Report Cybereason: RansomOps complessi hanno alimentato l’economia del ransomware

redazione

Cybereason ha pubblicato un nuovo report, intitolato RansomOps e l’economia del ransomware, che esamina come gli attacchi ransomware si siano evoluti da un’industria artigianale a un business multimiliardario in meno di dieci anni. Con la crescente sofisticazione degli attacchi RansomOps, le organizzazioni del ransomware stanno raccogliendo i frutti con profitti da record: nel mirino, aziende pubbliche e private di ogni dimensione.

I primi ransomware si affidavano a tattiche “spray-and-pray” per colpire soprattutto i singoli utenti, con richieste di riscatto relativamente modeste rispetto alle estorsioni multimilionarie che si sono moltiplicate nel 2020-2021. Con l’emergere dei RansomOps – attacchi complessi e simili alle operazioni furtive condotte dagli attaccanti sponsorizzati dai governi nazionali – per la maggior parte delle organizzazioni difendersi dagli attacchi ransomware è diventato molto più difficile, mentre gli autori delle minacce hanno aumentato le richieste di riscatto, forti del fatto che sempre più vittime scelgono di pagare.  

“Le gang del ransomware hanno strategicamente scelto di sferrare attacchi mirati contro aziende che hanno la capacità di pagare riscatti multimilionari, alimentando l’incremento degli attacchi nel 2021. L’anno scorso, tra i RansomOps di maggiore risonanza mediatica ricordiamo quelli destinati a Colonial Pipeline e JBS Foods. Purtroppo, quest’anno le richieste di riscatto sono aumentate e gli operatori di infrastrutture critiche, gli ospedali e le banche sono ormai un bersaglio gettonatissimo”, ha dichiarato Lior Div, CEO e co-fondatore di Cybereason. 

Pagare o non pagare

In un recente studio di Cybereason (Ransomware: The True Cost to Business) è emerso che l’80% delle aziende che hanno deciso di pagare il riscatto sono state colpite una seconda volta, spesso dagli stessi autori della prima minaccia. Il 68% delle vittime ha affermato che il secondo attacco è arrivato meno di un mese dopo il precedente con una richiesta di riscatto più elevata. Incredibilmente, quasi il 7% delle organizzazioni ha pagato un terzo riscatto e l’1% ammette di aver pagato quattro volte.

Invece di pagare, le organizzazioni dovrebbero concentrarsi su strategie di rilevamento e prevenzione precoci per bloccare gli attacchi ransomware nelle fasi iniziali, prima che i sistemi e i dati critici siano compromessi. 

Ci sono diverse ragioni per non pagare:

Nessuna garanzia di recupero dei dati: pagare il riscatto non significa recuperare l’accesso ai dati crittografati. Le utility di decriptazione fornite dai responsabili dell’attacco a volte non funzionano correttamente. Nel caso di Colonial Pipeline nel 2021, l’azienda ha pagato al DarkSide Group un riscatto di 4,4 milioni di dollari in cambio di chiavi di decrittazione che si sono poi rivelate difettose e ha dovuto quindi attivare i propri backup per ripristinare i sistemi. 

Implicazioni legali: le vittime che pagano possono incorrere in sanzioni onerose da parte del governo per aver sostenuto autori di ransomware che sponsorizzano il terrorismo. Inoltre, gli attacchi ransomware alle supply chain, che impattano su clienti o partner di un’azienda, potrebbero innescare azioni legali da parte delle aziende colpite. 

Incentivazione degli attacchi ransomware: le aziende che pagano gli attaccanti stanno in realtà confermando che questi attacchi funzionano bene, continuando così ad alimentarli e giustificando richieste di riscatto sempre più elevate. Come Cybereason, l’FBI consiglia alle aziende di astenersi dal pagare i riscatti, poiché in questo modo non fanno altro che incoraggiare i malintenzionati, confermando loro che l’estorsione funziona.