All’inizio del fenomeno del ransomware, a un’azienda servivano settimane per pagare il riscatto chiesto dal gruppo criminale che aveva rubato loro dati sensibili. Giorni di riunioni in preda al panico e indagini sul buco che aveva consentito ai criminali di entrare nel sistema aziendale. Senza parlare del doversi documentare sul funzionamento dei Bitcoin, per poter pagare nella valuta preferita dagli hacker. Adesso a pagare un riscatto ci si mettono 48 ore, dice Chris Novak, presentando a Fortune Italia i risultati del Data Breach Investigations Report di Verizon, uno dei rapporti più importanti del settore.
Da una parte, i gruppi criminali cercano un profitto facile e veloce. Dall’altra le aziende attaccate non hanno nessuna intenzione di attendere più del necessario per recuperare i dati perduti. Nel mezzo, a volte, ci sono le assicurazioni, che fornendo un paracadute alle aziende hanno velocizzato ancora di più il processo di pagamento dei riscatti.
Un vorticoso ed efficientissimo circolo vizioso che accompagna, nel 2021, il più grande aumento di sempre per quanto riguarda gli attacchi ransomware analizzati dal report Verizon, che prende in considerazione 23,896 incidenti di cybersecurity e 5,212 infiltrazioni confermate. “Stiamo vedendo che le organizzazioni pagano più spesso di prima, perché le assicurazioni hanno facilitato il processo. E chi ha attaccato è più felice, perché non deve parlare con qualcuno che non sa come pagare un riscatto in Bitcoin”, dice l’esperto.
Novak ha co-fondato e gestisce il Threat research advisory center di Verizon, ma oltre a lavorare con il gigante USA fa anche parte del Cyber safety review board, o Csrb, creato dal presidente Usa Joe Biden nel maggio del 2021.
A Fortune Italia aveva già raccontato come il ransomware avrebbe continuato a rappresentare la grande minaccia informatica dei prossimi anni. Ora arriva il dato: nel 2021 c’è stato il più grande aumento di attacchi ransomware dei 15 anni di vita del report, un aumento superiore ai precedenti 5 anni combinati. “La situazione peggiorerà prima di migliorare, purtroppo”, dice l’esperto.
Secondo il report, le violazioni ransomware sono aumentate del 13% in un solo anno. Mentre i criminali cercano di sfruttare forme sempre più sofisticate di malware, è il ransomware che continua a dimostrarsi particolarmente efficace nello sfruttare e monetizzare l’accesso illegale alle informazioni private. Novak racconta che una “cosa che non è cambiata è che il motivo principale per gli attacchi è sempre fare denaro, in maniera schiacciante”.
Ormai, soprattutto denaro digitale: il crypto è preponderante, quando ci sono richieste di riscatto, a causa della sua scarsa tracciabilità. “Direi che oltre il 90% dei riscatti viene pagata in crypto”.
Anche in un epoca in cui si parla sempre più spesso di cyberwar, il crimine organizzato continua ad essere una forza preponderante nel mondo della sicurezza informatica. Circa 4 violazioni su 5 possono essere attribuite al crimine organizzato, con attori esterni che hanno circa 4 volte più probabilità di causare violazioni in un’organizzazione rispetto agli attori interni.
Cybersecurity, l’esercito botnet
È importante ricordare, si legge nel report, che il ransomware di per sé è davvero solo un modello di monetizzare l’accesso dell’organizzazione. È, di fatto, lo scopo di un attacco, che può avvenire in modi diversi. Il report ne individua quattro: Credenziali, Phishing e vulnerabilità dei sistemi sfruttate dagli hacker.
Ma anche Botnet, reti di server che vengono usati per attacchi Ddos che, spiega Novak, possono anche essere usati per chiedere un riscatto: attaccando un sito con una rete di computer zombie, magari presa a noleggio per l’occasione, il gruppo criminale può chiedere un riscatto per ripristinare la situazione. Oppure, conferma Novak, lo scopo può essere anche semplicemente un’azione dimostrativa. Sembra essere questo il caso nel caso dei primi attacchi Killnet, ad esempio. La matrice, spiega Novak, può essere sia di “nation state groups” che di gruppi criminali privati. “Questi ultimi lo fanno per avere denaro, e ti avvertono che ti attaccheranno se non vengono pagati”.
Ma gli attacchi Ddos, spiega l’esperto, rimangono forse tra i tipi di minaccia meno difficili da combattere, o prevenire, o quelli ai quali è più facile rispondere, ripristinando i servizi.
Sono le persone – di gran lunga – l’anello più debole nelle difese di sicurezza informatica di un’organizzazione, dice il report.
Ransomware, l’anello debole siamo noi
Il 25% delle violazioni totali nel rapporto del 2022 è stato il risultato di attacchi di ingegneria sociale e quando si aggiungono errori umani e uso improprio dei privilegi di accesso ai sistemi, l’elemento umano rappresenta l’82% delle violazioni analizzate nell’ultimo anno.
Spesso “i muri sono solidi, la casa è sicura. Ma hai dimenticato di insegnare alle persone come chiudere a chiave la porta”, spiega Novak.
Quando si parla di violazioni dovute all’errore umano, il phishing è ancora tra le cause maggiori, insieme all’utilizzo di credenziali rubate. Tra l’altro, è un problema particolarmente grave per il nostro continente: “Abbiamo visto che il phishing si verifica con una probabilità 4 volte maggiore rispetto allo sfruttamento di vulnerabilità di sistema, in Europa”, dice Novak. Inoltre, sempre in Europa, i moventi finanziari sono 4 volte più forti rispetto a quelli legati allo spionaggio.
Il problema diventa ancora più grave se si pensa il collegamento di un’organizzazione con le altre. Per molte aziende, l’anno scorso è stato dominato anche da problemi di supply chain e questa tendenza si è riflessa anche nel panorama della sicurezza informatica. Il 62% degli incidenti di intrusione di sistema è avvenuto tramite il partner di un’organizzazione.
Compromettere il partner giusto è un moltiplicatore, per i criminali informatici, ed evidenzia le difficoltà che molte organizzazioni affrontano nel proteggere la propria supply chain.
