Il ransomware è una minaccia di cui siamo sempre più consapevoli e da cui vogliamo stare alla larga. Ha un impatto su tutti i settori e gli attacchi sono sempre più frequenti e sofisticati. Eppure, poche PMI si rendono davvero conto di essere a rischio tanto quanto le grandi aziende, se non di più. Solo nel 2022, infatti, il 61% di tutti i cyberattacchi hanno avuto come obiettivo le piccole-medio imprese in tutto il mondo.
Parte dell’appeal nei confronti delle PMI è dato dal fatto che conservano una grande quantità di informazioni riservate, dalle cartelle cliniche ai conti bancari, che i criminali informatici possono vendere o trattenere per richiedere un riscatto. Questo può mettere le aziende in difficoltà: i costi iniziali per contrastare un attacco ransomware, possono essere paralizzanti, così come le multe in caso di violazione delle leggi sulla riservatezza. Se a questo si aggiunge la perdita di fiducia dei clienti, su cui molte PMI fanno affidamento per competere con le aziende più grandi, si ha un quadro più chiaro di quanto possa essere devastante un attacco.
Dal momento che le PMI continuano ad adottare una serie di nuove tecnologie nei loro percorsi di digital transformation, questa minaccia è destinata soltanto ad aumentare. Dalla transizione al cloud, all’uso di piattaforme SaaS per facilitare l’accesso da remoto per l’hybrid working, oggi è esposto un numero crescente di dispositivi. Come possono quindi le PMI aumentare la loro resilienza informatica per prevenire un attacco ransomware?
Un’impresa criminale con rendimenti proficui
In generale, i criminali informatici hanno alzato la posta in gioco in termini di frequenza e perfezionamento degli attacchi ransomware. Il ransomware è preferito da molti criminali informatici perché è veloce da implementare e offre ritorni vantaggiosi. Grazie a questi attacchi, i criminali ottengono l’accesso a dati di elevato valore e li criptano in modo che non siano accessibili senza prima aver ottenuto un codice di sblocco in cambio di denaro (riscatto, quindi ransom). In alcuni casi si tratta di somme elevate, di solito richieste sotto forma di criptovaluta non tracciabile. Nel 2021, gli attacchi ransomware a livello globale hanno portato le aziende a consegnare nelle mani degli attaccanti un totale di 49 milioni di dollari.
Non dimentichiamo, però, che abbiamo a che fare con criminali, quindi non c’è alcuna garanzia che i dati vengano restituiti una volta pagato il riscatto, e i criminali potrebbero tornare a chiedere altro denaro. Alcuni attaccanti possono anche tentare di alzare la posta in gioco, con attacchi a doppia o tripla estorsione, in cui fanno trapelare alcuni dei dati rubati ad altre vittime coinvolte per aumentare la pressione o chiedere ancor più denaro.
Target facili da raggiungere
Il passaggio al lavoro da remoto non ha fatto altro che esasperare la situazione e i criminali sono consapevoli che le PMI hanno ora una superficie di attacco più ampia e budget di cybersecurity più bassi. Questo le rende un bersaglio facile per gli hacker che possono accedere a dati preziosi senza alcuni degli ostacoli comuni nelle organizzazioni più grandi, molte delle quali dispongono di un team dedicato alla sicurezza informatica e di maggiori risorse per implementare le più recenti tecnologie di threat detection e prevention.
Le PMI devono capire che non solo è probabile che debbano fronteggiare un ransomware, ma che l’impatto di qualsiasi attacco potrebbe avere un effetto sproporzionatamente maggiore su di loro, rispetto alle organizzazioni più grandi. In altre parole, anche se i costi di un attacco ransomware possono essere di gran lunga superiori per una grande azienda, questa dispone delle risorse necessarie per riprendersi, mentre per una PMI un attacco potrebbe metterla fuori gioco in poco tempo.
Come vengono sferrati gli attacchi?
Il ransomware viene distribuito spesso tramite e-mail di phishing che si basano sul fatto di coinvolgere una persona alle prese con le proprie attività giornaliere e indurla a prendere una decisione inopportuna. Gli attaccanti di solito utilizzano un brand di fiducia o falsificano l’indirizzo e-mail di un collega per dare credibilità al messaggio. Chiederanno poi alla vittima di cliccare su un link falso, che può diffondere un ransomware. Altre tecniche possono coinvolgere il social engineering, attraverso il quale l’hacker raccoglie informazioni sulla vittima per costruire un rapporto di fiducia e ottenere le sue credenziali di accesso che può utilizzare successivamente per lanciare un attacco.
Solitamente le imprese più piccole dispongono di una qualche forma di protezione degli endpoint per i propri laptop, server e desktop, ma spesso i dispositivi IoT, come le videocamere di sicurezza, non sono protetti. Con un numero sempre maggiore di persone che utilizzano i dispositivi personali per lavoro, quanti di questi dispongono di una forma di protezione mobile? Non molti, e un report ha recentemente rivelato che l’80% di tutti i dispositivi personali utilizzati per lavoro in azienda non sono gestiti.
Basta un solo dispositivo, che sia un cellulare, un tablet o un laptop, e un solo dipendente che scarichi un file malevolo o clicchi su un link falso, per mettere in pericolo l’intera rete aziendale. Prima che ve ne rendiate conto, il ransomware è stato diffuso, i sistemi e il business quotidiano bloccati, e la privacy dei clienti è andata persa. Di conseguenza, è importante che le PMI formino il proprio personale e lo rendano consapevole del rischio, per ridurre la probabilità di cadere vittima di una truffa.
Come possono proteggersi le PMI?
Tutto deve partire dal miglioramento della resilienza. In primo luogo, tutte le organizzazioni dovrebbero essere al corrente delle patch di sicurezza e condividerle con tutti i dipendenti e installandole sui dispositivi non appena disponibili. Qualsiasi ritardo potrebbe rappresentare un’opportunità per un criminale informatico. È fondamentale migliorare i processi interni in modo che questi aggiornamenti possano essere eseguiti in modo rapido ed efficiente. In secondo luogo, assicuratevi che i backup non siano in alcun modo collegati al server principale. Spesso le aziende si convincono di un falso senso di sicurezza perché hanno un backup, ma in molti casi sono salvati sulla stessa rete di tutti gli altri dati, il che significa che saranno tutti esposti durante un attacco. Le organizzazioni dovrebbero, quindi, disporre di un backup di rete completamente isolato e fuori sede, in modo che durante il recovery i dipendenti possano accedere ai file chiave che consentono loro di continuare con le attività quotidiane.
Siccome il budget può spesso rappresentare un ostacolo per le PMI, prima di cercare di implementare nuove tecnologie dovrebbe essere prioritario ridurre il numero di soluzioni in uso e consolidare il sistema verso un’unica piattaforma o un unico provider. Spesso, infatti, le aziende si affidano a una serie di provider terzi per la protezione di diverse aree aziendali, aggiungendo inutilmente difese doppie. Riducendo il numero di provider coinvolti, si ridurrà il total cost of ownership (TCO) e la superficie di attacco, e si fornirà una visione unificata dell’intera rete, in modo che sia più facile individuare qualsiasi attività insolita.
Per concludere: il ransomware è una minaccia che sta crescendo e non mostra segni di rallentamento. Di conseguenza, le PMI devono essere in grado di prevenire gli attacchi. Nel momento in cui iniziano a pianificare questo cambiamento, è importante che non trattino la loro strategia di cybersecurity come una cosa isolata. Deve essere agile, in modo da potersi adattare al mutare delle minacce. I metodi utilizzati dagli attaccanti sono in continua evoluzione, quindi le aziende devono essere pronte a cambiare il loro approccio allo stesso ritmo. È essenziale che questo diventi una priorità per ogni PMI, perché qualsiasi ritardo può avere esiti devastanti.
A cura di Marco Fanuli, Security Engineer Team Leader di Check Point Software