Riscatto ransomware: pagare o non pagare?

22 Lug 2021 | Hackeroba

Pagare o non pagare il riscatto ransomware? Questa è la domanda che affligge migliaia di aziende ogni anno quando, di fronte al furto di dati e al rischio che diventino pubblici, si vedono costrette a prendere provvedimenti, che spesso prevedono il pagamento di un’ingente somma di denaro.  

Non sempre però pagare è la giusta via da seguire: capita di frequente che i dati non vengano ripristinati del tutto e la possibilità che vengano divulgati resta. 

Indice

Riscatto ransomware: numeri allarmanti
Tecniche per spingere a pagare il riscatto
Perché non pagare il riscatto ransomware
Consigli per difendersi

Riscatto ransomware: numeri allarmanti  

Secondo la ricerca “State of Ransomware 2021” di Sophos, i risultati globali mostrano che solo l’8% delle organizzazioni riesce a recuperare tutti i loro dati dopo aver pagato un riscatto ransomware, con il 29% che non riesce a riavere più della metà dei suoi dati. 

Il sondaggio ha intervistato 5.400 decisori IT in organizzazioni di medie dimensioni in 30 paesi in Europa, America, Asia-Pacifico e Asia centrale, Medio Oriente e Africa. 

Mentre il numero di organizzazioni che hanno subito un attacco ransomware è sceso dal 51% degli intervistati nel 2020 al 37% nel 2021, e meno organizzazioni hanno subito la crittografia dei dati come risultato di un attacco significativo (54% nel 2021 rispetto al 73% nel 2020), i risultati del nuovo sondaggio rivelano preoccupanti tendenze al rialzo, soprattutto in termini di impatto di un attacco ransomware. 

“L’apparente declino nel numero di organizzazioni colpite da ransomware è una buona notizia, ma è mitigata dal fatto che questo probabilmente riflette, almeno in parte, i cambiamenti nei comportamenti degli attaccanti”, ha dichiarato Chester Wisniewski, principal research scientist di Sophos. 

“Abbiamo visto gli aggressori passare da attacchi su larga scala, generici e automatizzati ad attacchi più mirati che includono l’hacking umano hands-on-keyboard”. Le campagne hands-on si basano su hacker che ottengono l’accesso alla rete – spesso attraverso credenziali trapelate o rubate a un account di un dipendente o a un server esposto – quindi utilizzando l’accesso legittimo che quegli account o sistemi offrono per muoversi attraverso la rete, assicurandosi gradualmente i mezzi per ottenere sempre più accesso e quindi informazioni. Visto che ottengono i permessi in modo legittimo, è spesso difficile notare attività insolite. 

“Mentre il numero complessivo di attacchi è più basso come risultato, la nostra esperienza mostra che il potenziale di danno da questi attacchi mirati più avanzati e complessi è molto più alto. Tali attacchi sono anche più difficili da recuperare, e lo vediamo riflesso nell’indagine nel raddoppio dei costi complessivi di riparazione”. 

Il costo medio della riparazione di un attacco ransomware è più che raddoppiato negli ultimi 12 mesi. I costi di riparazione, compresi i tempi di inattività del business, gli ordini persi, i costi operativi e altro, sono cresciuti da una media di 761.106 dollari nel 2020 a 1,85 milioni di dollari nel 2021. Questo significa che il costo medio di recupero da un attacco ransomware è ora 10 volte la dimensione del pagamento del riscatto ransomware, in media 

Il riscatto ransomware medio pagato è stato di 170.404 dollari. Mentre 3,2 milioni di dollari è stato il pagamento più alto tra quelli intervistati, il pagamento più comune è stato di 10.000 dollari. Dieci organizzazioni hanno pagato riscatti di 1 milione di dollari o più 

Il numero di organizzazioni che hanno pagato il riscatto ransomware è aumentato dal 26% nel 2020 al 32% nel 2021, anche se l’8% è riuscito a recuperare tutti i propri dati. 

Tecniche per spingere a pagare il riscatto 

Alcune organizzazioni che cadono vittima di attacchi ransomware pagano il riscatto ransomware ai cyber criminali nonostante siano in grado di ripristinare le proprie reti e i dati con sistemi di backup, al fine di evitare che alcuni dati sensibili vengano pubblicati. 

Nel corso dell’ultimo anno, molte delle “gang del ransomware” fra quelle di maggior successo hanno aggiunto un’ulteriore tecnica alla loro strategia, nel tentativo di costringere le vittime a pagare il riscatto ransomware dopo aver compromesso le loro reti. 

Stiamo parlando della doppia estorsione. 

Gli attacchi ransomware a doppia estrazione sono esplosi nel 2020, secondo il rapporto Attack Landscape Update di F-Secure. 

La tattica prevede che gli attori della minaccia rubino i dati dalle organizzazioni oltre a criptare i file. Ciò significa che, oltre a chiedere un riscatto ransomware per decifrare i dati, gli aggressori possono in seguito minacciare di diffondere le informazioni rubate se non viene effettuato un pagamento aggiuntivo.  

I ricercatori hanno osservato che entro la fine del 2020, 15 diverse famiglie di ransomware avevano utilizzato questo approccio di doppia estorsione, che si confronta con uno solo nel 2019. Inoltre, è stato rilevato che quasi il 40% delle famiglie ransomware scoperte l’anno scorso ha utilizzato questo metodo ransomware. 

Commentando questa tendenza, Calvin Gan, un senior manager della Tactical Defense Unit di F-Secure, ha spiegato: “Le organizzazioni con backup affidabili e procedure di ripristino efficaci sono in una posizione forte per recuperare da un attacco ransomware senza dover pagare. Tuttavia, gestire una potenziale perdita di dati è una sfida drammaticamente diversa, soprattutto per le organizzazioni che possiedono informazioni riservate. 

“Gli attori del ransomware, attuali e futuri, si sentiranno probabilmente incoraggiati a provare nuove cose e saltare sulle vulnerabilità più velocemente, cosa che stiamo già vedendo con le recenti vulnerabilità di MS Exchange”. 

Lo studio ha anche delineato una serie di altre tendenze significative di cybersecurity che hanno avuto luogo nel 2020. C’è stata una triplicazione nell’uso di formule Excel per offuscare il codice dannoso nella seconda metà del 2020. Per quanto riguarda gli attacchi di phishing, il marchio più popolare spoofato nelle e-mail è stato Outlook, seguito da Facebook Inc. e Office365, mentre i servizi di web hosting hanno costituito quasi tre quarti dei domini utilizzati per ospitare pagine di phishing. 

In un’analisi retrospettiva dei notevoli attacchi alla catena di approvvigionamento degli ultimi 10 anni, F Secure ha evidenziato che più della metà ha preso di mira il software di utilità o di applicazione. 

Gan ha aggiunto: “Nella sicurezza, poniamo molta enfasi sulle organizzazioni che si proteggono avendo forti perimetri di sicurezza, meccanismi di rilevamento per identificare rapidamente le violazioni e piani di risposta e capacità di contenere le intrusioni. Tuttavia, le entità attraverso i settori e i confini hanno anche bisogno di lavorare insieme per affrontare le sfide di sicurezza più in alto nella catena di approvvigionamento. I gruppi di minacce persistenti avanzate sono chiaramente pronti e disposti a compromettere centinaia di organizzazioni attraverso questo approccio, e dovremmo lavorare insieme per contrastarli”. 

Perché non pagare il riscatto ransomware 

Ci sono un paio di ragioni per cui pagare un riscatto ransomware non è una grande opzione. In primo luogo, la maggior parte dei cyberattacchi, compreso il ransomware, non dura a lungo. I server di comando e controllo che emettono i comandi di sblocco e ricevono il pagamento possono essere trovati e messi offline. A volte gli hacker lo fanno perché hanno bisogno di coprire le loro tracce e passare alla prossima campagna nefasta; altre volte sono le forze dell’ordine che tolgono il sistema. In entrambi i casi, chiunque sia stato infettato e non abbia pagato il riscatto ransomware non può più ottenere lo sblocco del proprio sistema, anche se paga. 

In secondo luogo, anche quando il sistema ransomware funziona come “pubblicizzato”, non c’è alcun incentivo per gli hacker a proseguire. Hanno i soldi, e per loro la missione è compiuta. Non guadagnano nulla dallo sbloccare i file, tranne forse incentivarvi a farlo di nuovo la prossima volta che succede.  

In terzo luogo, anche se si riuscisse a sbloccare i file, ci potrebbero essere altri pericoli dietro l’angolo. È concepibile che gli aggressori possano essersi lasciati alle spalle alcune spiacevoli sorprese, o che abbiano approfittato della confusione per fare chissà cosa al sistema. Forse, oltre a criptare i file, hanno deciso di prenderne una copia per sé stessi e venderla nel Dark Web. Pagare il riscatto ransomware non annullerà quel potenziale danno. 

Infine, pagare il riscatto ransomware quasi certamente non farà risparmiare denaro a lungo termine. Ad esempio, dopo che Atlanta è stata colpita dal ransomware, ha dovuto spendere 2,6 milioni di dollari per recuperare. Il riscatto ransomware iniziale era di 50.000 dollari. Quel denaro per il riscatto ransomware è servito per aiutare a ricostruire il sistema aziendale e l’infrastruttura dati. 

Consigli per difendersi 

Pagare il riscatto ransomware non è mai la scelta migliore da fare per un’azienda. La soluzione migliore sarebbe evitare di essere colpiti attraverso una serie di consigli che tutti i dipendenti possono mettere in pratiche nelle loro attività quotidiane. Come fare quindi per non farsi cogliere impreparati?  

  1. Supporredi venire colpiti. Il ransomware rimane altamente prevalente. Nessun settore, paese o dimensione dell’organizzazione è immune dal rischio. È meglio essere preparati, ma non colpiti, piuttosto che il contrario. 
  1. Fare backup e tenere una copiadei file offline. I backup sono il metodo principale utilizzato dalle organizzazioni intervistate per recuperare i loro dati dopo un attacco. Optare per l’approccio standard del settore di 3:2:1 (tre serie di backup, utilizzando due supporti diversi, uno dei quali viene tenuto offline). 
  1. Distribuire una protezione a più livelli. Dato che sempre più attacchihacker comportano anche l’estorsione e la richiesta di riscatto ransomware, è più importante che mai tenere fuori gli avversari in primo luogo. Usare la protezione a più livelli per bloccare gli aggressori in quanti più punti possibili limiterà gli accessi indesiderati. 
  1. Combinare esperti umani e tecnologia anti-ransomware. La chiave per fermare ilransomware è la difesa in profondità che combina la tecnologia anti-ransomware dedicata e la caccia alle minacce guidata dall’uomo. La tecnologia fornisce la scala e l’automazione di cui un’organizzazione ha bisogno, mentre gli esperti umani sono in grado di rilevare al meglio le tattiche, le tecniche e le procedure rivelatrici che indicano che un aggressore sta cercando di entrare nell’ambiente. 

Se non si hanno le competenze in casa, è consigliato arruolare il supporto di un’azienda specializzata in cybersecurity: i Security Operation Center (SOC) sono ora opzioni realistiche per le organizzazioni di tutte le dimensioni. 

  1. Non pagare il riscattoransomware. Facile da dire, ma molto meno facile da fare quando un’organizzazione si è fermata a causa di un attacco ransomware. Indipendentemente da qualsiasi considerazione etica, pagare il riscatto ransomware è un modo inefficace per riavere i dati. Se si decide di pagare, tenete presente che gli avversari ripristineranno, in media, solo due terzi dei file. 
  1. Avere un piano di recupero damalware. Il modo migliore per impedire che un attacco informatico si trasformi in una violazione completa è prepararsi in anticipo. Le organizzazioni che cadono vittime di un attacco spesso si rendono conto che avrebbero potuto evitare perdite finanziarie significative e interruzioni, se avessero avuto un piano di risposta agli incidenti in atto. 

Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

La tua Cyber Security via mail


cyberefund emblema bianco e arancione

Difesa e Risarcimento contro i Cyber Attack

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961

stripe metodi pagamento sicuri cyberefund