Ransomware in aumento: ecco come proteggersi per evitare possibili danni reputazionali

Il ransomware ha colpito duro nel terzo trimestre del 2022, con 242 vittime di data leak nel mese di settembre rispetto alle 112 di gennaio. La “buona” notizia è che l’Italia, con 29 data leak pubblici (in diminuzione rispetto al Q2 2022), cede il primato di paese europeo più colpito da questa tipologia di malware alla Francia, in cui le vittime sono state 39.

PNRR e cyber security, la vera sfida è investire meglio

L’anomalia: aumentano gli attacchi, diminuiscono le vittime

In realtà, i dati raccolti dal SOC & Threat Intelligence team di Swascan mediante specifiche ricerche OSINT e CLOSINT e attraverso l’identificazione dei siti Dark Web delle gang ransomware dicono anche altro.

Innanzitutto, che il numero totale di vittime colpite da double extortion e successivo data leak (e che, quindi, hanno verosimilmente deciso di non pagare il riscatto) è leggermente diminuito, passando da 707 a 700. Una variazione di un solo punto percentuale che però rappresenta una vera e propria anomalia rispetto ad alcuni altri importanti fattori.

Il dato è, infatti, in controtendenza rispetto all’aumento del numero di attacchi informatici registrato da più fonti: in particolare, come ben rappresentato dall’edizione di ottobre 2022 del Rapporto Clusit, nel primo semestre 2022 sono stati registrati 1.141 attacchi (+8,4% rispetto al primo semestre del 2021) con una impressionante media di 190 attacchi al mese (lo scorso anno la media è stata di 171).

C’è poi da registrare un’altra anomalia data dal fatto che il numero di gang ransomware che si affidano al data leak come strumento di ricatto nei confronti delle vittime è aumentato del 16%: un valore che stride, evidentemente, con la riduzione del numero di PMI colpite dal ransomware.

In poche parole, il trend di crescita dei ransomware non corrisponde a un conseguente aumento del numero di data leak: il che lascia supporre che sono sempre di più le vittime che pagano il riscatto e i cui dati non vengono pubblicati sui Data Leak Site (DLS) delle varie gang ransomware.

Aziende di servizi le più colpite, ma non lo denunciano

Un’ipotesi avvalorata ancora una volta dai dati dell’ultimo rapporto Clusit, che di fatto conferma come in Europa e in Italia non tutti i casi gravi di attacchi informatici vengono divulgati, soprattutto quando a essere colpite sono le aziende medio-piccole.

Questo avviane sicuramente per una minore o del tutto assente eco mediatica e perché, soprattutto nel caso di attacchi altamente sofisticati, le aggressioni non diventano mai di dominio pubblico oppure lo diventano a distanza di mesi o addirittura anni.

In molti casi, poi, è probabilmente interesse delle aziende colpite non pubblicizzare l’incidente di sicurezza se non costrette dalle circostanze o da obblighi normativi di notifica dell’incidente stesso (come previsto, ad esempio, dalla Direttiva NIS o dal Regolamento europeo per la protezione dei dati personali, meglio conosciuto come GDPR).

Un comportamento, quest’ultimo, che si riscontra soprattutto tra le aziende di servizi sempre meno propense a denunciare un data leak per non subire danni reputazionali e di business che potrebbero anche protrarsi per anni.

Tabella riassuntiva che confronta il Q2 vs Q3 2022.

Da un’analisi più attenta di questi ultimi dati si evince, inoltre, che in Italia l’incidenza di vittime con data leak pubblicati, ogni 100.000 aziende, è di 1,8: prima di noi solo il Canada, con un’incidenza di 1,9. Un valore che, invece, diminuisce in Germania (1,14), in Francia (1,08), in Gran Bretagna (1,06), negli Stati Uniti e in Spagna (1). L’Australia chiude questa particolare scala gerarchica, con una incidenza di vittime pari allo 0,6 sempre su 100.000 aziende.

Valori che confermano che la leva del “name and shame” continua a essere una tecnica criminale molto efficace contro le aziende nostrane proprio perché, come dicevamo prima, gli impatti mediatici a livello di brand reputation sono comunque sempre significativi.

Distribuzione geografica delle vittime di ransomware.

L’economia dei ransomware

L’ipotesi che siano numerose le aziende che pagano il riscatto in seguito a un attacco ransomware, senza denunciarlo, sembrerebbe essere avvalorata anche da un altro dato interessante: nel 2022, dall’inizio anno, le aziende hanno speso un totale di 8.276.660,94 dollari al fine di evitare la pubblicazione dei propri dati, con una richiesta di riscatto media di 1.952.148 dollari pari al 140% in più rispetto allo stesso dato del 2021, quando il riscatto medio si era attestato a 812.000 dollari.

I settori presi di mira dal ransomware.

Una vera e propria economia sommersa gestita da pochi gruppi criminali le cui attività sono risultate essere particolarmente prolifiche:

1. LockBit
2. BlackBasta
3. ALPHV/BlackCat
4. Hive
5. Karakurt
6. BianLian
7. AvosLocker
8. MedusaLocker
9. ViceSociety
10. Donut Leaks
11. Sparta
12. BlackByte
13. RansomHouse
14. Quantum
15. LV

In particolare, il 33,4% di tutti gli attacchi ransomware del terzo trimestre 2022 può essere attribuita a LockBit, che così conferma il suo primato di gang ransomware più attiva con 1.114 attacchi portati a termine dall’inizio dell’anno (sono 234 quelli attribuiti nel solo Q3 2022).

Molto attivo anche il ransomware BlackBasta che, con un totale di 54 attacchi, ha preso il posto occupato da Conti per gran parte dell’anno.

Le attività dei gruppi ransomware nel Q3 2022.

Al di là dei numeri, però, sono due gli aspetti più importanti nelle attività dei ransomware che è utile sottolineare.

Innanzitutto, tra i paesi presi di mira 21 di quelli colpiti a settembre non erano stati attaccati ad agosto e questo sottolinea un’attenzione da parte delle gang ransomware verso nuovi obiettivi.

In secondo luogo, è interessante notare che il 78% delle aziende con dati pubblicati analizzati hanno un fatturato che non supera i 250 milioni di dollari, dato che conferma un incremento del numero di attacchi verso le piccole e medie imprese, considerate soggetti più vulnerabili in quanto spesso meno attrezzate a fronteggiare le minacce informatiche.

Un dato che, tra l’altro, va in controtendenza rispetto al 2021 quando erano in aumento gli attacchi contro le grandi organizzazioni e che conferma l’interesse sempre maggiore delle gang ransomware nei confronti delle supply chain.

Come difendersi dal ransomware

Diventa dunque essenziale continuare a lavorare su resilienza e capacità di assorbimento degli impatti di un attacco ransomware in azienda.

Più delle tradizionali attività di penetration test diventa quindi centrale comprendere il punto di rottura mediante delle simulazioni effettuate con modalità il più vicino possibili a quelle con cui operano i threat actors.

Non è un caso che il framework Tiber – il framework europeo per ethical red teaming basato sulla threat intelligence – parla di indicatori di resilienza e indica la Cyber Threat intelligence e il Red team come servizi da utilizzare per rafforzare la capacità di difesa proattiva delle singole aziende, consentendo di migliorare la resilienza cibernetica delle stesse e la loro stabilità complessiva.

In questo senso, l’approccio migliore per raggiungere una efficace cyber hygiene ed elevare il livello di sicurezza del perimetro aziendale passa per i tre pilastri della cyber security moderna:

• Sicurezza predittiva:

1. identifica le minacce cyber al di fuori del perimetro aziendale operando a livello di Web, Dark Web e Deep Web;
2. ricerca eventuali minacce emergenti;
3. effettua attività di Early Warning;
4. fornisce le evidenze alla sicurezza preventiva;
5. indica le aree di attenzione alla sicurezza proattiva.

• Sicurezza preventiva:

1. verifica e misura il rischio cyber;
2. definisce i piani di remediation;
3. indica il rischio esposto al layer di sicurezza proattiva;
4. fornisce le aree di investigazione alla sicurezza predittiva.

• Sicurezza proattiva:

1. identifica le minacce cyber che operano all’interno del perimetro aziendale;
2. contrasta e blocca gli attacchi informatici;
3. gestisce i cyber incident;
4. fornisce le evidenze alla sicurezza preventiva;
5. indica le aree di investigazione alla sicurezza predittiva.

Conclusioni

Il ransomware, soprattutto per via delle modalità con cui viene condotto un attacco, continua a essere il malware più diffuso ed “efficiente”.

Uno scenario ulteriormente aggravato anche dal fatto che negli ultimi anni si è ulteriormente sviluppato come attacco “malware as a service” e quindi facilmente reperibile nel Dark Web come soluzione di attacco pronta all’uso e utilizzabile da chiunque per colpire indistintamente un pubblico ampio e variegato.

In generale, dunque, il ransomware costituisce una minaccia difficile da evitare, ma è comunque possibile mitigare gli impatti più severi: innanzitutto, innalzando il livello di attenzione e creando una maggiore consapevolezza dei rischi cyber.

E poi, adottando i necessari strumenti di difesa in grado di anticipare, rilevare, bloccare e risolvere eventuali minacce in modo da avere piena visibilità dei propri asset critici e mantenerne il controllo su quelli più esposti, che magari non sono aggiornati e quindi risultano essere maggiormente vulnerabili.

Ma ricordiamo sempre che, come diceva Bruce Schneier, “la sicurezza non è un prodotto, è un processo”. È possibile inventare tecnologie di sicurezza sempre più sofisticate e raffinate capaci di rendere arduo lo sfruttamento dei punti deboli di un’infrastruttura da parte dei criminali informatici, ma questi ultimi potrebbero sempre trovare il modo di bypassarle sfruttando l’anello più debole della catena di sicurezza: il fattore umano.