Di Ben Carr, Chief Information Security Officer di Qualys
Secondo una ricerca pubblicata su Statista ad Aprile 2021, il 68,5% delle aziende di tutto il mondo ha subito attacchi ransomware, registrando nel 2021 la cifra più alta. A partire dal 2018, più della metà del totale degli intervistati ha affermato che la propria azienda ha subito un attacco ransomware.
Questo incremento è in parte dovuto alla complessità del software e alla comune concezione che non si possa sviluppare un programma privo di vulnerabilità. In aggiunta, il fattore di monetizzazione che contraddistingue il ransomware, rende questa minaccia lo strumento più semplice per ottenere criptovalute. Questo flusso di entrate, viene utilizzato dai gruppi APT (Advanced Persistent Threat) e dai cybercriminali per sostenere le loro attività in corso.
Gli obiettivi del ransomware
Attualmente, il settore maggiormente colpito dagli attacchi ransomware rimane quello sanitario, dove attraverso minacce che mettono a rischio direttamente lo stato di salute delle persone, gli hacker hanno riscontrato maggiore propensione al pagamento del riscatto. Il ransomware ha ottenuto anche un discreto successo nella pubblica amministrazione, dove i sistemi i sistemi informatici dovrebbero apparire inespugnabili. A fronte dell’estrema semplicità d’implementazione di questa rete di attacchi, anche tutte le altre aziende possono diventare un bersaglio facilmente raggiungibile, sostenendo costi di sviluppo di ransomware anche molto contenuti.
Il pagamento del riscatto
Dopo aver subito un attacco ransomware, i consigli di amministrazione delle aziende devono scegliere se cedere al pagamento del riscatto o rischiare la divulgazione dei propri dati sensibili. Secondo il pensiero comune e secondo il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), le aziende non dovrebbero cedere al pagamento. Di fronte al rischio di dover affrontare danni economici senza pari, spesso le aziende preferiscono cedere al pagamento del riscatto. In termini di business, per poter continuare a operare, le organizzazioni ritengono questo costo accettabile. Le conseguenze generate da queste decisioni hanno incrementato ulteriormente la presenza di attacchi ransomware.
Negli Stati Uniti, L’OFAC (Office of Foreign Assets Control) ha rilasciato una nuova direttiva per cercare di contenere il pagamento del riscatto e il ricorso ad assicurazioni contro attacchi ransomware da parte delle aziende. Le organizzazioni statunitensi hanno proibito queste due soluzioni, ricordando la responsabilità civile e penale alle aziende che effettuano qualsiasi tipo di transazione a individui e entità presenti nella “Specially Designated Nationals and Blocked Persons List” (SDN List) o da paesi coperti da embargo Regionale o Nazionale come l’Iran e la Corea del Nord.
La soluzione
Per i CISO, il rischio di incorrere in eventuali sanzioni, dovrebbe condurre all’implementazione di strategie di prevenzione da qualsiasi tipo di attacco informatico. Quest’obiettivo può essere raggiunto attraverso una migliore visibilità degli asset, prestando particolare attenzione ai dati per garantire la continuità del business.
La crescita esponenziale del ransomware è anche legata al progressivo utilizzo del cloud e delle strategie di backup da parte delle organizzazioni. Per questo motivo è fondamentale rivedere completamente i piani e le procedure di backup e di recupero. Nonostante ad oggi il cloud rappresenti un servizio indispensabile per aziende e organizzazioni di qualsiasi dimensione, esso richiede un quadro di controllo completo di tutti gli asset presenti, per mantenerli al sicuro e protetti.
Consigli generali per difendersi dagli attacchi ransomware
- Assicurarsi di avere l’autenticazione a due fattori.
- Assicurarsi di aver incluso la ridondanza e la resilienza nei propri sistemi.
- Assicurarsi di disporre di una soluzione di rilevamento degli endpoint per essere avvisati tempestivamente quando si verifica un incidente.
- Investire in una piattaforma cloud che garantisca prevenzione, rilevamento e risposta per l’intero ciclo di vita dell’attacco. Questa piattaforma permetterà anche di individuare quali altri sistemi sono stati configurati come quello colpito e a quali altri sistemi sono collegati, interrompendo immediatamente le comunicazioni.
- La gestione delle patch permetterà inoltre di rinforzare i sistemi che hanno la stessa configurazione, avvalendosi di un unico pannello di controllo.