Aziende sotto scacco

Le gang del ransomware e quei riscatti da migliaia di dollari

Gli hacker fanno leva sulla scarse conoscenze informatiche dei dipendenti per realizzare gli attacchi: i ransomware partono spesso da mail di phishing che contengono allegati dannosi
4 minuti di lettura

I casi recenti degli attacchi informatici alla Siae, alla Regione Lazio e ad alcune grandi aziende, come Accenture ed Engineering, hanno riacceso i riflettori in Italia sulla minaccia dei ransomware.

Gli hacker usano questo software intrusivo, che blocca l’accesso a dati e sistemi, per chiedere il pagamento di un riscatto. Un tipo di attacco ormai molto evoluto e che ha un impatto sempre più dannoso sulle vittime. Eppure, molte organizzazioni non sono dotate degli strumenti adeguati per fronteggiare tali minacce. E la scarsa formazione del personale su questi temi può diventare fatale: spesso sono proprio i dipendenti i cavalli di Troia dei pirati informatici, che fanno leva su comportamenti scorretti, disattenzioni o errori involontari dei lavoratori di un'azienda per colpire duramente.

I numeri del fenomeno
Il report State of Ransomware 2021 di Sophos, azienda che si occupa di sicurezza informatica, permette di capire le dimensioni del problema. Per la ricerca, sono stati coinvolti 5400 decisori IT in organizzazioni di medie dimensioni in 30 Paesi in Europa, America, Asia, Medio Oriente e Africa. La percentuale di società colpite è diminuita, passando dal 51% del 2020 al 37% del 2021, ma questo trend può essere spiegato con il fatto che gli hacker hanno cambiato approccio: evitano gli attacchi generici su larga scala e automatizzati e optano per attacchi più mirati. Un esempio è l’hacking umano hands-on-keyboard: con questo tipo di campagna, l'hacker accede alla rete aziendale usando le credenziali rubate a un account di un dipendente o a un server esposto ed è più difficile così notare attività illecite; inoltre, questa modalità richiede un processo di recupero dei dati più complesso.

Si tratta di un nuovo modus operandi che può provocare un danno più grande e anche costi di riparazione più alti: negli ultimi 12 mesi il costo medio della riparazione, che comprende anche l'interruzione delle attività di business, gli ordini persi e altre problematiche, è più che raddoppiato, passando da una media di 761.106 dollari nel 2020 a 1,85 milioni di dollari nel 2021.

Anche per questo molte aziende decidono di pagare il riscatto: il numero di soggetti che ha accettato l'estorsione è cresciuto dal 26% del 2020 al 32% del 2021. In media la cifra richiesta dai pirati informatici è stata di 170.404 dollari, ma ci sono stati anche esborsi decisamente più onerosi: il pagamento più alto tra le organizzazioni intervistate ha raggiunto i 3,2 milioni di dollari.

Il tallone d’Achille dei dipendenti
Per realizzare l’offensiva, i cyber criminali sfruttano i punti deboli dell'organizzazione che intendono attaccare. E spesso questi sono rappresentati proprio dalle persone che lavorano all’interno: i ransomware vengono diffusi attraverso mail di phishing che contengono allegati dannosi o con il downloading drive-by. Nel primo caso, l'utente poco attento può essere convinto ad aprire il file o a cliccare su un link, dando così agli hacker un modo per consegnare il malware; nel secondo caso, l'utente visita inconsapevolmente un sito infetto e il malware viene scaricato e installato senza che la persona ne sia a conoscenza.

Capita così che alcuni dipendenti vengano derubati degli account di posta elettronica, che finiscono nel Dark Web, o che l'attacco venga portato a termine perché si utilizza un'unica e semplice password per più account, senza cambiarla periodicamente, o anche perché si ha l'abitudine al click facile e si aprono d'impulso le mail senza badare al mittente.

Da qui l'importanza di dotarsi degli strumenti più efficaci per fronteggiare la minaccia degli hacker, ma anche di formare adeguatamente il personale su queste problematiche critiche, soprattutto dopo la maggiore adozione dello smart working e l'accelerazione del processo di digitalizzazione delle imprese registrati con la pandemia di Covid-19. Come hanno fatto notare gli esperti di CybeRefund, società benefit specializzata nella difesa e risarcimento contro i cyber attacchi, solo il 37% delle piccole e medie imprese in Italia utilizza soluzioni evolute di security e, fra queste, è una minoranza (il 9%) ad avere un approccio moderno rispetto alla digitalizzazione.

Best practice
Al di là dei software di cybersecurity, ci sono alcuni princìpi che è bene seguire per prevenire e ridurre i danni provocati da questa tipologia di attacchi informatici. Innanzitutto, backup frequenti e testati: CybeRefund ricorda la regola del 3-2-1, vale a dire creare 3 copie di backup su due diversi supporti con un backup in una posizione separata. Poi, aggiornare regolarmente software, programmi e applicazioni per proteggerli dalle ultime vulnerabilità. Ancora: restrizioni ragionevoli su dipendenti e collaboratori che lavorano con dispositivi contenenti file aziendali o utilizzano device collegati alle reti dell’azienda e un corretto monitoraggio delle credenziali, che tenga conto del turnover dei dipendenti e di eventuali mancati aggiornamenti delle password.

La lista delle regole da seguire non finisce qui. Un'altra strategia è adottare una protezione a più livelli in modo da bloccare gli hacker in punti diversi, limitando così gli accessi non autorizzati. E anche dotarsi di un piano di recupero in caso di attacco informatico. Inoltre è più efficace un approccio che combina la tecnologia anti-ransomware con l'esperienza e il know-how di professionisti di cybersecurity: la prima "fornisce la scala e l’automazione di cui un’organizzazione ha bisogno, mentre gli esperti umani sono in grado di rilevare al meglio le tattiche, le tecniche e le procedure rivelatrici che indicano che un aggressore sta cercando di entrare nell’ambiente", ha fatto notare il team di CybeRefund.

In generale però è importante creare una cultura della sicurezza, dotando il personale di conoscenze adeguate sui ransomware e su altre minacce informatiche. Un utente più attento e consapevole dei rischi eviterà di cadere nel tranello teso dagli hacker, o almeno nelle trappole più banali e meno sofisticate.

Perché non pagare gli hacker
L'eventuale pagamento del riscatto potrebbe non risolvere i problemi, perché non è detto che i pirati informatici, una volta ottenuto il denaro, decidano poi di sbloccare di dati in ostaggio: menzionando il rapporto Clucit 2021, gli esperti di CyberRefund hanno ricordato che il 42% delle organizzazioni che hanno pagato un riscatto non hanno ottenuto la decrittazione dei loro file.

“Di norma, pagare non è una buona idea: compiuta la loro missione, gli hacker non guadagnano nulla dallo sbloccare i file - ha sottolineato Gianluca Mandotti, Ad di CybeRefund - È meglio investire in un cyber negoziatore, una figura professionale emergente che si occupa di prendere tempo affinché i dati sensibili rubati non siano divulgati, capire quali informazioni sono state sottratte, verificare se sono recuperabili e, se proprio necessario, negoziare il riscatto”. 

In altre parole, una volta raggiunto l’obiettivo, gli hacker non hanno più motivi per soddisfare le richieste della vittima. Hanno i soldi e la loro missione è conclusa. L'unico incentivo a sbloccare i file potrebbe essere la decisione di attaccare nuovamente l'azienda. In più, difficile fidarsi di qualcuno che potrebbe avere fatto una copia dei file criptati per poterla poi vendere nel Dark Web. I dati del report State of Ransomware 2021 confermano questo tipo di comportamento: a livello internazionale, solo l'8% delle organizzazioni riesce a recuperare tutti i dati dopo avere pagato un riscatto, mentre il 29% non riesce ad averne indietro più della metà.