L’Italia è al quarto posto in Europa per attacchi ransomware di successo. Palo Alto Networks studia e analizza i dati. Il ransomware è una delle principali minacce nella sicurezza informatica. Secondo l’Identity Theft Resource Center, ci sono stati 878 cyberattacchi nel 2020, il 18% dei quali classificato come ransomware.
Questa tipologia di minaccia è da sempre di interesse per Palo Alto Networks e i suoi team globali di threat intelligence, Unit 42, e di incident response, The Crypsis Group, hanno collaborato alla creazione di Unit 42 Ransomware Threat Report 2021. Obiettivo fornire gli ultimi insight sulle principali varianti di ransomware, le tendenze di pagamento. E le migliori pratiche di sicurezza per poter comprendere e gestire al meglio questo pericolo. In breve, il ransomware è un business redditizio. Il riscatto medio pagato dalle organizzazioni negli Stati Uniti, Canada ed Europa è aumentato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020, con un incremento del 171% anno su anno.
Attacchi ransomware
Nuove tattiche rilevate come la doppia estorsione, fanno immaginare che questa percentuale continuerà solo a aumentare. Il riscatto più elevato pagato da un’organizzazione è raddoppiato dal 2019 al 2020, da 5 a 10 milioni di dollari, e il desiderio dei criminali informatici di arricchirsi non si arresta. In base ai dati raccolti, il paese più colpito dagli attacchi ransomware nel corso del 2020 sono gli Stati Uniti. L’Italia si classifica al quarto posto in Europa, dopo Germania, Regno Unito e Francia. Sono cinque aziende le aziende colpite da attacchi ransomware nel nostro paese che hanno visto i loro dati esposti su siti pubblici o nel dark web.
La doppia estorsione
Un comune attacco ransomware consiste nella cifratura dei dati di chi viene colpito, a cui segue la richiesta di pagamento di un riscatto per sbloccarli. In un caso di doppia estorsione, gli operatori ransomware crittografano e rubano i dati, per costringere la vittima a pagare il riscatto. Se la vittima non effettua il pagamento, gli autori del ransomware minacciano di esporre i dati su un sito pubblico o sul dark web. Sono almeno 16 le varianti di ransomware che attualmente stanno minacciando di esporre i dati, e altre varianti probabilmente continueranno questo approccio. La famiglia di ransomware NetWalker è quella che ha sfruttato maggiormente questa tecnica finora.
Palo Alto Networks attacchi ransomware. Gli effetti della pandemia Covid-19
Gli attaccanti approfittano degli eventi in corso per attirare le vittime ad aprire e-mail di phishing, visitare falsi siti web, o scaricare file dannosi. Il caso emblematico è rappresentato dalla pandemia, sfruttata in modo molto significativo dai creatori di ransomware in attacchi che hanno colpito tutti i mercati. Il settore sanitario è stato un obiettivo particolarmente preso di mira per tutto il 2020. Nel clima economico delicato vissuto nel corso dell’anno, con la sfida aggiuntiva rappresentata dai dipendenti chiamati a lavorare da casa, molte aziende hanno dovuto fare i conti con una riduzione delle risorse. Con un minore controllo sul personale e tagli di bilancio, consapevolezza sulle minacce e protezione IT possono essere state più difficili da implementare.
Cambia l’approccio dei cybercriminali
Il ransomware è diventato sempre più facile da ottenere ed è ormai disponibile in molti formati per diverse piattaforme. Lo schema di azione dei cybercriminali è cambiato. Abbiamo osservato spostamenti da modelli ad alto volume e spray-and-pray a un modello “stay-and-play” più mirato, in cui gli operatori si prendono il loro tempo per conoscere le vittime e le loro reti, seguendo un approccio di penetrazione più tradizionale.
Facilità d’uso e disponibilità
Gli attaccanti sanno che il ransomware, in particolare in modalità ransomware as a service (RaaS), è semplice da eseguire, eccezionalmente efficace e potenzialmente redditizio. Il modello RaaS permette agli affiliati di utilizzare un software ransomware già esistente per effettuare gli attacchi, guadagnando così una percentuale su ogni pagamento di riscatto andato a buon fine.
Gli autori di ransomware continuano ad accedere agli ambienti delle vittime con metodi tradizionali, tra cui phishing, utilizzo di credenziali RDP (Remote Desktop Protocol) deboli o compromesse, e sfruttamento delle vulnerabilità delle applicazioni o del software. Nonostante il passaggio in remoto di gran parte della forza lavoro nel 2020, queste tecniche di accesso sono rimaste le stesse. Molti cybercriminali stanno anche integrando nelle loro azioni malware come Dridex, Emotet e Trickbot per l’accesso iniziale. Una volta all’interno di una rete, utilizzano strumenti nativi come PSExec e PowerShell per ingannare la rete e muoversi lateralmente.
Palo Alto Networks attacchi ransomware
Un significativo aumento degli incidenti si è verificato in settori quali quello sanitario, manifatturiero e dell’istruzione. Gli attacchi ransomware nel corso del 2020 sono stati più complessi rispetto agli anni precedenti, causando tempi di risposta più lunghi e approfonditi. In particolare, il settore IT ha visto un aumento del 65% degli incidenti ransomware tra il 2019 e il 2020. Inoltre, le richieste di riscatto stanno incrementando il loro importo anno dopo anno.
Il costo totale di un incidente ransomware è tipicamente molto più elevato della richiesta stessa. Nel 2020, il costo medio di un’analisi forense (o indagine di risposta agli incidenti) è stato di 73.851 dollari, anche quando i backup erano considerati un’opzione valida per l’organizzazione. Questa cifra non tiene conto di altri costi potenziali, di tipo monetari o altro, portando il costo medio totale complessivo di un attacco ransomware a una cifra realmente proibitiva per molte aziende.