Il 60% delle aziende svizzere colpite da malware di estorsione

Il fornitore di servizi di sicurezza informatica Sophos ha pubblicato il suo studio annuale "State of Ransomware 2022". Fornisce una panoramica dello sviluppo del ransomware nella pratica. Il rapporto mostra che 60% delle aziende intervistate in Svizzera (globalmente 66%) sono state colpite da ransomware nel 2021, in aumento rispetto alle 46% del 2020. Il riscatto medio pagato dalle aziende svizzere i cui dati sono stati criptati nel loro maggiore attacco ransomware è diminuito di circa 6%, pari a 84'052 CHF (89'147 CHF nell'anno precedente). Il 35% (globalmente 46%) delle aziende svizzere i cui dati sono stati criptati hanno pagato il riscatto per riavere i loro dati, anche se avevano altri mezzi di recupero dati, come i backup. Il rapporto riassume l'impatto del ransomware su 5.600 PMI in 31 paesi in Europa, Americhe, Asia-Pacifico e Asia centrale, Medio Oriente e Africa, con 965 aziende a livello internazionale (7 in Svizzera) che forniscono dettagli specifici sui pagamenti di ransomware.

Pagare il riscatto: opzione rapida ma rischiosa

"Oltre all'escalation dei pagamenti, l'indagine mostra anche che la percentuale di vittime disposte a pagare continua ad aumentare, anche quando hanno altre opzioni a disposizione", ha detto Chester Wisniewski, principale ricercatore di Sophos. "Ci potrebbero essere diverse ragioni per questo, come i backup incompleti o la prevenzione della pubblicazione dei dati rubati su un sito pubblico di fughe di notizie. Dopo un attacco ransomware, c'è spesso molta pressione per tornare operativi il più rapidamente possibile. Ripristinare i dati criptati usando i backup può essere un processo difficile e lungo. Pertanto, è apparentemente allettante pagare un riscatto per la decrittazione dei dati perché questa sembra essere un'opzione veloce. Tuttavia, questo approccio comporta dei rischi elevati. Le aziende non sanno cosa possono aver fatto gli aggressori sulla rete oltre all'attacco ransomware, come l'installazione di backdoor per attacchi futuri o la copia delle password. Se le aziende non puliscono a fondo i dati recuperati, nel peggiore dei casi si ritrovano ancora con programmi potenzialmente dannosi sulla loro rete e possono essere esposti a un altro attacco".

Il malware di estorsione causa danni immensi

Il sondaggio "State of Ransomware 2022'" esamina gli incidenti e le esperienze di ransomware nel 2021. Il sondaggio è stato condotto da Vanson Bourne, uno specialista indipendente di ricerche di mercato, nel gennaio e febbraio 2022. Per il sondaggio globale, "colpito da ransomware" è stato definito come uno o più dispositivi colpiti da un attacco ransomware ma non necessariamente criptati. Se non diversamente specificato, agli intervistati è stato chiesto di riferire sul loro attacco più significativo. I principali risultati dello studio possono essere riassunti come segue:

• Importo dei pagamenti di riscatto: Nel 2021, nessuna delle aziende svizzere ha riferito di aver pagato riscatti di 1 milione di dollari o più, in contrasto con il 11% in una prospettiva globale. La maggior parte delle aziende svizzere (circa 72%) ha pagato somme comprese tra 47.834 e 239.175 CHF (50.000 e 250.000 USD).
• Altre vittime pagano il riscattoNel 2021, il 35% (globalmente 46%) delle aziende svizzere i cui dati sono stati criptati da un attacco con malware di estorsione hanno pagato il riscatto. Da una prospettiva globale, il 26% delle aziende che sono state in grado di ripristinare i dati criptati utilizzando i backup nel 2021 hanno anche pagato il riscatto.
• L'impatto di un attacco ransomware può essere immensoIl costo medio di recupero da un attacco ransomware nel 2021 per le imprese svizzere è stato di 1 568 986 CHF (globalmente 1,4 milioni di USD / 1 339 379 CHF). Ci è voluto in media un mese per riparare i danni e l'interruzione dell'attività. Il 93% (globalmente 90%) delle imprese svizzere ha detto che l'attacco ha influenzato la loro capacità di operare, e l'87% delle vittime del settore privato ha detto di aver subito perdite di affari e/o di fatturato a causa dell'attacco.
• Molte aziende si affidano alla cyber assicurazione per aiutarle a riprendersi da un attacco ransomwareIn Svizzera, l'83% (globalmente 83%) delle aziende intervistate aveva un'assicurazione informatica che le copriva in caso di un attacco ransomware. In 100 % degli incidenti svizzeri, l'assicuratore ha pagato una parte o tutte le spese sostenute; solo in 38% è stata coperta l'intera richiesta di riscatto).
• Il novantaquattro per cento di coloro che hanno stipulato un'assicurazione informatica ha detto che la loro esperienza di stipulare tale assicurazione è cambiata negli ultimi dodici mesi: Questa percezione si esprime principalmente attraverso requisiti più elevati per le misure di sicurezza informatica, polizze più complesse o costose e un minor numero di compagnie che offrono copertura assicurativa.

L'assicurazione informatica porta a richieste di riscatto più alte?

"I risultati suggeriscono che potremmo aver raggiunto un picco nell'evoluzione del ransomware, dove l'avidità degli aggressori per pagamenti di riscatti sempre più alti si sta scontrando frontalmente con un indurimento del mercato delle assicurazioni informatiche. Gli assicuratori cercano sempre più di ridurre il loro rischio e la loro esposizione al ransomware", dice Chester Wisniewski. "Negli ultimi anni, è diventato sempre più facile per i criminali informatici distribuire ransomware, poiché quasi tutto è disponibile come servizio. Inoltre, molti fornitori di assicurazioni informatiche hanno coperto un'ampia gamma di costi di recupero dovuti al ransomware, compreso il riscatto, il che ha probabilmente contribuito ad aumentare le richieste di riscatto. I risultati suggeriscono anche che la cyber assicurazione diventerà più dura e le vittime di ransomware potrebbero essere meno disposte o meno in grado di pagare riscatti estremamente elevati in futuro. Purtroppo, è improbabile che questo riduca il rischio complessivo di un attacco ransomware. Gli attacchi di ransomware non sono così intensivi di risorse come altri cyberattacchi più elaborati. Pertanto, qualsiasi ransomware è una risorsa utile da avere, e i criminali informatici continueranno a cercare i bersagli facili".

Come proteggersi dal malware di estorsione

Sophos raccomanda le seguenti best practice per proteggersi dal ransomware e da simili cyberattacchi:

1. Installazione e manutenzione di misure di protezione di alta qualità in tutta l'azienda. Audit e controlli di sicurezza regolari assicurano che le misure di sicurezza soddisfino permanentemente i requisiti dell'azienda.
2. Cerca attivamente le minacce per identificare e fermare gli aggressori prima che possano effettuare i loro attacchi. Se il team IT o di sicurezza non ha le risorse o le conoscenze per farlo da solo, si dovrebbero ingaggiare degli specialisti di Managed Detection and Response (MDR).
3. L'indurimento dell'ambiente IT individuando e chiudendo pericolose lacune di sicurezza, come dispositivi senza patch, computer non protetti o porte RDP aperte, vengono identificate ed eliminate dalle soluzioni Extended Detection and Response (XDR).
4. Siate preparati al peggio. Le aziende dovrebbero sapere cosa fare se si verifica un incidente informatico e mantenere aggiornato il piano di emergenza.
5. Creare backup e testare il recupero in modo che l'azienda possa riprendere le operazioni il più rapidamente possibile e con il minimo disturbo.

Fonte e ulteriori informazioni: Sophos