Gli attacchi ransomware sono diventati tra le più pervasive e impattanti minacce informatiche a livello globale.

Tra i principali obiettivi anche l’Italia, che si conferma in pole position tra le vittime europee (Fonte: Defending the Expanding Attack Surface, 2022, Trend Micro)

  • Nuovi modelli di commercializzazione RaaS
  • Sofisticazione dei malware
  • Tecniche di estorsione multipla

Hanno fatturato all’industria ransomware un giro d’affari di circa 14 miliardi di dollari nel solo 2022.

vulnerabilità zero day

Ma quali sono in concreto gli aspetti che rendono le aziende vulnerabili agli attacchi ransomware?

In questo articolo ci occuperemo di analizzare quali sono le criticità che espongono le aziende alla minaccia.

  1. Sottovalutare il rischio di attacchi ransomware aumenta il grado di vulnerabilità
  2. Settori di mercato: quali i più vulnerabili agli attacchi ransomware
  3. Fornitori e partner vulnerabili rendono più vulnerabile anche il proprio business
  4. Non investire in formazione: ecco cosa rende le aziende davvero più vulnerabili agli attacchi ransomware
  5. Crittografia intermittente e considerazioni conclusive sull’esposizione agli attacchi ransomware

Sottovalutare il rischio di attacchi ransomware aumenta il grado di vulnerabilità

Spesso le aziende si trovano impreparate di fronte a un attacco di tipo ransomware perché non lo conoscono a fondo e quindi sottovalutano il rischio al quale possono andare incontro.

La mancanza di percezione del pericolo è frutto della mancata conoscenza delle conseguenze.

Ritenere la propria infrastruttura IT poco appetibile per la criminalità informatica non è l’approccio migliore da adottare. In un nostro approfondimento avevamo evidenziato come, a dispetto del pensiero comune, siano proprio le piccole e medie imprese il target preferito dai ransomware.

Ma cos’è che spinge un hacker a minacciare un’azienda di piccole dimensioni? Semplice: la mancanza di protezione.

Difatti le realtà produttive più piccole sono spesso meno attrezzate e aggiornate su procedure e tecnologie di sicurezza informatica, risultando così più facilmente attaccabili.

Un’altra convinzione errata consiste nel ritenere che i propri dati sensibili non siano appetibili per il cybercrime.

Approccio non proprio corretto, in quanto per i criminali informatici è possibile lucrare potenzialmente su qualsiasi risorsa.

Questi, infatti, possono monetizzare sia vendendoli sul dark web, che tramite la richiesta di riscatto.

Insomma, dal punto di vista del pirata informatico molto spesso sono più remunerative tante aziende di piccole dimensioni scarsamente protette, che poche grandi aziende difficilmente attaccabili.

Settori di mercato: quali i più vulnerabili agli attacchi ransomware

Una delle ultime tendenze in ambito ransomware è la loro progressiva settorializzazione.

Ovviamente non si sta parlando in termini assoluti: difatti, la minaccia resta estesa a qualsiasi tipologia di target, di qualsiasi dimensione esso sia.

Eppure, è sempre più marcato tra le cybergang l’accanimento contro:

La ragione? L’indispensabilità e criticità di servizi erogati e dei dati sensibili gestiti.

I criminali informatici sanno perfettamente che ospedali, banche e governi sarebbero disposti a pagare qualsiasi cifra pur di riottenere cartelle cliniche, estremi di pagamento o informazioni sensibili di pazienti, clienti e cittadini.

In aggiunta, l’erogazione di tali servizi sta subendo una forte digitalizzazione, diventando sempre più dipendente da infrastrutture e soluzioni tecnologiche.

Questo aspetto in particolare è tanto più evidente nel settore sanitario, dove la compromissione di server o piattaforme può impattare direttamente sulle vite umane.

Tuttavia, il primato negativo spetta a CNA Financial, tra le più grandi compagnie assicurative americane, la quale ha dichiarato di aver sborsato 40 milioni di dollari per il pagamento di un riscatto ransomware.

Fornitori e partner vulnerabili rendono più vulnerabile anche il proprio business

Sempre più spesso, gli attacchi ransomware possono provenire sfruttando connessioni con aziende Terze, come partner o fornitori.

Le relazioni commerciali, quindi, possono essere veicoli per facilitare la diffusione di minacce informatiche.

Attraverso gli attacchi alla supply chain gli hacker riescono a colpire più realtà produttive contemporaneamente, concentrandosi di volta in volta su bersagli

  • individuati precedentemente
  • diventati appetibili dopo l’attacco vero e proprio

Fiducia e solide relazioni commerciali non possono da sole garantire un’adeguata protezione informatica. Pertanto, è opportuno confrontarsi e verificare periodicamente strumenti e test di vulnerabilità messi in campo dalle aziende partner per proteggere le proprie infrastrutture.

Su quali aspetti confrontarsi?

Ad esempio:

  • informandosi circa l’eventuale stipula di una copertura assicurativa contro il rischio informatico
  • se l’azienda partner si affida ad un team di cybersecurity (interno o esterno)
  • se sono state previste e messe per iscritto policy e procedure di sicurezza dettagliate in caso di attacco
  • come il partener o il fornitore ha reagito ad eventuali attacchi informatici avvenuti in passato

Non investire in formazione: ecco cosa rende le aziende davvero più vulnerabili agli attacchi ransomware

Tra gli aspetti che rendono in assoluto le aziende più esposte al rischio ransomware rientra senza dubbio il fattore umano.

Il principale veicolo di infezione, infatti, rimangono le e-mail di phishing, cresciute soprattutto in relazione a NFT, criptovalute e Covid-19.

Pertanto, la mancanza di un’adeguata formazione e sensibilizzazione in ambito cybersecurity di dipendenti e collaboratori può mettere seriamente a repentaglio la sicurezza dei sistemi IT.

Le e-mail ingannevoli, infatti, soprattutto nel caso in cui non si disponga di sistemi anti-spam efficienti, arrivano molto spesso indisturbate nelle caselle di posta (anche nelle insospettabili PEC).

A quel punto, è sufficiente un click – anche accidentale – su un link o un allegato infetto, per vedersi crittografare e rendere inaccessibili l’intero sistema o file e documenti contenenti dati sensibili.

Pertanto, prevedere sessioni di training mirato può aiutare dipendenti e personale a riconoscere eventuali segnali sospetti, diminuendo significativamente l’esposizione alle minacce ransomware.

Crittografia intermittente e considerazioni conclusive sull’esposizione agli attacchi ransomware

A conferma di quanto affermavamo in apertura, la pervasività degli attacchi ransomware sta subendo in costante e inarrestabile crescita.

Aspetti come: sottovalutazione del rischio, afferenza a un settore di mercato più critico, attacchi alla supply chain o mancata formazione rendono certamente le aziende più vulnerabili.

Ciò non toglie che un aspetto non trascurabile lo riveste il ransomware stesso, che, indipendentemente dalla tipolgia, sta affinando tecniche sempre più sofisticate riguardo a:

  • schemi di attacco
  • distribuzione
  • tecniche di compromissione dei sistemi

Ultima frontiera in quest’ambito, subito dopo la doppia, tripla o quadrupla estorsione, è subentrata la cosiddetta crittografia intermittente.

Pare che sia stata ideata per velocizzare la criptazione dei sistemi, rendendo al contempo più difficili le operazioni di decrittazione.

In sintesi, possiamo concludere che il ransomware è una minaccia che va combattuta tanto sul fronte tecnologico quanto su quello culturale.