Secondo la ricerca Sophos State of Ransomware 2021, il costo per il ripristino dell’attività di business a seguito di un attacco ransomware è passato dai 761.106 dollari a 1,85 milioni di dollari, raddoppiando nell’ultimo anno.
Secondo il report (che ha coinvolto 5.400 IT manager di aziende di medie dimensioni in 30 paesi in tutto il mondo) il riscatto medio che viene pagato si attesta sui 170.404 dollari.
Ciò significa che il costo medio che un’azienda colpita da un attacco ransomware deve affrontare equivale a 10 volte il valore del pagamento del riscatto.
Tra le aziende facenti parte del campione preso in esame, il riscatto più alto pagato è stato pari a 3,2 milioni di dollari mentre la cifra più frequente era di 10.000 dollari. 10 aziende hanno dichiarato di aver pagato riscatti da 1 milione di dollari e oltre.
Lo studio ha inoltre rilevato che a quanto rilevato dalla precedente edizione della ricerca, le aziende che hanno deciso di pagare il riscatto sono aumentate dal 26% al 32%, ma meno di una su dieci (l’8%), è riuscita a recuperare tutti i suoi dati dopo aver pagato, mentre il 29% ha riavuto indietro meno della metà dei dati sottratti.
Tra l’altro, oltre la metà degli intervistati (54%) ha confermato un problema ormai conclamato: questo tipo di arma informatica è spesso troppo complessa per poter essere disinnescata in autonomia dai team IT aziendali.
Un’altra tendenza interessante riguarda il numero, ridotto ma comunque interessante, di attacchi avvenuti senza l’utilizzo dell’encryption. Il 7% degli intervistati ha infatti affermato che pur avendo subito un attacco, i dati non sono stati cifrati. Tuttavia, l’estorsione è avvenuta ugualmente perché l’azienda ha subito il furto di informazioni sensibili. Anche in questo caso, si registra un aumento rispetto a quanto rilevato dall’edizione 2020 della ricerca che si attestava al 3%.
Sebbene il numero di aziende ad aver subito un attacco ransomware sia diminuito sensibilmente, passando dal 51% al 37% negli ultimi 12 mesi e meno realtà abbiano dovuto fare i conti con la conseguente encryption dei dati (54% contro il 73%), quanto emerso dalla ricerca di Sophos tratteggia uno scenario preoccupante sulle tendenze del fenomeno ransomware e sull’impatto che può avere.
“L’apparente diminuzione del numero di aziende colpite dal ransomware – ha spiegato Chester Wisniewski, principal research scientist di Sophos – è una buona notizia, ma tale dato viene ridimensionato dal fatto che probabilmente riflette, almeno in parte, i cambiamenti nei comportamenti dei cybercriminali. Va infatti rilevato un passaggio dagli attacchi su larga scala, generici e automatizzati a quelli più mirati che sfruttano la tecnica di hacking hands-on-keyboard. Ne consegue che nonostante il numero complessivo di attacchi sia più basso, il potenziale dannoso di questa tipologia di attacco è molto più elevato e il ripristino delle attività è reso molto più complesso. Ristabilire la normalità dopo un attacco ransomware può richiedere anni e si tratta di un processo che va oltre la semplice decriptazione e il rispristino dei dati. Interi sistemi devono essere ricostruiti da zero e bisogna mettere in conto un certo periodo di inattività operativa e l’impatto che può avere sull’attività di business. Inoltre, la definizione di ciò che costituisce un attacco ransomware si sta evolvendo. Per una piccola, ma significativa minoranza degli intervistati, gli attacchi hanno comportato richieste di pagamento senza cifratura dei dati. Questo potrebbe essere dovuto al fatto che le aziende colpite avevano tecnologie anti-ransomware in atto per bloccare la fase di crittografia o può essersi trattato di una scelta dei cybercriminali che hanno preferito puntare sulla minaccia di divulgare online le informazioni rubate in caso di mancato pagamento del riscatto richiesto. Un recente esempio di questo approccio è quello del ransomware Clop che ha colpito circa una dozzina di vittime con attacchi di sola estorsione. Riassumendo, è più importante che mai proteggere gli accessi alle reti aziendali, prima che i cybercriminali abbiano la possibilità di accedervi e dispiegare attacchi sempre più complessi. Fortunatamente, se le aziende vengono attaccate, non devono affrontare questa sfida da sole. Oggi infatti servizi di supporto 24 ore su 24, 7 giorni su 7, sono resi disponibili attraverso centri operativi di sicurezza esterni, in grado di mettere a disposizione solide competenze di threat hunting e di incident response”.
Le raccomandazione di Sophos
Al fine di alzare il livello di protezione contro il ransomware, gli esperti di Sophos suggeriscono di adottare i seguenti sei semplici accorgimenti.
1. Partire dal presupposto che si subirà un attacco: il ransomware rappresenta una delle minacce più diffuse e aggressive. Nessun settore, nessun paese, nessuna azienda, qualunque sia la sua dimensione, può dirsi al riparo. Meglio essere pronti e non venire colpiti che viceversa.
2. Disporre sempre di backup e prevederne una copia offline. I backup sono il metodo principale utilizzato dalle aziende coinvolte nella ricerca per recuperare i dati dopo un attacco. L’approccio migliore è il cosiddetto “3:2:2” ovvero tre copie di back up, salvati su due supporti diversi, una delle quali offline.
3. Implementare una protezione su più livelli: il primo passo è cercare di tenere gli autori degli attacchi fuori dall’infrastruttura IT aziendale. Per questo motivo, dotarsi di una protezione su più livelli consentirà di bloccare ogni punto di accesso.
4. Unire l’esperienza umana alla tecnologia anti-ransomware. La tecnologia fornisce il potenziale e l’automazione di cui un’azienda ha bisogno, mentre l’esperienza umana consente di rilevare al meglio le tattiche, le tecniche e le procedure rivelatrici di un attacco imminente. Se l’azienda non ha a disposizione le risorse e le competenze necessarie in house, il consiglio è di rivolgersi a realtà specializzate in cybersecurity: i Security Operation Center (SOC) rappresentano infatti la soluzione in grado di adattarsi alle specifiche esigenze di aziende di ogni dimensione.
5. Non pagare il riscatto: anche se è più facile a dirsi che a farsi, a prescindere da qualunque considerazione di tipo etico, pagare il riscatto si è rivelata una soluzione poco efficace per riavere indietro i propri dati. Qualora si decida comunque di pagare, bisogna tenere a mente che molto probabilmente si recupereranno solo i due terzi dei propri file.
6. Prevedere un piano di recovery dal malware: il modo migliore per evitare che un cyberattacco si trasformi in un data breach di proporzioni gravi è essere preparati. Molte aziende vittime di incidenti di sicurezza si rendono conto che se avessero predisposto una strategia per fronteggiare tale evenienza, avrebbero potuto ridurre significativamente le perdite economiche e le conseguenze sul business.
