L’analisi che presentiamo in questo articolo esamina come la compromissione dei backup abbia un notevole impatto sui risultati raggiunti tramite attacco ransomware, facendo inoltre luce sulla frequenza di queste compromissioni nei diversi settori di attività.
Esistono generalmente due modi per recuperare i dati crittografati da un attacco ransomware:
- ripristinarli da un backup
- versare il riscatto richiesto.
Compromettere i backup delle aziende permette dunque agli autori degli attacchi di limitare le capacità di recupero dei dati da parte delle loro vittime e aumentare la pressione affinché esse decidano di pagare il riscatto.
La ricerca degli specialisti del backup
I dati sono basati su un sondaggio indipendente commissionato da Sophos su 2.974 professionisti IT e della cybersicurezza le cui aziende sono state colpite da ransomware durante lo scorso anno. Condotto dall’agenzia indipendente Vanson Bourne a inizio 2024, lo studio riflette le esperienze degli intervistati durante i dodici mesi precedenti.
In sintesi
L’analisi evidenzia come le implicazioni finanziarie e operative della compromissione dei backup in un attacco ransomware siano immense. Quando i cybercriminali riescono a compromettere un backup, le possibilità che la vittima versi il riscatto richiesto sono quasi doppie, mentre i costi complessivi del ripristino sono otto volte superiori rispetto a quelli delle aziende i cui backup non siano stati violati.
Intercettare e fermare gli autori degli attacchi prima che possano compromettere i backup permette di ridurre considerevolmente l’impatto di un attacco ransomware su un’attività. Investire per prevenire la compromissione dei backup aumenta la resilienza rispetto al ransomware e riduce il TCO (Total Cost of Ownership) della cybersicurezza.
Lezione 1: Chi attacca a scopo di ransomware cerca quasi sempre di compromettere i backup
Il 94% delle aziende vittime di ransomware nello scorso anno ha affermato che i cybercriminali hanno cercato di compromettere i backup nel corso dei loro attacchi. Il dato sale al 99% nelle pubbliche amministrazioni e nel settore media, tempo libero e intrattenimento. La percentuale più bassa si ritrova invece nel settore distribuzione e trasporti, anche se persino qui più di otto realtà su dieci (82%) colpite dal ransomware hanno detto che gli autori dell’attacco hanno cercato di accedere ai loro dati archiviati.
Lezione 2: Le percentuali di successo variano fortemente a seconda del settore
Su base complessiva ha avuto successo il 57% dei tentativi di violazione, il che significa che i cybercriminali sono stati in grado di influire sulle opzioni di ripristino dei dati di oltre metà delle loro vittime. È interessante rilevare come vi siano state importanti variazioni nelle percentuali riscontrate nei diversi settori:
- Gli autori degli attacchi sono riusciti a compromettere i backup delle loro vittime soprattutto nel settore energia, oil/gas e utility (79%) e in quello della scuola (71%)
- Di contro, i settori IT, tecnologia e telco (30%) e retail (47%) sono stati quelli che hanno riportato le percentuali di violazione minori
Vi sono diverse possibili ragioni dietro queste differenze. Può darsi che il settore IT, tecnologia e telco disponga di protezioni più solide per i propri backup e riesca pertanto a resistere meglio agli attacchi; ma può essere anche più efficace nel rilevare e bloccare i tentativi di violazione prima che i malintenzionati riescano nel loro intento. Di contro, il settore energia, oil/gas e utility può aver subìto una proporzione maggiore di attacchi estremamente avanzati. Qualunque sia la causa, l’impatto può rivelarsi considerevole.
Lezione 3: Le richieste e i pagamenti di riscatto raddoppiano quando i backup sono compromessi
Richieste di riscatto
Le vittime i cui backup erano stati compromessi hanno ricevuto richieste di importi mediamente più che doppi rispetto a quelle i cui non erano stati violati, con un’estorsione mediana pari a 2,3 milioni di dollari (compromessi) e 1 milione di dollari (non compromessi). È probabile che i cybercriminali si sentano in una posizione più forte se riescono a compromettere i backup, sapendo quindi di poter chiedere riscatti più alti.
Percentuali di versamento dei riscatti
La proporzione di aziende che hanno versato il riscatto richiesto avendo i propri backup compromessi è stata quasi doppia rispetto a quelle i cui questi non erano stati colpiti (67% contro 36%).
Importi pagati
La cifra mediana versata dalle aziende i cui backup erano stati compromessi è stata pari a 2 milioni di dollari, quasi il doppio rispetto a quanto pagato da quelle che avevano i backup intatti (1,062 milioni di dollari). A ciò si è accompagnata una minore abilità di negoziazione del riscatto, finendo col versare in media il 98% della somma originariamente richiesta; di contro, le aziende con backup integri sono state in grado di ridurre il riscatto versato all’82% della somma richiesta.
Lezione 4: I costi di ripristino sono 8 volte superiori con backup compromessi
Non tutti gli attacchi ransomware si traducono nel versamento di un riscatto. Anche quando ciò accade, il riscatto è solo una componente dei costi di ripristino complessivi. Le interruzioni operative provocate dal ransomware hanno di frequente un impatto considerevole sulle attività quotidiane delle aziende, mentre il compito di ripristinare i sistemi IT è spesso complesso e oneroso.
Il costo mediano di ripristino da ransomware sostenuto dalle aziende i cui backup erano stati compromessi (3 milioni di dollari) è otto volte superiore rispetto a quello delle aziende dove restano integri (375.000 dollari). Vi sono probabilmente diverse ragioni per una tale differenza, non ultima quella legata al lavoro supplementare che normalmente occorre per ripristinare dati cifrati rispetto a quello richiesto da un backup ordinato. Può inoltre darsi che una protezione più debole sia indicativa di difese complessive meno robuste, con la conseguenza di un lavoro di ricostruzione più pesante.
La presenza di backup compromessi è legata anche a tempi di ripristino notevolmente più lunghi: solo il 26% delle aziende attaccate è tornata completamente operativa entro una settimana rispetto al 46% di quelle dotate di backup integri.
Consigli
I backup sono una componente essenziale di una strategia olistica per la riduzione del cyber-rischio. Se sono accessibili online, allora bisogna pensare all’eventualità che gli autori degli attacchi possano trovarli. Le aziende dovrebbero quindi:
- Eseguire backup regolari e conservarli in più luoghi. Assicurarsi di attivare l’autenticazione multifattore (MFA) per l’accesso agli account dei backup in cloud così da rafforzare le difese contro gli accessi non autorizzati.
- Esercitarsi nel ripristino dai backup. Maggiore la dimestichezza con le procedure di ripristino, più velocemente e facilmente si può tornare operativi dopo un attacco.
- Proteggere. Monitorare e rispondere alle attività sospette riguardanti i backup poiché potrebbero indicare tentativi di compromissione da parte di cybercriminali.
