I riscatti ransomware finanziano altri attacchi

Gli attacchi ransomware sono stati tra i più grandi problemi della cybersicurezza nel 2022 e la situazione è ancora in crescita nei primi mesi del 2023. A questo proposito è interessante il recente studio preparato da Trend Micro intitolato “What Decision Makers Need to Know About Ransomware Risk”, secondo cui il 10% delle organizzazioni che subisce un attacco ransomware paga il riscatto ai cybercriminali.

Purtroppo questa decisione ha come effetto che parte dei soldi del riscatto vengono usati per finanziare altri attacchi: secondo le stime il pagamento di un riscatto finanzia (in media) altri nove attacchi.

Si tratta di dati preoccupanti considerando che le statistiche sono basate solo sugli incidenti noti, quindi i dati reali potrebbero essere peggiori. Gli elementi da tenere in considerazione sono che:

  1. il 10% delle vittime accetta di pagare. Le vittime in alcuni settori pagano più spesso di altri e questo spinge i cybercriminali a colpirle in modo più frequente.
  2. Il rischio varia a seconda delle aree geografiche, dei settori e delle dimensioni dell’organizzazione.
  3. Il pagamento del riscatto spesso si traduce solo in un aumento del costo complessivo dell’incidente, con pochi altri vantaggi.

Il caso Ferrari

Proprio di questi giorni è la notizia che la Ferrari è stata colpita da un attacco hacker, a quanto sembra con furto di dati. Dopo aver avvisato le autorità preposte e i clienti coinvolti nel data breach, la Casa automobilistica di Maranello ha pubblicato un comunicato stampa in cui dichiara di aver rilevato un attacco informatico in cui sono stati espositi i dati di alcuni clienti. La volontà di Ferrari è quella di non pagare alcun riscatto, come spiegato nel comunicato: “acconsentire al pagamento continua a finanziare le attività criminali e consente a tali soggetti di portare avanti i loro attacchi.”

Minaccia in evoluzione

Il ransomware è una minaccia in continua evoluzione e una delle nuove pratiche, in crescita anche in Italia, è quella degli Access Broker, ovvero dei cybercriminali specializzati nel furto dei dati di accesso da rivendere ad altri threat actors. Gli Access Broker individuano le aziende vulnerabili e le colpiscono con il solo intento di rubare (con varie tecniche) le informazioni di accesso. Questa procedura diminuisce notevolmente il rischio di essere scoperti dato che evita le lunghe procedure necessarie per portare a termine un attacco ransomware.

Raggiunto il loro obiettivo, i dati ottenuti vengono venduti in pacchetti nel deep web. Avere a disposizione le credenziali di accesso semplifica notevolmente il “lavoro” ai cybercriminali che tentano l’attacco all’infrastruttura. L’elemento preoccupante è che il furto di credenziale mette in serio pericolo le aziende che hanno bassi livelli di protezione. Molti di questi attacchi vengono infatti definiti come malware-free dato che non hanno bisogno di alcun software malevolo per prendere il controllo dei computer. In questo modo si eludono anche i software antivirus preposti all’individuazione del malware. Questa tipologia di attacco permette ai cybercriminali di mimetizzarsi nell’infrastruttura per poi colpire quando si presenta la migliore occasione.

Soluzioni di difesa

Le soluzioni per combattere questa pratica è quella di rendere più sicuro l’accesso alla rete estendendo fin dove è possibile gli accessi con il doppio fattore di autenticazione. Informare i dipendenti su quelli che sono i pericoli degli attacchi basati sul furto di identità e le modalità per contrastare phishing e smishing. Gestire i backup sul cloud, oltre che su server fisici, in modo da avere a disposizione più copie di ripristino per ridurre i tempi d’inattività dopo un eventuale attacco andato a segno. Verificare con la procedura di Vulnerability Assessment i punti deboli dell’infrastruttura. Installare sempre le patch di sistema e dei dispositivi connessi, rimuovendo quelli obsoleti. I servizi proposti da HyperGrid e descritti al sito https://hypergrid.it possono essere d’aiuto alle aziende che desiderano migliorare la cybersicurezza.

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica