Ransomware, riscatti, backup e perché pagare non serve

Il ransomware non accenna a uscire di scena. Protagonista degli ultimi anni nello scenario delle minacce informatiche, questo tipo di attacco continua a crescere nei numeri e a evolversi nelle tecniche e strategie utilizzate. Lo dimostrano per esempio i nuovi dati di Sophos, che nel suo ultimo report “State of Ransomware 2022” evidenzia che lo scorso anno il 66% delle aziende (su una rosa di 5.600 clienti Sophos di 31 nazioni) ha subìto almeno un attacco di questo tipo. Nel 2020 la percentuale era stata solo il 37%. Il dato più notevole è però quello relativo all’importo dei riscatti chiesti dagli autori degli attacchi: in un anno, la cifra media si è quintuplicata, arrivando nel 2021 a 812.360 dollari. Inoltre risulta triplicata la quota di aziende che ha pagato riscatti pari da un milione di dollari o superiori.

Nel 2021 il 46% delle aziende colpite da ransomware crittografici hanno scelto di cedere alla richiesta di pagamento. E il backup, non dovrebbe limitare i danni, permettendo di recuperare i dati senza doversi piegare al ricatto dei cybercriminali? Certamente è così, ma accade anche che le aziende scelgano di pagare lo stesso, magari per tornare immediatamente operative senza rischiare danni economici da mancata attività o multe o reputazione rovinata. Il report di Sophos di dice che anche quando il backup ha permesso di recuperare i dati, in un caso su quattro circa (26%) le aziende hanno pagato ugualmente.

"Le ragioni alla base di tale decisione sono molteplici”, ha commentato Chester Wisniewski, principal research scientist di Sophos, “ad esempio backup incompleti oppure la volontà di evitare che i dati sottratti all’azienda vengano diffusi online. Inoltre, all'indomani di un attacco ransomware le aziende hanno estrema urgenza di tornare operative il prima possibile e ripristinare i dati criptati utilizzando i backup può essere un processo lungo e complesso. Per questo motivo, si può essere tentati di pensare che pagare un riscatto sia un'opzione più veloce ma è anche una scelta che comporta notevoli incognite: le vittime dell’attacco non possono avere la certezza di quali mosse abbiano compiuto i cybercriminali ai loro danni, ad esempio aggiungendo backdoor, copiando password e credenziali sensibili e molto altro. Se le aziende non attueranno adeguate verifiche sui dati recuperati, si ritroveranno con molto materiale potenzialmente tossico nella propria rete e potranno dunque essere nuovamente esposti ad attacchi in futuro”.

Le parole dell’esperto di Sophos sono suffragate dai fatti. Guardando alle sole aziende italiane, si scopre che tra quelle che hanno pagato il riscatto solo il 3% ha potuto recuperare la totalità dei dati sottratti, mentre il 24% ne ha recuperata circa la metà. In una modesta percentuale dei casi, il 26%, le aziende tricolori colpite da ransomware sono riuscite a bloccare l’attacco prima che i dati venissero criptati.

Il ransomware in numeri

Ma quanti sono i ransomware in circolazione? Il numero di “famiglie” rilevate dalle società di cybersicurezza può variare di mese in mese, a seconda delle campagne ransomware in corso nei vari Paesi. Nei dati di telemetria di Bitdefender (tratti da centinaia di milioni di endpoint aziendali e privati) nel mese di marzo 2022 le famiglie rilevate sono state 222. L’Italia è stato uno tra i Paesi più colpiti, attirando il 6% del totale degli attacchi ransomware del periodo.

Un altro interessante spaccato sullo scenario attuale lo fornisce Check Point Software Technologies. Nel primo trimestre del 2022, a livello globale ogni settimana è stata colpita un’azienda su 53, e il dato è in ascesa del 24% rispetto alla proporzione di una su 66 del primo trimestre 2021. La durata media di un attacco è diminuita significativamente, dai 15 giorni del 2020 ai nove giorni del 2021.

Interessante è anche notare come i gruppi cybercriminali abbiano ormai, nella maggior parte dei casi, messo a punto un modus operandi che permette loro di agire con successo sia nell’attacco sia nelle procedure di “negoziazione” con la vittima. Prima di agire, per esempio, fanno una stima accurata dello stato finanziario dell’azienda, poi chiedono un riscatto coerente con sue le entrate annuali, in percentuale compresa tra lo 0,7% e il 5% del giro d’affari. Anche Check Point sottolinea però come il riscatto sia solo una parte del danno economico: considerando i costi di risposta e ripristino, le spese legali, i costi di monitoraggio, la somma è fino a sette volte più alta.

Tornando ai dati del report di Sophos possiamo farci un’idea quantitativa. L’86% delle aziende colpite ha detto di aver perso soldi e opportunità di business come effetto secondario dell’attacco. Nel 2021, considerando il campione d’indagine di Sophos, il costo medio per il ripristino post ransomware è stato di 1,4 milioni di dollari e il ritorno alla normale operatività ha richiesto, mediamente, un mese di tempo.

La somma di tutti questi numeri fa emergere la necessità di un backup solido, frequente e magari differenziato su più location, ma anche l’opportunità di proteggersi a monte con forme di assicurazione. Tra le aziende del report di Sophos, il 47% ha una polizza contro i rischi informatici che copre anche i danni causati dai ransomware, mentre il 7% pur avendo un’assicurazione cyber non ha copertura per questa tipologia di attacco. C’è poi un 5% che è totalmente sprovvisto di assicurazione contro i rischi cyber. Una percentuale tutto sommato piccola, che dimostra la crescente consapevolezza delle aziende in merito alle conseguenze degli attacchi e degli incidenti informatici.