Nel report dedicato agli attacchi ransomware dell’Agenzia dell’Unione Europea per la cybersecurity si denuncia una verità dura e scomoda: gli attacchi aumentano e la resilienza scarseggia. Cedere alla richiesta di riscatto è sbagliato.
Il report “ENISA Threat Landscape for Ransomware Attacks” pubblicato a fine luglio dall’Agenzia dell’Unione Europea per cybersicurezza (ENISA), che indaga gli eventi cyber avvenuti nel periodo da maggio 2021 a giugno 2022, denuncia una verità assai scomoda: con lo sviluppo tecnologico gli attacchi cyber si sono evoluti e perfezionati, diffondendosi e diventando più dannosi e temuti.
Il documento redatto dallo studio di 623 incidenti noti di ransomware, avvenuti tra Europa, Regno Unito e Stati Uniti, ha lo scopo di dispensare consigli per mitigare il rischio e le conseguenze dei cyber attacchi.
Ransomware: le tendenze
L’Agenzia dell’Unione Europea per la cybersecurity (ENISA) chiarisce che data la portata del fenomeno non è possibile dare una definizione univoca di ransomware in quanto identifica una forma di cyberattacco che si è evoluta assieme alle sue capacità. Se prima, infatti, gli incidenti e le violazioni si concentravano su iniziative di crittografia e blocco, oggi l’attacco ransomware è difficile da categorizzare.
Per questa ragione, l’ENISA propone di analizzarlo considerando 3 elementi/componenti chiave: risorse, azioni e ricatti.
- Risorse: ossia tutto quello che ha valore per l’azienda; tra i principali assets presi di mira non mancano file, cartelle, schede di memoria e database sensibili.
- Azioni: sono quattro tendenzialmente quelle che può eseguire e vengono rappresentate dall’acronimo LEDS (Lock, Encrypt, Delete, Steal) ossia bloccare l’accesso ad un asset, criptare una risorsa, cancellarla e rubarla rendendola indisponibile e certamente compromettendone i diritti di riservatezza.
- Ricatto: gli attori chiave, tramite svariati strumenti coercitivi (fughe di dati parziali, attacchi DDoS (Distributed Denial of Service), notizie riguardo l’attacco), impongono le loro richieste di riscatto monetario in cambio della disponibilità degli assets sotto attacco.
Se tre sono gli elementi costitutivi, diverse sono le fasi del suo ciclo di vita. Anch’esso mutato assieme agli sviluppi della tecnologia, oggi si identifica in 5 fasi che individuano un percorso non rigido ma, al contrario, mutevole e interscambiabile nei suoi step, si parla di: accesso inziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione del riscatto.
È qui che occorre domandarsi cosa si può fare per bloccare questa tendenza, considerando tra l’altro che nel report viene evidenziato come le conoscenze e le informazioni relative a tali incidenti siano ancora limitate. Infatti, l’Agenzia dell’Unione Europea per la cybersecurity propone alcune raccomandazioni, certamente non risolutive, ma che comunque spronano alla resilienza e consentono di mitigare l’impatto delle violazioni.
Una fra queste è proprio quella di non cedere alla negoziazione e quindi alla richiesta di denaro, fattore questo che si stima abbia motivato e alimentato il business del ransomware, valutato come la principale minaccia UE nel 2021. Piegarsi alle condizioni richieste e versare il riscatto determina la riuscita dell’attacco. Tra l’altro come si spiega nel report, non c’è garanzia che il pagamento della cifra richiesta porti alla risoluzione della minaccia.
I numeri degli attacchi
Secondo l’indagine, che ha preso in considerazione un campione di 623 attacchi tra maggio 2021 e giugno 2022 avvenuti tra Unione Europea, Regno Unito e Stati Uniti coprendo solo il 17,11% del totale stimato di attacchi avvenuti nel periodo, al primo posto si piazzano gli Stati Uniti con 112 incidenti, seguiti da Germania con 96, Francia 68 e dal nostro Paese al quarto posto.
Nell’analisi qualitativa degli incidenti, inoltre, tramite le prove raccolte, in 288 casi su 623 (nel 47,83% degli incidenti) c’è stata fuga di dati, ossia che le informazioni riservate siano state rese note parzialmente o completamente.
Si può quindi supporre che nei restanti episodi non ci sia stata la divulgazione in forza del pagamento del riscatto. Infatti, in generale la tendenza dei cybercriminali è quella di divulgare parzialmente o totalmente quanto sottratto per dar prova dell’attacco e “tenere sotto scacco” le vittime, far loro pressioni al fine di aprire le negoziazioni e ottenere il pagamento della cifra richiesta.
Un’ulteriore analisi ha evidenziato che nel 58,2% dei casi, vengono sottratti dati personali dei dipendenti che spaziano dalle informazioni sanitarie, ai numeri di passaporto e visto, arrivando anche agli indirizzi di casa.
Ad aggiungersi, si deve considerare che nel 94,2% degli episodi non è stato possibile confermare se sia stato pagato il riscatto. Presumibilmente – chiarisce il report - per le aziende bersagliate, rivelare questo tipo di informazioni implicherebbe necessariamente il mostrare le proprie vulnerabilità e i propri punti di debolezza.
Comunque, considerando che sul totale, il 37,88% delle vittime ha visto i propri dati trapelare su internet, si può presumere che nel restante dei casi, ossia circa il 62,12%, il riscatto sia stato pagato.
Queste tendenze, e i numeri in crescita, mostrano come non sia escluso alcun settore dal raggio d’azione del ransomware: può colpire qualunque organizzazione, di qualsiasi dimensione, in ogni parte del mondo. Chiunque è un facile bersaglio, per questo rappresenta un problema globale da non ignorare.
Il rapporto può, quindi, essere di aiuto per presentare opportunità e raccomandazioni per affrontare con maggiore consapevolezza le minacce di questa tipologia.
Quali raccomandazioni
ENISA chiarisce nel report che le tecniche utilizzate dai cybercriminali sono sempre più sofisticate ed evolute, di conseguenza le aziende devono cominciare a considerare l’attacco non solo come una possibilità ma come un evento che prima o poi potrebbe riguardare.
Per questo si ritiene che adottare misure preventive può ridurre gli impatti negativi di un attacco.
Tra le raccomandazioni presenti nel report:
- Eseguire un backup di tutti i file “critici” per l’azienda.
- Rispettare la regola 3-2-1 di backup che prevede l’esecuzione di 3 copie, 2 supporti di memorizzazione diversi e 1 copia da tenere lontana dalla sede.
- Conservare i dati personali criptati secondo le disposizioni del GDPR, quindi, secondo un approccio risk based.
- Utilizzare un software di sicurezza nei dispositivi endpoint in grado di rilevare i ransomware.
- Diffondere una sorta di “cultura” in termini di cybersecurity.
- Valutare il rischio di attacchi regolarmente e considerare la possibilità di stipulare un’assicurazione.
Se il ransomware colpisce
Se le raccomandazioni di cui sopra valgono come forma di prevenzione, in caso di effettivo attacco occorre immediatamente contattare le autorità competenti. Condividere le informazioni riguardo all’attacco può migliorare la gestione dell’attacco: dall’assistenza alle vittime, all’identificare gli attori dell’attacco e le loro modalità di azione così da definire un piano di intervento adeguato.
Si sconsiglia fortemente il pagamento del riscatto in quanto, in primo luogo, non sempre porta al recupero delle informazioni, files, ecc. sottratti e inoltre, questa strada non assicura la non divulgazione o la vendita di quanto sottratto dalla vittima.
A conclusione, ENISA sottolinea, al fine di sensibilizzare, che la rapida crescita del ransomware è stata favorita principalmente dal finanziamento indiretto fatto ai cybercriminali tramite i pagamenti dei riscatti, che appunto stanno alimentano il fenomeno.