10 Novembre 2021
A giudicare dai riscatti sempre più generosi, il 2021 è (anche) l'anno dei ransomware. Man mano che i cybercriminali si fanno sempre più aggressivi, infatti, l'importo medio dei riscatti nella prima metà dell'anno è cresciuto dell'82% rispetto al 2020, toccando la cifra di 570.000 dollari.
La notizia arriva dal team di ricerca Unit 42 di Palo Alto Networks, che ha raccolto i dati relativi all'evoluzione del fenomeno nel corso dell'ultimo anno. Ovviamente c'è una differenza tra le richieste di riscatto e ciò che viene realmente pagato alla fine delle trattative tra cybercriminali e vittime.
La cifra media delle richieste di riscatto iniziale dei primi sei mesi di quest'anno si aggira sui 5,3 milioni di dollari, con un incremento del 518% rispetto agli 847.000 dollari del 2020; la richiesta più alta in assoluto è stata di 50 milioni di dollari, contro i 30 milioni di dollari dello scorso anno.
I pagamenti effettuati invece si aggirano, come anticipato, sulla cifra media di 570.000 dollari, con un aumento dell'82% rispetto all'anno precedente che a sua volta aveva visto un aumento del 171% rispetto al 2019. Uno degli attacchi più noti ha colpito la società IT Kaseya, a cui erano stati inizialmente chiesti l'equivalente di 70 milioni di dollari in Bitcoin, poi scesi a 50 milioni di dollari; l'ultimo pagamento confermato invece è di 11 milioni di dollari, da parte di JBS Foods per il gruppo REvil.
Secondo gli esperti i prezzi si sono alzati perché i cyber criminali hanno iniziato a sfruttare le varie frecce al proprio arco: non si tratta solo di recuperare i dati crittati, che potrebbero essere disponibili anche su qualche backup, ma anche di evitare che vengano diffusi al pubblico, di garantire la continuità dei propri servizi online e di proteggere i consumatori, che possono venire contattati direttamente dagli hacker per esporre l'attacco.
Magari non tutte le tattiche vengono attuate insieme, ma lo scopo è mettere quanto più possibile sotto pressione le vittime per portarle a pagare. Le prede, spiega Unit 42, non sono solo grandi multinazionali, ma anche piccole realtà che magari non hanno investito molto in cybersicurezza.
La raccomandazione per tutti è di passare da una mentalità riparativa a una preventiva, come ha spiegato John Martineau di Unit 42:
"Tenere al sicuro la propria organizzazione da questo tipo di attacchi richiede un passaggio fondamentale: bisogna passare dal rilevamento e dalla soluzione (a danno già avvenuto, ndr) all'attività preventiva. Ciò significa ridurre i fianchi scoperti, come ad esempio chiudere il controllo remoto del desktop (RDP) a internet e usare piuttosto una VPN con autenticazione multifattore, prevenire le minacce note e cercare di identificare e prevenire quelle ignote con tecnologie di sicurezza come XDR".
Una strategia dunque che richiede piani di contenimento dettagliati ed esercitazioni, così che ognuno sappia cosa fare in caso di compromissione dei dati. La regola numero uno è non farsi prendere dal panico, perché il lasso di tempo che intercorre nelle prime 12/24 ore è fondamentale: bisogna tenere sottomano una checklist e ognuno deve fare la propria parte; se ci sono backup, recuperarli, e contattare il responsabile dell'assicurazione cyber se possibile. Noi abbiamo dedicato un approfondimento al tema nella serie Pillole di Cyber Security: eccolo qui.
Commenti
Si possono sicuramente modulare gli interventi in base a vari parametri, ma finché le aziende pagano per i ransomware non se ne uscirà mai
Qui si tratta di non far finire nelle tasche di bande di delinquenti montagne di denaro che poi vengono reinvestiti in altre attività criminose, col risultato di rafforzarle sempre di più, poi inevitabilmente ci rimettiamo tutti
le truffe si sono sempre fatte con qualsiasi forma di pagamento e ci sono sempre stati quelli che non si sono fatti beccare.
Se un'azienda perde dei dati, un rimborso da parte dello stato non serve a nulla.
I dati persi, resteranno persi, e spesso sono di vitale importanza.
Concordo sul "Non negoziare con i terroristi", ma sarebbe meglio obbligare le aziende a dotarsi di sistemi di backup efficienti (e a farli regolarmente!).
L'assicurazione cyber. Sì. Certo.
Ragazzi, se non volete pagare qualcuno che sia in grado di comprendere e tradurre l'inglese, lasciate perdere Google traduttore. Davvero, meglio non scrivere articoli se poi dovete minare quell'esile filo di credibilità che è rimasta a questo blog.
Questo è il più grosso problema delle criptovalute. Se fossero tracciabili certi ricatti non sarebbero possibili
Forse in questo caso potrebbe essere utile una normativa che obbliga le aziende colpite a non pagare il riscatto. "Non negoziare con i terroristi", dato che non ci sono vite umane direttamente in pericolo, potrebbe rivelarsi un'arma vincente. Lo stato potrebbe finanziare le imprese che eventualmente perderanno i dati. Una volta a regime, se i cybercriminali vedono che non raccattano soldi col ransomware, la piantano