L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato “Threat Landscape for Ransomware Attacks”, il report che fornisce nuove informazioni sulla realtà degli incidenti ransomware attraverso la mappatura e lo studio degli incidenti ransomware da maggio 2021 a giugno 2022. Dai dati emerge che, il ransomware si è adattato e si è evoluto, diventando più efficiente e causando attacchi più devastanti.
Questo report sul panorama delle minacce ha analizzato un totale di 623 incidenti ransomware in tutta l’UE, nel Regno Unito e negli Stati Uniti. I dati sono stati raccolti dai reporti di governi e società di sicurezza, dalla stampa, blog verificati e in alcuni casi utilizzando fonti correlate dal dark web.
I risultati
Tra maggio 2021 e giugno 2022 circa 10 terabyte di dati sono stati rubati ogni mese dagli attori delle minacce ransomware. Il 58,2% dei dati rubati includeva dati personali dei dipendenti.
Sono stati trovati almeno 47 unici threat actors ransomware.
Per il 94,2% degli incidenti, non è noto se l’azienda abbia pagato o meno il riscatto. Tuttavia, quando la negoziazione fallisce, gli aggressori di solito espongono e rendono disponibili i dati sulle loro pagine web. Questo è ciò che accade in generale ed è una realtà per il 37,88% degli incidenti.
Si può quindi concludere che il restante 62,12% delle aziende o ha trovato un accordo con gli aggressori o ha trovato un’altra soluzione.
Lo studio mostra anche che le aziende di ogni dimensione e di tutti i settori sono interessate.
Le cifre di cui sopra possono tuttavia rappresentare solo una parte del quadro generale. In realtà, lo studio rivela che il numero totale di attacchi ransomware è molto maggiore. Al momento questo totale è impossibile da catturare in quanto troppe organizzazioni non rendono pubblici i loro incidenti o non ne segnalano le autorità competenti.
Anche le informazioni sugli incidenti divulgati sono piuttosto limitate poiché nella maggior parte dei casi le organizzazioni interessate non sono a conoscenza di come i threat actors siano riusciti a ottenere l’accesso iniziale. Alla fine, le organizzazioni potrebbero affrontare la questione internamente (ad es. decidere di pagare il riscatto) per evitare pubblicità negativa e garantire la continuità aziendale. Tuttavia, un tale approccio non aiuta a combattere la causa, anzi, incoraggia invece il fenomeno, alimentando nel processo il modello di business del ransomware.
È nel contesto di tali sfide che l’ENISA sta esplorando i modi per migliorare questa segnalazione di incidenti. La revisione della direttiva sulla sicurezza delle reti e dell’informazione (NIS 2) dovrebbe cambiare il modo in cui vengono notificati gli incidenti di sicurezza informatica. Le nuove disposizioni mireranno a supportare una migliore mappatura e comprensione degli incidenti rilevanti.
Cosa può fare il ransomware: il ciclo di vita e i modelli di business
Secondo l’analisi del rapporto, gli attacchi ransomware possono prendere di mira le risorse in quattro modi diversi: l’attacco può bloccare, crittografare, eliminare o rubare (LEDS) le risorse del bersaglio. Le risorse mirate possono essere qualsiasi cosa, come documenti o strumenti da file, database, servizi Web, sistemi di gestione dei contenuti, schermate, record di avvio principale (MBR), tabelle di file master (MFT), ecc.
Il ciclo di vita del ransomware è rimasto invariato fino al 2018 circa, quando il ransomware ha iniziato ad aggiungere più funzionalità e quando sono maturate le tecniche di ricatto. È possibile identificare cinque fasi di un attacco ransomware: accesso iniziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione del riscatto. Queste fasi non seguono un rigoroso percorso sequenziale.
Dallo studio sono emersi 5 diversi modelli di business dei ransomware:
- Un modello incentrato sui singoli attaccanti;
- Un modello incentrato sugli attori delle minacce di gruppo;
- Un modello di ransomware come servizio;
- Un modello di intermediazione dei dati; e,
- Un modello mirato principalmente a raggiungere la notorietà come chiave per un business ransomware di successo (gli operatori di ransomware devono mantenere una certa reputazione di notorietà, altrimenti le vittime non pagheranno il riscatto).
Il report raccomanda quanto segue:
- Rafforza la tua resilienza contro il ransomware intraprendendo azioni come:
- mantenere un backup aggiornato dei file aziendali e dei dati personali;
- mantenere questo backup isolato dalla rete;
- applica la regola 3-2-1 del backup: 3 copie, 2 diversi supporti di memorizzazione, 1 copia fuori sede;
- eseguire software di sicurezza progettato per rilevare la maggior parte dei ransomware nei dispositivi endpoint;
- limitare i privilegi amministrativi; eccetera.
- Se cadi vittima di un attacco ransomware:
- contattare le autorità nazionali per la sicurezza informatica o le forze dell’ordine per assistenza;
- non pagare il riscatto e non negoziare con gli attori della minaccia;
- mettere in quarantena il sistema interessato;
- visitare il progetto No More Ransom, un’iniziativa di Europol; eccetera.
Si consiglia vivamente di condividere le informazioni sugli incidenti ransomware con le autorità per essere in grado di allertare potenziali vittime, identificare gli attori delle minacce, supportare la ricerca sulla sicurezza e sviluppare mezzi per prevenire tali attacchi o rispondere meglio ad essi.
Consulta il report completo ENISA Threat Landscape for Ransomware Attacks.