Come le previsioni di Yoroi, fornitore di servizi di sicurezza del Polo Cyber di Tinexta Group, da inizio anno il ransomware ha permesso di prosperare ai gruppi cybercriminali, e continua a diffondersi con un aumento del costo del riscatto e una riduzione dei tempi di attesa per i pagamenti sfruttando il forte timore delle vittime degli attacchi di subire un danno reputazionale, ma anche le multe seguenti all’annuncio dei databreach in area europea dove vige la GDPR. In aggiunta, due giorni fa, la gang criminale Cuba ha fatto sapere di aver colpito un’importante azienda italiana del settore IT con un importante fatturato, ma in Italia sono molte le aziende che negli ultimi mesi sono state bersagliate da attacchi ransomware di successo in diversi settori: agroalimentare, bancario, energetico e delle telecomunicazioni. Anche una grande amministrazione regionale come quella sarda è caduta vittima di un gruppo ransomware. La Regione Sardegna ha fatto sapere che non pagherà alcun riscatto. Purtroppo altre potrebbero averlo fatto. Ma, non pagare il riscatto è la soluzione giusta ai problemi. Ma procediamo con ordine per poi arrivare al perché.
Secondo vari studi circa l’80% delle organizzazioni che hanno pagato il riscatto dopo l’attacco sono state colpite dal ransomware una seconda volta. Gli attacchi si sono fatti ancora più mirati e le PMI sono particolarmente esposte.
Nell’ultimo mese ci sono stati 167 incidenti a livello globale e 31 solo nell’ultima settimana.
Purtroppo i software di tipo ransomware sono diventati più efficienti e riescono a cifrare i sistemi bersaglio con grande efficienza e velocità. Ad esempio il gruppo Lockbit che opera il ransomware Lockbit 2.0 sta lavorando a un’evoluzione del suo software, Lockbit 3.0. Lockbit ha fatto circa 900 vittime, e a un altro ransomware, gestito dal famigerato gruppo filorusso Conti, sono state attribuite quasi 850 vittime. Nel dettaglio, LockBit 2.0 ha colpito 982 vittime, Conti ha colpito 823 vittime, Pysa (Mespinoza) 309 vittime, Revil 291, Maze 266. Di questi primi 5 solo Lockbit e Pysa sono online, gli altri sembrano andare in contro a un processo di riorganizzazione. Clop e Alphum con 132 vittime ciascuno stanno emergendo come gli attori più pericolosi.
“Purtroppo il livello di sofisticazione di queste bande criminali è sempre maggiore”, ha detto Marco Ramilli, Ceo di Yoroi (Gruppo Tinexta), “ma non possiamo cedere e pagare il ricatto per quattro motivi:
- Non c’è mai la certezza che dopo il primo pagamento i criminali cederanno la chiave crittografica per sbloccare dati o sistemi in ostaggio;
- I dati liberati dopo un attacco possono risultare corrotti;
- Il modus operandi dei banditi è che una volta attaccata la vittima e aver ottenuto un riscatto, continuerà a farlo, per molte volte.
- Le varie gang potrebbero passarsi le informazioni sulle vittime affinché possano essere attaccate di nuovo da altri gruppi, ancora e ancora.
Il nostro consiglio”, prosegue Marco Ramilli, “è di essere preparati a un attacco ransomware e a non pagare in nessun caso il riscatto. Se è stato fatto un adeguato backup, l’azienda o l’ente colpito, possono riavviare le normali attività, mentre l’autorità giudiziaria provvederà a fare il suo lavoro”.
La buona notizia
C’è una quinta ragione per non pagare il riscatto. Ad esempio, KISA, agenzia per la cybersecurity della Corea del Sud ha rilasciato il decryptor per Hive Ransomware, un gruppo che ha attaccato anche aziende italiane come Ferrovie dello Stato, portando al blocco delle biglietterie. Il decryptor è capace di decifrare dalla versione 1 alla versione 4.
Avere a disposizione il decryptor potrebbe salvaguardare numerose organizzazioni che a causa di attacco ransomware hanno visto rallentare la produzione o, in alcuni casi, arrivare al suo blocco totale. Tuttavia potrebbe non essere compatibile con l’ultima versione (la numero 5) in circolazione in queste ore in Italia.
Il risultato è stato possibile grazie alla collaborazione tra Stato, Università ed Organizzazioni private, attraverso un progetto di ricerca finanziato dal governo coreano nel 2021 e questo dimostra come la collaborazione tra soggetti diversi possa offrire importanti benefici a tutti e non solo al singolo ecosistema locale.