Riesci a immaginare di accendere il tuo computer per accedere ai tuoi dati aziendali e di non essere in grado di farlo? A livello informatico è il peggior incubo che si possa avverare!
Sfortunatamente non si tratta di un brutto sogno, un numero sempre crescente di aziende in tutto il mondo sta vivendo questo incubo con mille altre che stanno per finire nel mirino, inclusa la tua. Il ransomware sta crescendo rapidamente e paralizza le aziende in tutto il mondo, rappresentando il 27% di tutti gli attacchi malware nel 2020.
Se già non lo sapessi, il ransomware è un tipo di software malevolo che ottiene l’accesso a file o server sulla tua rete e ne blocca l’accesso fino a quando non si paga un riscatto per avere in cambio una chiave di decrittazione.
La situazione è piuttosto seria, ma perché lo chiamiamo il “bullo del quartiere” della sicurezza informatica? Continua a leggere per sapere tutto sulla storia, l’impatto distruttivo che ha avuto sin qui ed il trend di crescita della minaccia “ransomware”.
Tre decenni di bullismo
Nel 1989, il ransomware ha mietuto le sue prime vittime quando un biologo di Harvard che stava compiendo ricerche sull’AIDS, Joseph Popp, ha distribuito 20.000 floppy disk carichi di ransomware a suoi colleghi in 90 paesi.
Popp sosteneva che i dischi contenessero un programma in grado di individuare il rischio di un individuo di contrarre l’AIDS analizzando le risposte di un questionario. Gli altri ricercatori non erano a conoscenza che i floppy fossero infetti da un malware che si attivava alla novantesima accensione del PC dopo l’inserimento del dischetto.
Una volta attivo, il malware mostrava un messaggio che richiedeva prima $ 189, e poi altri $ 378, da pagare per una “licenza software” ad una società chiamata PC Cyborg. Questo attacco divenne quindi famose come AIDS Trojan o – per l’appunto – PC Cyborg virus. Quell’anno nacque una nuova e formidabile minaccia alla sicurezza informatica.
L’emergenza ransomware, tuttavia, è iniziata quasi 20 anni dopo, quando gli attacchi Police Locker sono esplosi sulla scena. Questo attacco utilizzava un malware che modificava il desktop di un utente facendo apparire un falso avviso della polizia o del FBI. È interessante notare che in questo caso non veniva utilizzata la crittografia e che sarebbe stato sufficiente riavviare il computer, ma è bastato terrorizzare la vittima utilizzando la tattica della paura in modo che molti pagassero centinaia di dollari di riscatto.
Gli sviluppatori dei moderni ransomware hanno fatto molta strada rispetto a Joseph Popp (fine degli anni ’80), dall’uso della crittografia RSA (metà degli anni 2000) e da attacchi come Police Locker. Mentre i primi sviluppatori di ransomware hanno sviluppato il codice di crittografia da soli, gli aggressori di oggi utilizzano software di encryption già esistenti, che sono più difficili da contrastare ed utilizzano tecniche di intrusione sofisticate – come lo spear phishing (di cui ti ho già parlato in un altro articolo).
Il ransomware – così come tutto il cybercrime – è diventato una vera e propria industria in cui ci sono criminali che si specializzano in un settore e rivendendo i loro servizi ad altri maleintenzionati.
C’è quindi chi si è specializzato in sistemi di encryption, chi mette in vendita pacchetti di credenziali d’accesso compromesse oppure chi elaborare campagne di phishing molto elaborate che possono veicolare diversi tipi di attacco.
Alcuni dei criminali informatici più avanzati stanno facendo una fortuna vendendo ransomware-as-a-service, che ha consentito anche ai malfattori con meno competenze tecniche di effettuare attacchi massicci. I ransomware, come CryptoLocker, CryptoWall, Locky e TeslaCrypt, sono solo alcuni degli attacchi emersi da questo nuovo “settore”.
Cryptolocker, ad esempio, è un malware che crittografa i file sui dispositivi Windows utilizzando una crittografia avanzata, impedendo agli utenti di accedere ai file sui loro sistemi. Per ottenere la chiave privata di decriptazione per accedere nuovamente ai lor file, le vittime devono pagare un riscatto in criptovalute e vengono ricattati con la minaccia della distruzione dei dati in caso di mancato pagamento del riscatto
L’introduzione e l’uso della criptovaluta nel settore dei ransomware ha reso le transazioni più difficili da tracciare rispetto a quelle convenzionali. Ad esempio, gli hacker che hanno effettuato gli attacchi ransomware WannaCry (che nel 2017 ha frmato mezzo mondo), hanno chiesto che il riscatto fosse pagato in Bitcoin.
Nel corso della loro storia ormai trentennale, gli attacchi ransomware sono andati sempre più rafforzandosi. Mentre il riemergere di vecchie minacce è sempre possibile, quelle più recenti come NotPetya e MAZE cercano costantemente di sfruttare le carenze nelle difese della sicurezza informatica delle aziende di tutto il mondo.
In che modo il ransomware porta il tuo business “sotto terra”
Oltre ad essere la causa del 41% delle richieste di risarcimento per le assicurazioni informatiche nella sola prima metà del 2020, le ripercussioni di un attacco ransomware non si limitano alla sola perdita finanziaria. In effetti, un attacco ransomware può bloccare la tua attività e causare gravi danni su più fronti.
Ecco come il ransomware può letteralmente soffocare il tuo business sia nel presente che nel futuro.
Perdita o distruzione di dati aziendali critici
I dati sono i veri gioielli della corona della tua azienda. Se i tuoi dati diventano inaccessibili, spariscono o vengono distrutti, il danno può essere catastrofico. Una volta persi, recuperarli completamente è un compito veramente arduo e riportare le cose a uno stato di normalità è di per sé un esercizio enorme.
Norsk Hydro, un produttore mondiale di alluminio, ha vissuto questa esperienza quando 22.000 dei suoi computer in 170 sedi remote in 40 paesi diversi sono stati colpiti da un attacco ransomware all’inizio del 2019. Senza accesso ai dati aziendali, l’intera forza lavoro di 35.000 dipendenti aveva dovuto ricorrere a carta e penna. Secondo un primo rapporto della BBC nel giugno 2019, l’attacco era già costato all’azienda 45 milioni di sterline di danni.
Ma anche il Comune di Brescia è stato colpito da un ransomware a fine marzo 2021 che ne ha bloccato le attività per circa un mese.
Dipendenti comunali in ferie forzate, vigili urbani che sono dovuti ricorrere alla “vecchia” radio analogica ed anagrafe non disponibile. Tutti questi sono danni ben maggiori del 1.4 milioni di euro richiesti come riscatto.
Tempi di inattività non pianificati
A partire dal primo trimestre del 2020, il tempo di inattività medio dovuto a un attacco ransomware è di 16 giorni. Il solo pensiero che la propria azienda non sia operativa per alcune settimane potrebbe sicuramente togliere il sonno a qualsiasi titolare di una PMI. Questa purtroppo è la triste realtà con cui sono alle prese numerose imprese, soprattutto di piccole e medie dimensioni.
Oltre a subire perdite di 300 milioni di dollari per interruzione dell’attività a causa di un attacco ransomware, il gigante danese dei trasporti e della logistica Maersk ha dovuto affrontare un calo del 20% del volume delle spedizioni a causa dei tempi di inattività subiti durante uno sforzo di ripristino di dieci giorni.
Perdita di produttività
L’efficienza è la chiave del successo di qualsiasi azienda ed è il modo migliore per soddisfare i clienti mantenendo bassi i costi. Ma cosa succede quando la produttività subisce un enorme colpo? Potresti chiedere al produttore britannico di prodotti farmaceutici e CPG Reckitt Benckiser, che ha perso 140 milioni di dollari a causa dell’interruzione delle catene di produzione e fornitura, per “gentile concessione” del ransomware NotPetya.
Tutto questo ci dimostra che il tempo è davvero denaro!
Interruzione dell’attività nel periodo successivo all’attacco
Pagare un riscatto per recuperare l’accesso ai dati è una cosa, ma recuperare completamente dopo un attacco ransomware è un’altra cosa. I tempi di inattività a seguito di un attacco sono talmente importanti che lasciano le aziende nel caos per settimane e settimane, rendendo il recupero incredibilmente complesso.
L’Erie County Medical Center (New York, USA) ha impiegato sei settimane di operazioni manuali e un processo di ripristino costato 10 milioni di dollari dopo aver perso l’accesso a 6.000 computer a causa di un attacco ransomware.
Danni ai sistemi presi in ostaggio
Non vi è alcuna garanzia che recupererai i tuoi dati nel loro stato originale anche dopo aver pagato un riscatto. Alcuni server, dati, software e file cruciali potrebbero essere stati gravemente o permanentemente danneggiati da un attacco ransomware e va da sé che recuperarli mentre si è comunque alle prese con l’operatività di tutti i giorni diventa una sfida enorme.
Il National Health Service (NHS) del Regno Unito ha vissuto questo calvario quando molti dei suoi centri hanno dovuto essere chiusi durante l’attacco WannaCry nel 2017. Diversi servizi medici e di emergenza sono stati colpiti per giorni mentre il NHS ha lottato per tornare alla normalità.
Perdita di reputazione
Essere vittima di un ransomware è come prendere i pidocchi da piccolo. Le mamme degli altri bambini ti isolano… deve passare un po’ di tempo perchè tu torni ad essere frequentabile.
Analogamente un’azienda colpita da un ransomware può subire un forte danno alla propria reputazione.
Diversi clienti e fornitori potrebbero essere scettici nel fare business con la tua azienda con te, temendo che i loro dati possano finire pubblicati sul Dark Web…
Un bullo che diventa ogni giorno più forte
Nel 2021 i ransomware hanno colpito ogni 11 secondi ma questo intervallo di tempo si sta ulteriormente riducendo. In effetti, i cyber criminal stanno escogitando nuovi modi per estorcere denaro, come l’esfiltrazione di dati e la minaccia di pubblicarli su Internet se il riscatto non viene pagato. Gli autori del ransomware Maze, comparso a maggio 2019, hanno adottato questa metodologia, e nuovi ransomware come Sodinokibi, Nemty e Clop sembrano seguire l’esempio.
Ancora più importante, non c’è alcuna garanzia che tu possa realmente riottenere l’accesso ai tuoi file anche dopo aver pagato il riscatto. Inoltre, per le organizzazioni che hanno pagato il riscatto, il costo medio per riparare il danno è stato di quasi 1,45 milioni di dollari, mentre il costo medio per le organizzazioni che non l’hanno fatto è stato di 732.520 dollari.
sostenere , come ho sentito dire da alcuni, “male che vada pagheremo il riscatto ma scegliamo di non investire in prevenzione e sicurezza…” è quindi una vera e propria follia perchè “la speranza non può essere una tattica”.
Se tutto questo non ti suona come un campanello d’allarme, non so proprio cosa potrebbe farlo.
Una difesa debole equivale alla resa
La maggior parte delle organizzazioni, in particolare le piccole e medie imprese (PMI), fa due grossi errori:
- pensa che non subirà mai un attacco ransomware (“ma noi siamo troppo piccoli per interessare ai criminali informatici…”)
- che se la caveranno pagando il riscatto, magari ricorrendo ad una assicurazione sui cyber rischi.
Mentre il primo è un malinteso che deve essere eliminato, il secondo punto è molto debole perchè sono molto poche le assicurazioni che coprono anche il pagamento del riscatto in caso di attacco ransomware.
Ricorda, una difesa debole contro il ransomware equivale a mettere a rischio il futuro della tua azienda.
Provare a rimandare gli investimenti in sicurezza informatica che possono aiutarti ad adottare un approccio preventivo alla lotta contro il ransomware, sperando che “non capiti a me” è molto rischioso.
Collaborare con un provider di Servizi Gestiti (MSP) ti faciliterà nell’adozione di best practice sulla sicurezza e backup degli endpoint, gestione dell’identità e degli accessi, difesa automatizzata dal phishing, monitoraggio del Dark Web e formazione sulla consapevolezza della sicurezza (security awarness).
Sebbene nessuno ti potrà mai garantire una protezione al 100% contro il ransomware, c’è molto che puoi fare già da oggi per costruire una difesa robusta per la tua azienda.
Prendi contatto con me e con i miei colleghi di NETisON, ti sapremo accompagnare nel valutare lo stato della tua sicurezza informatica e nel progettare un sistema di difesa adattato al tuo business (ed alle tue tasche)!
