Gli attacchi ransomware sono in aumento ma sembra essere in diminuzione il numero delle denunce di data leak: il che lascia supporre che sono sempre di più le vittime che pagano il riscatto nella speranza di evitare danni reputazionali.

Il ransomware ha colpito moltissime aziende nell’ultimo trimestre del 2022, con 242 vittime di data leak nel mese di Settembre rispetto alle 112 di Gennaio.

La buona notizia è che l’Italia, con 29 data leak pubblici (in diminuzione rispetto al Q2 2022), cede il primato di paese europeo più colpito da questa tipologia di malware alla Francia, in cui le vittime sono state 39.

Le vittime in Italia sono meno degli attacchi

Ci sembrerà un fatto strano, ma facilmente comprensibile.

Il numero totale di vittime colpite da double extortion e successivo data leak (e che, quindi, hanno verosimilmente deciso di non pagare il riscatto) è leggermente diminuito, passando da 707 a 700. Una variazione di un solo punto percentuale che però rappresenta una vera e propria anomalia rispetto ad alcuni altri importanti fattori.

Il dato è, infatti, in controtendenza rispetto all’aumento del numero di attacchi informatici registrato da più fonti: in particolare nel primo semestre 2022 sono stati registrati 1.141 attacchi (+8,4% rispetto al primo semestre del 2021) con una impressionante media di 190 attacchi al mese (Fonte: rapporto Clusit Ottobre 2022).

C’è poi da registrare un’altra anomalia data dal fatto che il numero di gang ransomware che si affidano al data leak come strumento di ricatto nei confronti delle vittime è aumentato del 16%: un valore che stride, evidentemente, con la riduzione del numero di PMI colpite dal ransomware.

In poche parole, il trend di crescita dei ransomware non corrisponde a un conseguente aumento del numero di data leak perché sono sempre di più le vittime che pagano il riscatto e i cui dati non vengono pubblicati sui Data Leak Site (DLS). Questa scelta è ovviamente correlata con l’intenzione di evitare danni reputazionali, controlli e conseguenti multe.

Le aziende non denunciano gli attacchi

Dal rapporto Clusit si evince, anche, che le aziende più reticenti a denunciare e divulgare gli attacchi in Italia e in Europa sono le PMI.

Questo avviene sicuramente per una minore o del tutto assente eco mediatica, ma soprattutto perché spesso l’attacco resta silente per mesi prima che i team interni lo riconoscano.

Inoltre, è interesse delle aziende colpite non pubblicizzare l’incidente di sicurezza se non costrette dalle circostanze o da obblighi normativi di notifica dell’incidente stesso (GDPR).

Sappiamo che la divulgazione di un data leak o di un data extraction potrebbe causare una perdita di fiducia nell’azienda da parte di clienti, partner e fornitori causando un calo di affari per anni.

La leva del name and shame, quindi, continua a essere una tecnica criminale molto efficace contro le aziende nostrane proprio perché, come dicevamo prima, gli impatti mediatici a livello di brand reputation sono comunque sempre significativi.

Ransomware e riscatti

L’ipotesi che siano numerose le aziende che pagano il riscatto in seguito a un attacco ransomware, senza denunciarlo, sembrerebbe essere avvalorata anche da un altro dato: nel 2022 le aziende hanno speso un totale di 8.276.660,94 dollari al fine di evitare la pubblicazione dei propri dati, con una richiesta di riscatto media di 1.952.148 dollari pari al 140% in più rispetto allo stesso dato del 2021.

Questa economia dei riscatti è tenuta in mano da pochi gruppi criminali che agiscono pressoché indisturbati.

Un altro dato da tenere in considerazione è che il 78% delle aziende con dati pubblicati nel dark web ha un fatturato che non supera i 250 milioni di dollari, dato che conferma un incremento del numero di attacchi verso le piccole e medie imprese, considerate soggetti più vulnerabili in quanto spesso meno attrezzate a fronteggiare le minacce informatiche.

L’impegno di Security Architect srl contro il Ransomware

Il ransomware è in aumento. Diventa dunque essenziale continuare a lavorare su resilienza e capacità di assorbimento degli impatti di un attacco ransomware.

Le aziende possono e devono difendere se stesse.

In che modo? Con vulnerability assessment e penetration testing che utilizzino tecniche e metodi moderni (simili a quelli utilizzati dagli hacker malevoli), proseguendo con il nostro servizio di Dark Web Monitoring (verifica della presenza di informazioni utili per l’accesso abusivo ai sistemi target), la soluzione di Virtual SOC, Endpoint Security, Authentication Security dedicata agli accessi remoti e implementazione di Firewall per la sicurezza perimetrale.

Conclusioni

Il ransomware, soprattutto per via delle modalità con cui viene condotto un attacco, continua a essere il malware più diffuso ed efficace.

Uno scenario aggravato dal fatto che negli ultimi anni si è diffusa la modalità malware as a service reperibile sul dark web da chiunque voglia effettuare attacchi informatici. Un altra delle ragioni che ha portato all’aumento degli attacchi ransomware.

Quindi, la nostra difesa consiste nell’anticipare, rilevare, bloccare e risolvere eventuali minacce avendo piena visibilità dei tuoi asset critici.

Riproduzione – “SecurityArchitect”.

Lascia un commento