Nei primi anni del ransomware, molte (se non la maggior parte) delle vittime erano riluttanti ad ammettere pubblicamente di essere state colpite per paura di aggravare l’impatto economico dell’attacco. Le preoccupazioni per la pubblicità negativa e l’abbandono dei clienti spingevano molte organizzazioni a tacere.
Recentemente, la situazione è cambiata: le vittime di ransomware sono sempre più disposte a riconoscere un attacco. Questo cambiamento è probabilmente dovuto in parte alla tendenza a normalizzare il ransomware: i nostri rapporti (del tutto anonimi) sullo “State of Ransomware” hanno rivelato tassi di attacco superiori al 50% negli ultimi tre anni e il riconoscimento pubblico di un attacco da parte di brand famosi è una consuetudine. In breve, essere colpiti da un ransomware non è più percepito come un motivo di vergogna.
Anche l’aumento dell’obbligo di segnalazione degli attacchi in molte giurisdizioni sta probabilmente determinando una maggiore divulgazione, in particolare nel settore pubblico, che è il più colpito da questi regolamenti e requisiti.
Nonostante l’impressione generale di un aumento delle segnalazioni, è stato difficile ottenere informazioni dettagliate e confronti regionali, fino ad oggi. L’indagine Sophos State of Ransomware di quest’anno fa luce su questo aspetto, rivelando per la prima volta come variano i livelli di segnalazione e le risposte ufficiali nei 14 Paesi presi in esame.
Segnalare un attacco ransomware è un vantaggio per tutti
La natura e la disponibilità del supporto ufficiale per affrontare un attacco ransomware variano da Paese a Paese, così come gli strumenti per segnalare un attacco informatico. Le vittime statunitensi possono rivolgersi alla Cybersecurity and Infrastructure Security Agency (CISA), quelle britanniche al National Cyber Security Centre (NCSC) e le organizzazioni australiane all’Australian Cyber Security Center (ACSC), solo per citarne alcune.
La segnalazione di un attacco comporta vantaggi sia per la vittima che per gli organismi ufficiali che cercano di supportarla:
- Supporto immediato per la soluzione del problema: I governi e gli altri enti ufficiali sono spesso in grado di fornire competenze e indicazioni per aiutare le vittime a porre rimedio all’attacco e a ridurne l’impatto.
- Approfondimenti sulle policy: La protezione delle aziende dalla criminalità informatica, incluso il ransomware, è uno dei principali obiettivi di molti governi in tutto il mondo. Più i funzionari hanno informazioni sugli attacchi e sul loro impatto, meglio possono orientare le policy e le iniziative.
- Possibilità di smascherare l’aggressore: La condivisione tempestiva dei dettagli degli attacchi aiuta gli sforzi nazionali e pan-nazionali per eliminare le bande criminali, come l’operazione Lockbit del febbraio 2024.
Tenendo conto di questi aspetti positivi, i risultati dell’indagine sono incoraggianti.
Insight 1: la maggior parte degli attacchi ransomware viene segnalata
A livello globale, il 97% delle vittime di ransomware nell’ultimo anno ha segnalato l’attacco alle forze dell’ordine e/o a enti ufficiali. I tassi di segnalazione sono elevati in tutti i Paesi esaminati, con appena dieci punti percentuali tra il tasso più basso (90% – Australia) e quello più alto (100% – Svizzera).
I risultati rivelano che, mentre il fatturato annuale e il numero di dipendenti hanno un impatto minimo sulla propensione a segnalare un attacco, vi sono alcune variazioni a seconda del settore. Nei settori con alte percentuali di organizzazioni del settore pubblico, vengono segnalati quasi tutti gli attacchi:
- 100% amministrazioni statali e locali (n=93)
- 6% sanità (n=271)
- 5% istruzione (n=387)
- 4% governo centrale/federale (n=175)
Il settore della distribuzione e dei trasporti presenta il tasso di segnalazione più basso (85%, n=149), seguito da IT, tecnologia e telecomunicazioni (92%, n=143).
Insight 2: le forze dell’ordine quasi sempre intervengono in un modo o nell’altro
Per le organizzazioni che denunciano l’attacco, la buona notizia è che le forze dell’ordine e/o gli enti ufficiali vengono quasi sempre coinvolti. Nel complesso, solo l’1% delle 2.974 vittime intervistate ha dichiarato di non aver ricevuto assistenza nonostante la denuncia dell’attacco.
Insight 3: il supporto alle vittime di ransomware varia a seconda del Paese
Gli intervistati che hanno segnalato l’attacco hanno ricevuto assistenza in tre modi principali:
- Consigli su come affrontare l’attacco (61%)
- Assistenza nelle indagini sull’attacco (60%)
- Assistenza per il recupero dei dati cifrati durante l’attacco (40% di tutte le vittime e 58% di quelle che hanno subito la cifratura dei dati).
Scendendo più in profondità, si nota che l’esatta natura del coinvolgimento delle forze dell’ordine e/o degli enti ufficiali varia a seconda della sede dell’organizzazione. Mentre più della metà delle vittime ha ricevuto consigli su come affrontare l’attacco in tutti i Paesi presi in esame, le organizzazioni in India (71%) e a Singapore (69%) hanno riportato il livello più alto di supporto in questo ambito.
Anche gli intervistati indiani hanno riferito il più alto livello di supporto nelle indagini sull’attacco (70%), seguiti da quelli sudafricani (68%), mentre il tasso più basso è stato registrato in Germania (51%).
Tra coloro che hanno subito la cifratura dei dati, più della metà a livello globale (58%) ha ricevuto assistenza per il loro recupero. L’India continua a essere in cima alla classifica, con il 71% di coloro che hanno avuto dati criptati che hanno ricevuto assistenza per recuperarli. In particolare, i Paesi con la più bassa propensione delle vittime a ricevere aiuto per recuperare i dati cifrati sono tutti in Europa: Svizzera (45%), Francia (49%), Italia (53%) e Germania (55%).
Insight 4: il coinvolgimento con le forze dell’ordine è generalmente facile
È incoraggiante notare che più della metà (59%) di coloro che hanno contattato le forze dell’ordine e/o gli enti ufficiali in relazione all’attacco ha dichiarato che il processo è stato facile (23% molto facile, 36% un po’ facile). Solo il 10% ha dichiarato che il processo è stato molto difficile, mentre il 31% lo ha descritto come un po’ difficile.
La facilità di coinvolgimento varia anche a seconda del Paese. Gli intervistati in Giappone sono stati i più propensi a trovare difficile la segnalazione (60%), seguiti da quelli in Austria (52%). Gli intervistati giapponesi hanno anche la più alta propensione a trovare “molto difficile” segnalare l’attacco (23%). Al contrario, gli intervistati in Brasile (75%) e a Singapore (74%) sono stati i più propensi a trovare facile l’engagement, mentre le organizzazioni italiane hanno avuto la percentuale più alta di chi lo ha trovato “molto facile” (32%).
Insight 5: Ci sono una miriade di motivi per cui gli attacchi non vengono segnalati
Le ragioni per cui il 3% (86 intervistati) non ha segnalato l’attacco sono state molteplici: le due più comuni sono state la preoccupazione di un impatto negativo sull’organizzazione, come multe, addebiti o lavoro extra (27%), e la convinzione che non ci sarebbe stato alcun vantaggio (27%). Diversi intervistati hanno dichiarato testualmente di non essersi rivolti a enti ufficiali perché erano in grado di risolvere il problema internamente.
Conclusioni
I risultati dell’indagine hanno rivelato che la segnalazione di attacchi ransomware è molto comune e che le vittime ricevono quasi sempre assistenza. Si spera che questi numeri incoraggino le organizzazioni che in futuro dovessero essere vittime di un attacco a informare gli enti competenti. Sebbene sia generalmente facile per le imprese segnalare un attacco, esistono anche opportunità per facilitare il processo in quello che è inevitabilmente un momento molto stressante. Come commenta Chester Wisniewski, direttore del Global Field CTO di Sophos, “I criminali hanno successo in parte grazie alla scala e all’efficienza con cui operano. Per sconfiggerli, dobbiamo essere all’altezza in entrambe le aree. Ciò significa che, in futuro, avremo bisogno di una collaborazione ancora maggiore, sia nel settore privato che in quello pubblico, e a livello globale”.
Informazioni sul rapporto
Il report Sophos State of Ransomware 2024 si basa sui risultati di un’indagine indipendente e vendor-agnostic commissionata da Sophos a 5.000 leader del settore IT/cybersecurity di 14 Paesi nelle Americhe, EMEA e Asia Pacifico. Tutti gli intervistati rappresentano organizzazioni con un numero di dipendenti compreso tra 100 e 5.000. L’indagine è stata condotta dallo specialista della ricerca Vanson Bourne tra gennaio e febbraio 2024 e ai partecipanti è stato chiesto di rispondere in base alle loro esperienze nel corso dell’anno precedente. All’interno del settore dell’istruzione, gli intervistati sono stati suddivisi in istruzione inferiore (per studenti fino a 18 anni) e istruzione superiore (per studenti di età superiore a 18 anni).