Il report “Ransomware prevention: How organizations can fight back”, di McKinsey & Company, analizza il tema delle cyber minacce e delinea le strategie migliori per prevenire gli attacchi ransomware, contenerli e gestirli in modo ottimale.
Secondo Cybersecurity Ventures, i costi legati a ransomware dovrebbero raggiungere i 265 miliardi di dollari entro il 2031. Negli Stati Uniti, gli attacchi alle supply chain sono aumentati del 42% nel primo trimestre del 2021, colpendo fino a 7 milioni di persone, mentre le minacce ai sistemi di controllo industriale (ICS) e alla tecnologia operativa sono più che triplicate nel 2020. Colonial Pipeline, ad esempio, ha dovuto pagare un riscatto di 4,4 milioni di dollari, il provider assicurativo globale CFA Financial ha pagato 40 milioni di dollari; un attacco ransomware al software provider statunitense Kaseya ha preso di mira il tool di gestione remota dei computer dell’azienda, mettendo a rischio fino a 2000 aziende in tutto il mondo.
Tali cifre non includono i costi aggiuntivi di un attacco ransomware, tra cui il pagamento di terze parti quali società di consulenza legale, PR o di negoziazione, o il costo opportunità di dirigenti e team specializzati costretti a gestire l’attacco e le sue conseguenze, allontanandosi dai propri ruoli quotidiani per settimane e mesi, o ancora la perdita di entrate che ne deriva. Per questo prevenire gli attacchi ransomware è un’ottima strategia per limitare i danni che ne conseguono.
L’utilizzo di campagne ransomware-as-a-service (RaaS) a basso costo, ha fatto sì che il bacino di soggetti vulnerabili a questo tipo di minacce si allargasse, ed è oggi necessario che tutti, dalle forze dell’ordine ai consigli di amministrazione, dalle associazioni di categoria alle compagnie assicurative contribuiscano a prevenire gli attacchi ransomware, gestirli e contenerli.
Secondo dati Coveware, il 75% degli attacchi via ransomware iniziando con una e-mail di phishing o a seguito della compromissione del protocollo RDP (Remote Desktop Protocol). Secondo il Data Breach Investigations Report (DBIR) di Verizion, nel 60% dei casi di ransomware, il malware viene installato direttamente o tramite applicazioni di condivisione del desktop.
Finora le aziende hanno impiegato le seguenti tattiche per prevenire gli attacchi ransomware e contenere questo tipo di minacce:
- Messa in sicurezza del protocollo RDP Implementazione di autenticazione multifattore;
- Gestione delle patch;
- Disabilitazione delle funzioni della riga di comando e blocco della porta 445 TCP;
- Protezione dell’Active DirectoryEducation e Training.
Prevenire gli attacchi ransomware è fondamentale nella gestione di un attacco. L’attività di prevenzione include la designazione del responsabile che si occuperà della gestione della crisi e diventa essenziale assicurarsi che tutti i processi decisionali in risposta a un attacco siano fluidi e metodici. Bisogna essere consapevoli di tutte le opzioni a disposizione e dei limiti: negli ultimi 12 mesi l’80% delle organizzazioni vittime di attacchi ransomware hanno infatti pagato un riscatto, a causa di vincoli legati ad esempio al grado di copertura assicurativa, o ai rischi legati all’utilizzo e alla diffusione di dati sensibili. Tali vulnerabilità possono variare nel tempo, dunque è importante averne una visione periodicamente aggiornata.
La cybersecurity deve diventare una funzione condivisa tra il board della singola azienda, il suo management e tutti i livelli dell’organizzazione, grazie a un grado di comunicazione e pianificazione avanzato che faciliti la collaborazione interna e un processo decisionale rapido.
Prevenire gli attacchi ransomware vuol dire anche organizzarsi affinché le aziende si organizzino per garantire la continuità del business, aumentando quindi la propria resilienza. È necessario sapere quali sono gli asset critici dell’azienda, per valutare l’impatto potenziale di un attacco e per gestire in modo ottimale gli investimenti in infrastrutture e sicurezza; serve conoscere il processo di backup per valutare quanto sia fattibile la ripresa dopo un attacco, tramite ad esempio il recovery testing. Infine, per aumentare la fiducia nella capacità di limitare la disruption, occorre sapere se e in quanto il sistema informatico colpito potrà essere ricostruito o se sarà fattibile il failover a un datacenter alternativo.
Quando un’organizzazione viene a conoscenza di un attacco ransomware, il Chief Information Security Officer (CISO) o il Chief Security Officer (CSO) devono garantire la trasparenza e la collaborazione con gli stakeholder interni dell’azienda, ma anche la rete di stakeholder esterni all’organizzazione può fornire un input prezioso e contribuire ad accelerare il processo decisionale. Questi includono le forze dell’ordine, i consulenti esterni o gli assicuratori. Alcuni gruppi RaaS hanno call center in grado di raggiungere proattivamente clienti e azionisti per spingere l’azienda colpita a pagare la richiesta di riscatto. Quando si agisce per prevenire gli attacchi ransomware, bisogna quindi includere l’attuazione di un piano che coinvolga tutti gli stakeholder, in modo sia proattivo che reattivo.
La ripresa da un attacco ransomware può essere complessa e richiedere molto tempo in termini di backup. Il downtime medio di un’azienda che subisce un attacco ransomware è di 20 giorni, in base alle stime di Coveware. Il riscatto medio richiesto è invece aumentato da 5.000 dollari nel 2018 a 200.000 dollari nel 2020, secondo il National Security Institute. Le strategie di prevenzione, preparazione, risposta e ripresa delineate dal report di McKinsey permettono alle aziende di gestire in modo ottimale questo tipo di attacchi. La comunicazione, un grado avanzato di preparazione e ancora la comprensione e il contenimento del rischio sono la strategia migliore per assicurare la continuità del business di un’organizzazione.
