L’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) ha pubblicato un report sul livello di minaccia derivante da attacchi ransomware in Europa, Inghilterra e negli Stati Uniti.
Il rapporto fornisce alle aziende preziosi spunti su come affrontare gli attacchi informatici, anche in relazione alle misure normative da attuare per limitare il rischio di data breach.
L’ENISA Threat Landscape for Ransomware Attacks è il risultato della revisione di 623 incidenti ransomware da maggio 2021 a giugno 2022, i quali hanno causato la sottrazione di circa 10 terabyte di dati al mese. Il 58,2% di questi dati rubati è relativo a dati personali dei dipendenti dei soggetti attaccati.
I dati sono stati raccolti dai rapporti di Governi e società di sicurezza, dalla stampa, blog verificati e in alcuni casi utilizzando fonti correlate dal dark web.
L’Italia è stato il quarto paese più attaccato, dopo USA, Germania e Francia.
Inoltre, nel 94,2% dei casi analizzati dall’ENISA non è noto se l’azienda colpita abbia pagato o meno il riscatto richiesto.
Tuttavia, partendo dal presupposto che, in caso di mancato pagamento, i cyber criminali (di solito) rendono disponibili pubblicamente tutti i dati sottratti e che ciò – stando ai dati dell’ENISA – è accaduto nel 37,88% degli incidenti analizzati, appare verosimile poter ipotizzare che il restante 62,12% delle aziende attaccate abbiano raggiunto o un accordo con gli aggressori, oppure abbiano trovato un’altra soluzione.
Lo studio mostra anche che sono colpite dagli attacchi le aziende di ogni dimensione e di tutti i settori.
Le cifre di cui sopra possono tuttavia rappresentare solo una parte del quadro generale. In realtà, lo studio rivela che il numero totale di attacchi ransomware è molto maggiore. Al momento questo totale è impossibile da catturare poiché troppe organizzazioni ancora non rendono pubblici i loro incidenti o non ne segnalano le autorità competenti.
Di seguito è riportata un’analisi di come si stanno evolvendo e quali sono le misure consigliate, comprese le azioni normative, da adottare per proteggersi dagli attacchi ransomware.
Gli attacchi ransomware stanno diventando sempre più sofisticati
Secondo l’analisi effettuata nel rapporto, gli attacchi ransomware possono prendere di mira le risorse in quattro modi diversi. L’attacco può:
a) bloccare le risorse, così come bloccare lo schermo o bloccare l’accesso a una particolare applicazione;
b) crittografare le risorse, rendendolae non disponibile per il target;
c) rubare le risorse, compromettendone la disponibilità e, infine, la riservatezza, anche attraverso l’esfiltrazione di dati che spesso porta alla loro pubblicazione sul dark web;
d) eliminare le risorse del sistema informatico attaccato, rendendole permanentemente non disponibili.
Le risorse prese di mira possono essere di diversa tipologia, come:
- documenti o strumenti da file;
- database;
- servizi Web;
- sistemi di gestione dei contenuti;
- schermate;
- record di avvio principale (MBR);
- tabelle di file master (MFT), ecc.
Il ciclo di vita del ransomware è rimasto invariato fino al 2018 circa, quando il ransomware ha iniziato ad aggiungere più funzionalità e quando sono maturate le tecniche di ricatto. Possiamo identificare cinque fasi di un attacco ransomware:
- accesso iniziale: che spesso avviene attraverso il furto di credenziali, phishing e altre soluzioni che spesso sfruttano gli errori umani e la mancanza di consapevolezza da parte delle vittime;
- esecuzione: che può richiedere diverse settimane poiché l’attore della minaccia si trova all’interno dell’ambiente IT della vittima, ne studia l’infrastruttura ed esegue le azioni preparatorie. Dal punto di vista normativo, una tale fase intermedia è estremamente pericolosa poiché le autorità di regolamentazione potrebbero contestare la mancanza di un adeguato monitoraggio dei sistemi aziendali;
- azione sugli obiettivi: che si verifica quando viene distribuito l’attacco ransomware. Il completamento degli effetti completi dell’attacco potrebbe richiedere settimane e non vi è alcuna garanzia che la crittografia sia stata eseguita correttamente, il che significa che non vi è alcuna garanzia che il pagamento dei dati del riscatto venga decrittografato;
- riscatto: mediante il quale i threat actors rendono noto l’oggetto della loro richiesta, comunicando l’attacco in corso e le previste conseguenze sugli asset. Il pagamento è solito essere normalmente di natura economica, ma che può essere rivolto anche all’ottenimento di ulteriori e differenti obiettivi d’interesse per l’organizzazione criminale.
- negoziazione del riscatto: che avviene in genere mediante comunicazioni private tra l’organizzazione colpita e i threat actors.
Secondo ENISA il pagamento di un riscatto, nella maggior parte dei casi, non è consigliato in quanto non c’è certezza della decrittazione e dell’effettiva cancellazione dei dati non può mai essere certa. Ma in alcune circostanze, potrebbe essere inevitabile se l’organizzazione non ha altri mezzi per riottenere l’accesso ai dati poiché, ad esempio, anche le copie di backup dei dati sono state crittografate.
I dati principali sugli attacchi ransomware
Approfondimenti utili provengono dai dati riportati da ENISA sugli attacchi ransomware in cui sembra che:
- il 46,2% degli incidenti totali ha portato a fughe di dati, il che significa che nella metà dei casi un attacco ransomware porta all’esfiltrazione di dati poi pubblicati sul dark web;
- il 47,83% dei casi di furto di dati è trapelato, il che mostra un rischio notevolmente elevato che la fuga di dati porti alla loro pubblicazione totale o (più frequentemente) in parte;
- il 58,2% di tutti i dati rubati conteneva dati personali GDPR, con il 33% dei dati rubati che includeva dati personali dei dipendenti e il 18,3% includeva dati personali dei clienti.
Non solo ransomware ma anche data breach
I ransomware rimangono tra i metodi di attacco principali per quanto riguarda i data breach (11%).
Lo rivela l’ultimo report di IBM Security Cost of a Data Breach Report, che evidenzia come il pagamento del riscatto per i ransomware non solo non contribuisce ad arginare i costi delle violazioni, ma va a finanziare un’industrializzazione del cybercrime.
Negli ultimi tre anni, la durata dei ransomware è calata del 94%, da oltre tre mesi a 4 giorni, lasciando alle organizzazioni una finestra temporale sempre più ristretta per reagire.
Secondo il report di IBM security, il costo di ogni singolo dato rubato è di 164 dollari in media a livello globale, mentre in Italia è di 143 euro.
Tra le 17 aree geografiche analizzate, gli Stati Uniti sono il Paese che ha pagato di più. L’Italia si colloca all’ottavo posto. A livello globale, il settore sanitario è stato il più attaccato, con una media di 9,23 milioni di dollari per data breach.
In Italia, è l’industria farmaceutica ad aver pagato di più: ogni dato rubato è costato 182 euro. Seguono il settore tecnologico (174 euro) e quello dei servizi finanziari (173 euro).
Per quanto riguarda i vettori iniziali di attacco, se a livello globale quasi il 20% è costituito da credenziali rubate o compromesse, in Italia il primo vettore è il phishing.
In netto contrasto con la media globale, il vettore di attacco che comporta i costi maggiori in Italia è la perdita accidentale di dati o device, che è costata 4,92 milioni di euro (contro 3,94 milioni di dollari globali).
Le raccomandazione dell’ENISA su come difendersi
L’ENISA fornisce diverse raccomandazioni sulle misure di sicurezza da attuare per ridurre il rischio di un attacco ransomware. In particolare:
- mantenere un backup aggiornato dei file aziendali e dei dati personali;
- mantenere questo backup isolato dalla rete;
- applicare la regola 3-2-1 del backup: 3 copie, 2 diversi supporti di memorizzazione, 1 copia fuori sede;
- eseguire software di sicurezza progettato per rilevare la maggior parte dei ransomware nei dispositivi endpoint;
- limitare i privilegi amministrativi.
Se si cade vittima di un attacco ransomware, nel rapporto si consiglia di:
- contattare le autorità nazionali per la sicurezza informatica o le forze dell’ordine per assistenza;
- non pagare il riscatto e non negoziare con gli attori della minaccia;
- mettere in quarantena il sistema interessato;
- visitare il progetto No More Ransom, un’iniziativa di Europol.
Enisa consiglia di condividere le informazioni sugli incidenti ransomware con le autorità per essere in grado di allertare potenziali vittime, identificare gli attori delle minacce, supportare la ricerca sulla sicurezza e sviluppare mezzi per prevenire tali attacchi o rispondere meglio ad essi.
Conclusioni
Le misure raccomdate dall’ENISA sono molto utili, ma non tengono conto del fatto che la maggior parte degli attacchi ransomware sono il risultato di errori umani, e quindi se l’azienda non è in grado di creare una cultura interna dei rischi informatici, sarà sempre esposta.
Indipendentemente dalle misure tecniche attuate, non è mai possibile escludere totalmente il rischio di un attacco informatico. L’azienda deve attuare le misure per ridurre al minimo il rischio e, parallelamente, raccogliere le prove di aver implementato le misure appropriate. Tale requisito è espressamente previsto dal principio di responsabilità previsto dal GDPR, ma gli obblighi normativi si estendono oltre la normativa sulla privacy e si applicano anche ai dati non personali. La conformità alla sicurezza informatica è spesso considerata un compito relegato all’ufficio tecnico ma richiede la collaborazione con l’ufficio legale dell’azienda.
Inoltre, l’azienda deve essere addestrata a reagire a un attacco ransomware poiché le procedure sono spesso valide sulla carta ma mai testate, il che impedisce di identificare potenziali punti deboli e garantire l’efficienza del piano.