La nuova ricerca Sophos analizza il fenomeno ransomware

La nuova ricerca  “The State of Ransomware 2021” analizza una delle tipologie di cyberattacchi più diffuse e aggressive, come dimostra il fatto che il costo per il ripristino dell’attività di business a seguito di un attacco ransomware sia raddoppiato nell’ultimo anno, passando dai 761.106 dollari a 1,85 milioni di dollari.

Il riscatto medio che viene pagato si attesta sui 170.404 dollari e la ricerca Sophos ha rilevato come solo l’8% delle aziende sia riuscito a recuperare tutti i propri dati dopo averlo pagato, mentre il 29% ha riavuto indietro meno della metà dei dati sottratti.

Coinvolti nella ricerca, 5.400 IT manager di aziende di medie dimensioni in 30 paesi in tutto il mondo.

Sebbene il numero di aziende ad aver subito un attacco ransomware sia diminuito sensibilmente, passando dal 51% al 37% negli ultimi 12 mesi e meno realtà abbiano dovuto fare i conti con la conseguente encryption dei dati (54% contro il 73%), quanto emerso dalla ricerca di Sophos tratteggia uno scenario preoccupante sulle tendenze del fenomeno ransomware e sull’impatto che può avere.

“L’apparente diminuzione del numero di aziende colpite dal ransomware è una buona notizia, ma tale dato viene ridimensionato dal fatto che probabilmente riflette, almeno in parte, i cambiamenti nei comportamenti dei cybercriminali”, spiega Chester Wisniewski, principal research scientist di Sophos. “Va infatti rilevato un passaggio dagli attacchi su larga scala, generici e automatizzati a quelli più mirati che sfruttano la tecnica di hacking  hands-on-keyboard. Ne consegue che nonostante il numero complessivo di attacchi sia più basso, il potenziale dannoso di questa tipologia di attacco è molto più elevato e il ripristino delle attività è reso molto più complesso”.

Tra i dati particolarmente significativi emersi dal nuovo “State of Ransomware 2021”:

• Rispetto a quanto rilevato dalla precedente edizione della ricerca, le aziende che hanno deciso di pagare il riscatto sono aumentate dal 26% al 32%, ma meno di una su dieci (l’8%), è riuscita a recuperare tutti i suoi dati. “I risultati confermano la brutale verità: quando si tratta di ransomware, pagare… non paga. Nonostante sempre più organizzazioni decidano di pagare un riscatto, solo una minoranza ha recuperato tutti i dati”, continua Wisniewski. “Questo dato può essere spiegato dal fatto che spesso l’uso delle chiavi di decrittazione per recuperare le informazioni può essere complicato e spesso non è garantito l’effettivo recupero delle informazioni. Un esempio significativo è quanto avvenuto di recente con DearCry e Black Kingdom: gli attacchi lanciati con codice e tecniche di bassa qualità o compilati in fretta possono rendere il recupero dei dati difficile, se non impossibile”.

• Oltre la metà degli intervistati (54%) ha inoltre confermato un problema ormai conclamato: questo tipo di arma informatica è spesso troppo complessa per poter essere disinnescata in autonomia dai team IT aziendali
• Estorsione senza crittografia: un’altra tendenza interessante riguarda il numero, ridotto ma comunque interessante, di attacchi avvenuti senza l’utilizzo dell’encryption. Il 7% degli intervistati ha infatti affermato che pur avendo subito un attacco, i dati non sono stati cifrati. Tuttavia, l’estorsione è avvenuta ugualmente perché l’azienda ha subito il furto di informazioni sensibili. Anche in questo caso, si registra un aumento rispetto a quanto rilevato dall’edizione 2020 della ricerca che si attestava al 3%

“Ristabilire la normalità dopo un attacco ransomware può richiedere anni e si tratta di un processo che va oltre la semplice decriptazione e il rispristino dei dati. Interi sistemi devono essere ricostruiti da zero e bisogna mettere in conto un certo periodo di inattività operativa e l’impatto che può avere sull’attività di business. Inoltre, la definizione di ciò che costituisce un attacco ransomware si sta evolvendo. Per una piccola, ma significativa minoranza degli intervistati, gli attacchi hanno comportato richieste di pagamento senza cifratura dei dati. Questo potrebbe essere dovuto al fatto che le aziende colpite avevano tecnologie anti-ransomware in atto per bloccare la fase di crittografia o può essersi trattato di una scelta dei cybercriminali che hanno preferito puntare sulla minaccia di divulgare online le informazioni rubate in caso di mancato pagamento del riscatto richiesto. Un recente esempio di questo approccio è quello del ransomware Clop che ha colpito circa una dozzina di vittime con attacchi di sola estorsione. Riassumendo, è più importante che mai proteggere gli accessi alle reti aziendali, prima che i cybercriminali abbiano la possibilità di accedervi e dispiegare attacchi sempre più complessi. Fortunatamente, se le aziende vengono attaccate, non devono affrontare questa sfida da sole. Oggi infatti servizi di supporto  24 ore su 24, 7 giorni su 7, sono resi disponibili attraverso centri operativi di sicurezza esterni, in grado di mettere a disposizione solide competenze di threat hunting e di incident response“, rassicura Wisniewski.

Al fine di alzare il livello di protezione contro il ransomware, gli esperti di Sophos suggeriscono di adottare sei semplici accorgimenti:

1. Partire dal presupposto che si subirà un attacco: il ransomware rappresenta una delle minacce più diffuse e aggressive. Nessun settore, nessun paese, nessuna azienda, qualunque sia la sua dimensione, può dirsi al riparo. Meglio essere pronti e non venire colpiti che viceversa
2. Disporre sempre di backup e prevederne una copia offline: I backup sono il metodo principale utilizzato dalle aziende coinvolte nella ricerca per recuperare i dati dopo un attacco. L’approccio migliore è il cosiddetto “3:2:2” ovvero tre copie di back up, salvati su due supporti diversi, una delle quali offline
3. Implementare una protezione su più livelli: il primo passo è cercare di tenere gli autori degli attacchi fuori dall’infrastruttura IT aziendale. Per questo motivo, dotarsi di una protezione su più livelli consentirà di bloccare ogni punto di accesso
4. Unire l’esperienza umana alla tecnologia anti-ransomware: la tecnologia fornisce il potenziale e l’automazione di cui un’azienda ha bisogno, mentre l’esperienza umana consente di rilevare al meglio le tattiche, le tecniche e le procedure rivelatrici di un attacco imminente. Se l’azienda non ha a disposizione le risorse e le competenze necessarie in house, il consiglio è di rivolgersi a realtà specializzate in cybersecurity: i Security Operation Center (SOC) rappresentano infatti la soluzione in grado di adattarsi alle specifiche esigenze di aziende di ogni dimensione
5. Non pagare il riscatto: anche se è più facile a dirsi che a farsi, a prescindere da qualunque considerazione di tipo etico, pagare il riscatto si è rivelata una soluzione poco efficace per riavere indietro i propri dati. Qualora si decida comunque di pagare, bisogna tenere a mente che molto probabilmente si recupereranno solo i due terzi dei propri file
6. Prevedere un piano di recovery dal malware: il modo migliore per evitare che un cyberattacco si trasformi in un data breach di proporzioni gravi è essere preparati. Molte aziende vittime di incidenti di sicurezza si rendono conto che se avessero predisposto una strategia per fronteggiare tale evenienza, avrebbero potuto ridurre significativamente le perdite economiche e le conseguenze sul business.

La versione completa di “The State of Ransomware 2021” è disponibile qui

La ricerca è stata condotta tra gennaio e febbraio 2021 da Vanson Bourne, società indipendente in ricerche di mercato. Al sondaggio hanno partecipato 5.400 decision maker in ambito IT in 30 paesi: Stati Uniti, Canada, Brasile, Cile, Colombia, Messico, Austria, Francia, Germania, Regno Unito, Italia, Paesi Bassi, Belgio, Spagna, Svezia, Svizzera, Polonia, Repubblica Ceca, Turchia, Israele, India, Arabia Saudita, Nigeria, Sudafrica, Australia, Giappone, Singapore, Malesia, Filippine ed Emirati Arabi Uniti. Tutti gli intervistati lavorano in aziende con un numero di dipendenti compreso tra 100 e 5.000.

Altre risorse

• Articolo sul blog Naked Security, “Non importa quanto pagherete, non aspettatevi un recupero totale dei dati”
• Per maggiori dettagli sulla precedente edizione: The State of Ransomware 2020
• Maggiori informazioni sui Servizi di Rapid Response  di Sophos per l’identificazione e neutralizzazione rapida delle minacce 24 ore su 24 e 7 giorni su 7
• Quattro suggerimenti chiave per gestire al meglio l’incident response