Ransomware, cos’è e qual è il costo dei riscatti

Il ransomware è una minaccia sempre attuale, per questo torniamo a parlarne e a fare il punto della situazione dopo aver dedicato un’infografica al ransomware Cryptolocker; prima di tutto facciamo una panoramica sullo stato della cybersecurity.

Cos’è il ransomware

Il ransomware è un tipo di malware che cripta i file impedendone l’accesso agli utenti che sono vittima di un attacco ai propri sistemi ed ai propri dati. Ci compie un attacco con un ransomware chiede un riscatto per ripristinare i file fornendo una chiave di decodifica, l’unico modo per non perdere definitivamente i file.

In genere il ransomware colpisce più spesso le aziende che i privati, poiché i cybercriminali possono aumentare il prezzo del riscatto oppure cancellare la chiave di decodifica, rendendo così impossibile il recupero dei file.

Il veicolo con cui viene condotto un attacco con ransomware è principalmente il phishing, ma esistono tecniche e procedure che non richiedono all’utente di cliccare su un link malevolo o di aprire un documento modificato. Si utilizzano exploit come Eternal Blue, linguaggi di programmazione poco comuni, per inserire il ransomware direttamente sui sistemi degli utenti vittima, così da acquisire l’accesso persistente alla macchina necessario per lo scambio delle chiavi di cifratura e per i processi di pagamento.

Questo genere di attacchi può oltrepassare i controlli di sicurezza sulla rete, inoltre può avvenire anche un ‘exfiltration’ dei dati, cioè un trasferimento degli stessi verso un’infrastruttura gestita dal cybercriminale in modo non autorizzato.

Ransomware, quali sono le minacce concrete

A ottobre 2020 si è verificato un attacco a Enel con il ransomware Netwalker, la richiesta è stata di 14 milioni di dollari per decriptare i file (circa 5 Terabyte di dati riservati), con minaccia di renderne pubblico il contenuto.

In genere si consiglia di non pagare il riscatto, ma molte aziende decidono di farlo in base a molteplici fattori: il pericolo di un danno reputazionale; i costi di ripristino e riordino dei dati; gli effetti negativi su clienti ed azionisti; l’impatto sui dipartimenti operativi.

Va aggiunto, tuttavia, che c’è stato un calo dell’esborso pagato dalle vittime negli ultimi 4 mesi del 2020, secondo una ricerca di Coveware: 154.108 dollari, un calo del 34% rispetto ai 233.817 dollari del trimestre precedente.

Questa tendenza ha innescato un cambiamento nella strategia adottata dai cybercriminali: oltre a cifrare i documenti e a minacciare di eliminarli, sempre più spesso decidono di diffondere pubblicamente i dati sottratti, mettendo a repentaglio dati riservati e informazioni pericolose per l’azienda se rese pubbliche.

Le statistiche sui ransomware

• Il 27% di tutto il malware è costituito da ransomware
• Entro la fine del 2021, gli attacchi ransomware saranno 1 ogni 11 secondi
• Di questi, avrà successo un attacco ogni 40 secondi
• Il 62% delle aziende ha ammesso di essere stato vittima di ransomware
• Di queste, il 58% ha optato per pagare il riscatto, con un aumento del 13% rispetto all’anno precedente
• Il costo complessivo dei danni è stimato essere di 20 miliardi di dollari per il 2021

Questi dati statistici ci fanno capire l’importanza della sfida posta dai vari tipi di ransomware e se aggiungiamo che il 58% degli intervistati di un sondaggio effettuato da NTT Security ha dichiarato di avere un regolamento di sicurezza in vigore all’interno della propria azienda, mentre il 48% ha risposto di non avere un piano di incident response (IR), e infine solo il 57% di quelli che hanno un piano di incident response è al corrente di tutti i dettagli, ciò vuol dire che i pericoli costituiti dai ransomware non sono affatto diminuiti.

Il consiglio è quello di dotarsi di strumenti di protezione adeguati e di richiedere sempre l’intervento di specialisti nel recupero dati, come quello che forniamo in merito al ripristino dati dopo un attacco da cryptovirus.