RansomOps e l'economia del ransomware

Si intitola RansomOps e l'economia del ransomware il nuovo report pubblicato da Cybereason. L'indagine prende in esame l'evoluzione degli attacchi ransomware, ormai diventati un business multimiliardario (in meno di dieci anni). Con la crescente sofisticazione degli attacchi RansomOps, le organizzazioni del ransomware stanno raccogliendo i frutti con profitti incredibili. Nei loro obiettivi si trovano tanto aziende pubbliche quanto private, di qualsiasi dimensione.

Un'industria (inizialmente) artigianale

I primi ransomware si affidavano a tattiche "spray-and-pray", che colpivano innanzitutto i singoli utenti: le richieste di riscatto erano abbastanza contenute rispetto alle estorsioni multimilionarie che si sono diffuse nel 2020-2021. Con l'emergere dei RansomOps – attacchi complessi e simili alle operazioni furtive condotte dagli attaccanti sponsorizzati dai governi nazionali – è diventato molto difficile per la maggior parte delle organizzazioni difendersi dagli attacchi ransomware. Gli autori delle minacce hanno invece aumentato le richieste di riscatto, consapevoli che sono sempre di più le vittime che decidono di pagare.  

"Le gang del ransomware hanno strategicamente scelto di sferrare attacchi mirati contro aziende che hanno la capacità di pagare riscatti multimilionari, alimentando l'incremento degli attacchi nel 2021. L'anno scorso, tra i RansomOps di maggiore risonanza mediatica ricordiamo quelli destinati a Colonial Pipeline e JBS Foods. Purtroppo, quest'anno le richieste di riscatto sono aumentate e gli operatori di infrastrutture critiche, gli ospedali e le banche sono ormai un bersaglio gettonatissimo", ha dichiarato Lior Div, CEO e co-fondatore di Cybereason. 

Pagare o non pagare?

Un recente studio evidenzia come l'80% delle aziende che hanno deciso di pagare il riscatto sono state colpite una seconda volta, spesso dagli stessi autori della prima minaccia. Il 68% delle vittime ha affermato che il secondo attacco è arrivato meno di un mese dopo il precedente con una richiesta di riscatto più elevata. Incredibilmente, quasi il 7% delle organizzazioni ha pagato un terzo riscatto e l'1% ammette di aver pagato quattro volte.

Le organizzazioni dovrebbero invece concentrarsi su strategie di rilevamento e prevenzione precoci per bloccare gli attacchi ransomware nelle fasi iniziali, prima che i sistemi e i dati critici siano compromessi. 

Le ragioni per non pagare - Non vi è alcuna garanzia di recupero dei dati: pagare il riscatto non significa recuperare l'accesso ai dati crittografati. Le utility di decriptazione fornite dai responsabili dell'attacco a volte non funzionano correttamente. Nel caso di Colonial Pipeline nel 2021, l'azienda ha pagato al DarkSide Group un riscatto di 4,4 milioni di dollari in cambio di chiavi di decrittazione che si sono poi rivelate difettose e ha dovuto quindi attivare i propri backup per ripristinare i sistemi. 

Implicazioni legali - Le vittime che decidono di pagare possono incorrere in sanzioni onerose da parte del governo per aver sostenuto autori di ransomware che sponsorizzano il terrorismo. Inoltre, gli attacchi ransomware alle supply chain, che impattano su clienti o partner di un'azienda, potrebbero innescare azioni legali da parte delle aziende colpite. 

Incentivazione degli attacchi ransomware - Le aziende che pagano gli attaccanti stanno in realtà confermando che questi attacchi sono efficaci e contribuiscono in modo attivo ad alimentarli, giustificando richieste di riscatto sempre più elevate. Come Cybereason, l'FBI consiglia alle aziende di non pagare i riscatti, poiché non fanno altro che incoraggiare i malintenzionati. 

(fonte immagine: etiprivacy.it)