data leak nel mese di settembre rispetto alle 112 di gennaio. La “buona” notizia è che l’Italia, con 29 data leak pubblici (in diminuzione rispetto al Q2 2022), cede il primato di paese europeo più colpito da questa tipologia di malware alla Francia, in cui le vittime sono state 39.
L’anomalia: aumentano gli attacchi, diminuiscono le vittime
In realtà, i dati raccolti dal SOC & Threat Intelligence team di Swascan mediante specifiche ricerche OSINT e CLOSINT e attraverso l’identificazione dei siti Dark Web delle gang ransomware dicono anche altro.
Innanzitutto, che il numero totale di vittime colpite da double extortion e successivo data leak (e che, quindi, hanno verosimilmente deciso di non pagare il riscatto) è leggermente diminuito, passando da 707 a 700. Una variazione di un solo punto percentuale che però rappresenta una vera e propria anomalia rispetto ad alcuni altri importanti fattori.
Il dato è, infatti, in controtendenza rispetto all’aumento del numero di attacchi informatici registrato da più fonti: in particolare, come ben rappresentato dall’edizione di ottobre 2022 del Rapporto Clusit, nel primo semestre 2022 sono stati registrati 1.141 attacchi (+8,4% rispetto al primo semestre del 2021) con una impressionante media di 190 attacchi al mese (lo scorso anno la media è stata di 171).
C’è poi da registrare un’altra anomalia data dal fatto che il numero di gang ransomware che si affidano al data leak come strumento di ricatto nei confronti delle vittime è aumentato del 16%: un valore che stride, evidentemente, con la riduzione del numero di PMI colpite dal ransomware.
In poche parole, il trend di crescita dei ransomware non corrisponde a un conseguente aumento del numero di data leak: il che lascia supporre che sono sempre di più le vittime che pagano il riscatto e i cui dati non vengono pubblicati sui Data Leak Site (DLS) delle varie gang ransomware.
Aziende di servizi le più colpite, ma non lo denunciano
Un’ipotesi avvalorata ancora una volta dai dati dell’ultimo rapporto Clusit, che di fatto conferma come in Europa e in Italia non tutti i casi gravi di attacchi informatici vengono divulgati, soprattutto quando a essere colpite sono le aziende medio-piccole.
Questo avviane sicuramente per una minore o del tutto assente eco mediatica e perché, soprattutto nel caso di attacchi altamente sofisticati, le aggressioni non diventano mai di dominio pubblico oppure lo diventano a distanza di mesi o addirittura anni.
In molti casi, poi, è probabilmente interesse delle aziende colpite non pubblicizzare l’incidente di sicurezza se non costrette dalle circostanze o da obblighi normativi di notifica dell’incidente stesso (come previsto, ad esempio, dalla Direttiva NIS o dal Regolamento europeo per la protezione dei dati personali, meglio conosciuto come GDPR).
Un comportamento, quest’ultimo, che si riscontra soprattutto tra le aziende di servizi sempre meno propense a denunciare un data leak per non subire danni reputazionali e di business che potrebbero anche protrarsi per anni.
Tabella riassuntiva che confronta il Q2 vs Q3 2022.
Da un’analisi più attenta di questi ultimi dati si evince, inoltre, che in Italia l’incidenza di vittime con data leak pubblicati, ogni 100.000 aziende, è di 1,8: prima di noi solo il Canada, con un’incidenza di 1,9. Un valore che, invece, diminuisce in Germania (1,14), in Francia (1,08), in Gran Bretagna (1,06), negli Stati Uniti e in Spagna (1). L’Australia chiude questa particolare scala gerarchica, con una incidenza di vittime pari allo 0,6 sempre su 100.000 aziende.
Valori che confermano che la leva del “name and shame” continua a essere una tecnica criminale molto efficace contro le aziende nostrane proprio perché, come dicevamo prima, gli impatti mediatici a livello di brand reputation sono comunque sempre significativi.
Distribuzione geografica delle vittime di ransomware.
L’economia dei ransomware
L’ipotesi che siano numerose le aziende che pagano il riscatto in seguito a un attacco ransomware, senza denunciarlo, sembrerebbe essere avvalorata anche da un altro dato interessante: nel 2022, dall’inizio anno, le aziende hanno speso un totale di 8.276.660,94 dollari al fine di evitare la pubblicazione dei propri dati, con una richiesta di riscatto media di 1.952.148 dollari pari al 140% in più rispetto allo stesso dato del 2021, quando il riscatto medio si era attestato a 812.000 dollari.
I settori presi di mira dal ransomware.
Una vera e propria economia sommersa gestita da pochi gruppi criminali le cui attività sono risultate essere particolarmente prolifiche:
LockBit
BlackBasta
ALPHV/BlackCat
Hive
Karakurt
BianLian
AvosLocker
MedusaLocker
ViceSociety
Donut Leaks
Sparta
BlackByte
RansomHouse
Quantum
LV
In particolare, il 33,4% di tutti gli attacchi ransomware del terzo trimestre 2022 può essere attribuita a LockBit, che così conferma il suo primato di gang ransomware più attiva con 1.114 attacchi portati a termine dall’inizio dell’anno (sono 234 quelli attribuiti nel solo Q3 2022).
Molto attivo anche il ransomware BlackBasta che, con un totale di 54 attacchi, ha preso il posto occupato da Conti per gran parte dell’anno.
Le attività dei gruppi ransomware nel Q3 2022.
Al di là dei numeri, però, sono due gli aspetti più importanti nelle attività dei ransomware che è utile sottolineare.
Innanzitutto, tra i paesi presi di mira 21 di quelli colpiti a settembre non erano stati attaccati ad agosto e questo sottolinea un’attenzione da parte delle gang ransomware verso nuovi obiettivi.
In secondo luogo, è interessante notare che il 78% delle aziende con dati pubblicati analizzati hanno un fatturato che non supera i 250 milioni di dollari, dato che conferma un incremento del numero di attacchi verso le piccole e medie imprese, considerate soggetti più vulnerabili in quanto spesso meno attrezzate a fronteggiare le minacce informatiche.
Un dato che, tra l’altro, va in controtendenza rispetto al 2021 quando erano in aumento gli attacchi contro le grandi organizzazioni e che conferma l’interesse sempre maggiore delle gang ransomware nei confronti delle supply chain.
Come difendersi dal ransomware
Diventa dunque essenziale continuare a lavorare su resilienza e capacità di assorbimento degli impatti di un attacco ransomware in azienda.
Più delle tradizionali attività di penetration test diventa quindi centrale comprendere il punto di rottura mediante delle simulazioni effettuate con modalità il più vicino possibili a quelle con cui operano i threat actors.
Non è un caso che il framework Tiber – il framework europeo per ethical red teaming basato sulla threat intelligence – parla di indicatori di resilienza e indica la Cyber Threat intelligence e il Red team come servizi da utilizzare per rafforzare la capacità di difesa proattiva delle singole aziende, consentendo di migliorare la resilienza cibernetica delle stesse e la loro stabilità complessiva.
In questo senso, l’approccio migliore per raggiungere una efficace cyber hygiene ed elevare il livello di sicurezza del perimetro aziendale passa per i tre pilastri della cyber security moderna:
Sicurezza predittiva:
identifica le minacce cyber al di fuori del perimetro aziendale operando a livello di Web, Dark Web e Deep Web;
ricerca eventuali minacce emergenti;
effettua attività di Early Warning;
fornisce le evidenze alla sicurezza preventiva;
indica le aree di attenzione alla sicurezza proattiva.
Sicurezza preventiva:
verifica e misura il rischio cyber;
definisce i piani di remediation;
indica il rischio esposto al layer di sicurezza proattiva;
fornisce le aree di investigazione alla sicurezza predittiva.
Sicurezza proattiva:
identifica le minacce cyber che operano all’interno del perimetro aziendale;
contrasta e blocca gli attacchi informatici;
gestisce i cyber incident;
fornisce le evidenze alla sicurezza preventiva;
indica le aree di investigazione alla sicurezza predittiva.
Conclusioni
Il ransomware, soprattutto per via delle modalità con cui viene condotto un attacco, continua a essere il malware più diffuso ed “efficiente”.
Uno scenario ulteriormente aggravato anche dal fatto che negli ultimi anni si è ulteriormente sviluppato come attacco “malware as a service” e quindi facilmente reperibile nel Dark Web come soluzione di attacco pronta all’uso e utilizzabile da chiunque per colpire indistintamente un pubblico ampio e variegato.
In generale, dunque, il ransomware costituisce una minaccia difficile da evitare, ma è comunque possibile mitigare gli impatti più severi: innanzitutto, innalzando il livello di attenzione e creando una maggiore consapevolezza dei rischi cyber.
E poi, adottando i necessari strumenti di difesa in grado di anticipare, rilevare, bloccare e risolvere eventuali minacce in modo da avere piena visibilità dei propri asset critici e mantenerne il controllo su quelli più esposti, che magari non sono aggiornati e quindi risultano essere maggiormente vulnerabili.
Ma ricordiamo sempre che, come diceva Bruce Schneier, “la sicurezza non è un prodotto, è un processo”. È possibile inventare tecnologie di sicurezza sempre più sofisticate e raffinate capaci di rendere arduo lo sfruttamento dei punti deboli di un’infrastruttura da parte dei criminali informatici, ma questi ultimi potrebbero sempre trovare il modo di bypassarle sfruttando l’anello più debole della catena di sicurezza: il fattore umano.
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
