A cura di Edwin Weijdema, Field CTO EMEA e Lead Cybersecurity Technologist in Veeam
Il ransomware si è imposto come arma principale dei criminali informatici nel 2020. Da allora, è in cima all’agenda della sicurezza globale, affliggendo aziende, servizi pubblici e privati. Le organizzazioni hanno dovuto modificare rapidamente le proprie strategie di cybersecurity, protezione dei dati e disaster recovery per adattarsi a questa nuova pandemia. Ma sta facendo la differenza? A distanza di tre anni, il ransomware e la resilienza informatica rimangono la priorità numero uno per la maggior parte dei team di sicurezza e i titoli dei giornali che parlano di vittime di ransomware di alto profilo continuano ad arrivare. La fine è in vista? Cosa è cambiato dal 2020 e cosa deve ancora accadere per chiudere definitivamente il cerchio del ransomware?
Segnali contrastanti?
Rispondere a questa prima grande domanda non è semplice. Ad esempio, i dati suggeriscono che nel 2022 il numero globale di attacchi ransomware è diminuito significativamente (dopo essere raddoppiato nel 2021) e l’analisi della società di blockchain Chainalysis riporta che anche il valore totale dei pagamenti ransomware pagati nel 2022 è diminuito significativamente – entrambi segnali positivi che indicano che a livello globale il ransomware sta rallentando.
Tuttavia, il Veeam Data Protection Trends Report 2023 e il Ransomware Trends Report 2023, entrambi sondaggi su larga scala condotti su organizzazioni imparziali in EMEA, Americhe e APJ, dipingono un quadro diverso. Il primo ha rilevato che l’85% delle organizzazioni ha subito almeno un attacco informatico nel corso dell’ultimo anno (con un aumento del 9% rispetto all’anno precedente) e il rapporto sul ransomware, che ha intervistato esclusivamente le aziende che hanno subito un attacco, ha rilevato che uno scioccante 80% delle aziende ha pagato un riscatto per recuperare i dati. Altre indagini di settore mostrano in genere risultati simili, quindi perché c’è uno scollamento tra i numeri totali globali e ciò che la maggior parte delle singole aziende sta dicendo?
Mentre i sondaggi mirati possono fornirci un prezioso controllo della temperatura di una certa regione o settore, i numeri globali complessivi sono difficili. Naturalmente le dimensioni sono un fattore importante, ma quando si tratta di ransomware, può esserci una certa riluttanza ad ammettere di aver subito una violazione dei dati e alcune polizze assicurative impediscono alle aziende di farlo. Anche la tracciabilità dei pagamenti in criptovaluta non è una scienza esatta, poiché molti indirizzi non sono stati identificati sulla blockchain e quindi sono assenti dai dati globali. In alcune regioni, come l’EMEA, stiamo assistendo a una maggiore apertura alla condivisione quando si tratta di ransomware, poiché i leader riconoscono che la collaborazione e la condivisione delle informazioni possono contribuire a far progredire il settore della sicurezza e a costruire congiuntamente una maggiore resilienza.
Cos’è cambiato?
Quindi, in mezzo a tutto questo grigiore, cosa è cambiato in modo definitivo? Naturalmente le minacce sono in continua evoluzione e diventano sempre più sofisticate. Ma questo è un aspetto fondamentale della cybersecurity: gli sforzi di protezione e resilienza migliorano di pari passo e il gioco del gatto e del topo continua. Nel caso specifico del ransomware, abbiamo visto che l’atteggiamento nei confronti delle richieste di pagamento continua a oscillare. Due anni fa, uno dei più grandi pagamenti di ransomware mai effettuati è stato pagato semplicemente per “prevenire qualsiasi rischio potenziale”. Da allora, l’educazione su quanto questa strategia sia inaffidabile, non etica e inopportuna è stata migliorata in tutto il settore, ma sono arrivate altre due mosche nell’unghia che hanno reso molto più difficile l’eliminazione definitiva dei pagamenti di ransomware.
Una di queste è la cyber-assicurazione. Si tratta di un settore che è cambiato drasticamente dopo l’ascesa del ransomware e che ancora oggi rimane molto volatile. L’assicurazione informatica non è un male, ovviamente, in quanto offre alle aziende una resistenza finanziaria contro una minaccia quasi certa. Tuttavia, ha anche fornito alle organizzazioni un mezzo per pagare le richieste di ransomware. Il Veeam Ransomware Trends Report 2023 ha rilevato che il 77% degli intervistati che hanno pagato le richieste lo ha fatto con i soldi dell’assicurazione. L’aumento dei premi potrebbe fermare questo fenomeno, così come il crescente numero di polizze che escludono specificamente il ransomware dalla loro copertura.
Forse il fattore più importante, e il motivo per cui le aziende ritengono di non avere altra scelta se non quella di pagare i riscatti, sono gli attacchi che sempre più spesso prendono di mira gli archivi di backup. Recenti report hanno rivelato che i criminali informatici sono riusciti a colpire gli archivi di backup in tre attacchi su quattro. Se le aziende non dispongono di altre copie offsite di questi dati o semplicemente non sono in grado di recuperare abbastanza velocemente, il consiglio di amministrazione può essere tentato di cedere alle richieste. Sebbene i vertici aziendali vogliano fare la cosa giusta dal punto di vista della sicurezza, in ultima analisi la loro priorità principale è quella di far funzionare l’azienda.
Che cosa resta da fare?
Cosa deve cambiare per far pendere l’ago della bilancia dalla parte del ransomware e per iniziare a vedere gli attacchi e i pagamenti diminuire definitivamente? Si tratta ancora di formazione e preparazione, in particolare per coloro che non fanno parte dei team di sicurezza e di backup. Ciò include lo sfatare i miti su ciò che accade prima e dopo un attacco ransomware. Ad esempio, la crittografia non avviene non appena un dipendente clicca su un link di phishing malevolo: possono passare mesi o addirittura un anno tra la violazione di un sistema, il blocco dei dati e la dichiarazione di un riscatto. Allo stesso modo, nemmeno la decriptazione avviene nel momento in cui viene pagato un riscatto: ignorando il fatto che circa un quarto delle aziende paga un riscatto ma non riesce a recuperare i propri dati, anche lo scenario migliore può essere incredibilmente lento da decriptare e recuperare. Questo fa parte del modello di business, in quanto la maggior parte offre la possibilità di acquistare altre chiavi di decrittazione oltre al costo del riscatto per accelerare il processo!
Comprendere la bestia è il primo passo per essere preparati a reagire. Un piano di recupero da ransomware dovrebbe prevedere tre fasi:
- Preparazione – Pianificare il ripristino, assicurarsi di disporre di backup affidabili (seguendo almeno la regola del 3-2-1), disporre di un luogo di ripristino di emergenza predisposto e pronto all’uso e intensificare la formazione e le esercitazioni per garantire che l’azienda e l’organizzazione siano preparate.
- Risposta – Seguendo un processo di risposta agli incidenti predefinito e testato, individuando e contenendo la violazione e analizzando i backup per assicurarsi che non siano contaminati.
- Ripristino – Ripristino dell’ambiente senza reintrodurre il malware o i dati infettati nell’ambiente di produzione durante il ripristino e ripristino dell’attività.
In conclusione, sebbene vi sia un certo grado di incertezza sullo stato della lotta globale contro il ransomware, ciò che non è in dubbio è che gli attacchi ransomware rimangono un’eventualità inevitabile per la maggior parte delle aziende. Ciò non significa che non ci sia speranza contro questi criminali informatici; tuttavia, è importante capire che se le aziende sono preparate e progettano bene il loro recupero, possono raggiungere un punto di resilienza al 100% contro il ransomware. Ciò non significa che tali attacchi non avranno alcun impatto sull’azienda, ma che è possibile riprendersi rapidamente e dire “no” alle richieste di ransomware.
