Ransomware: nel 2021 quasi due terzi delle vittime ha pagato il riscatto

Carenza di personale qualificato e scarsa consapevolezza della sicurezza in tutta la forza lavoro sono alla base della tendenza in aumento nel 2021 a pagare i riscatti chiesti dagli attaccanti.

Business Vulnerabilità

Nel 2021 il 71% delle imprese è stato colpito da attacchi ransomware riusciti. La percentuale è in netto aumento rispetto al 55% dichiarato nel 2017. Da altre ricerche la percentuale di aumento risulta decisamente più marcata. Fra le vittime, quasi due terzi (il 63%) ha pagato il riscatto. Anche qui il numero è in crescita rispetto al 2017, quando a pagare il riscatto era il 39%, anche se risulta leggermente inferiore a quella di altri studi.

Sono alcuni dei dati contenuti nel 2022 Cyberthreat Defense Report pubblicato da CyberEdge Group, condotto sulla base di interviste a 1.200 responsabili e professionisti della sicurezza IT impiegati in aziende con un minimo di 500 dipendenti collocate in tutto il mondo.

In relazione ai riscatti, tutti hanno ormai chiara l’indicazione degli esperti di security: non si debbono pagare. Il primo motivo è che il pagamento non garantisce il ritorno all’operatività o la non diffusione dei dati esfiltrati durante l’attacco. Anzi, secondo dati recenti solo una minima parte di chi scende a patti con gli attaccanti vede mantenute le loro promesse. In secondo luogo, pagando si finanzia il cybercrime dando modo ai criminali informatici di disporre di capitali da investire in strumenti di attacco più devastanti. Oltre a confermare l’efficacia degli attacchi e la convenienza a continuare a perpetrarli.


La media globale delle aziende colpite da attacchi ransomware riportate dal report di CyberEdge

Detto questo, le divergenze nei numeri che abbiamo segnalato sopra sono dovute al fatto che, per evitare danni d’immagine e sanzioni, sono ancora molte le vittime che non denunciano l’attacco, o che negano di avere trattato con gli attaccanti. Questo rende difficile comprendere le reali dimensioni del fenomeno, e soprattutto, la mancanza di indagini forensi rese note pubblicamente ostacola una prevenzione efficace da parte delle vittime successive.

Perché le vittime pagano

Secondo CyberEdge ci sono tre possibili spiegazioni. La prima è la paura dell’esposizione dei dati esfiltrati. Come ben noto, la maggior parte dei moderni attacchi ransomware non solo crittografa i dati compromessi, ma li esfiltra. Il mancato pagamento di un riscatto può, e ha, portato all'esposizione pubblica di dati altamente sensibili, con conseguenze come danni alla reputazione e multe.

La seconda possibile spiegazione è il tentativo di risparmiare sui costi di recupero. Sembra inverosimile, ma sono molte le aziende che calcolano che pagare un riscatto sia significativamente meno costoso che sopportare l'elevato costo dei tempi di inattività del sistema, le interruzioni delle operazioni con i clienti e le potenziali cause legali derivanti da dati riservati esposti pubblicamente.


Percentuale delle aziende colpite da attacchi ransomware negli ultimi 12 mesi, per Paese

L’ultima opzione è ovviamente la fiducia verso la possibilità di recuperare i dati, anche se come detto sopra questo non avviene sempre. Va da sé che questo presupponga la mancata applicazione delle regole di base per la gestione, l’esecuzione e il ripristino di backup. Inoltre, questa opzione era valida quando gli attacchi ransomware si limitavano a crittografare i dati. Con i meccanismi diffusi oggi di doppia, tripla e quadrupla estorsione, il problema del recupero dei dati è spesso secondario rispetto ai danni di immagine dati dalla pubblicazione dei dati rubati, e alle possibili multe dovute alla mancanza di allineamento alle compliance di protezione delle informazioni sensibili.

Perché gli attacchi vanno a buon fine

A prescindere dai motivi per i quali una vittima decide di cedere al ricatto dei gruppi ransomware, il vero tema da discutere è a monte: perché gli attacchi vanno a buon fine. Partendo da presupposto che ormai non è più tempo di chiedersi “se” si verificherà un attacco, ma ci si deve piuttosto chiedere “quando” questo accadrà, tutte le aziende dovrebbero provvedere a dotarsi di difese e competenze atte a costruire una protezione adeguata.


Le figure professionali più difficili da trovare

Il report di CyberEdge conferma che non è così. Le persone chiamate in causa hanno dichiarato di non essere state in grado di difendere adeguatamente l’azienda per mancanza di personale qualificato e per scarsa consapevolezza della sicurezza tra i dipendenti. In altre parole, i due maggiori problemi (che persistono invariati da tre anni) non sono legati al budget o alla tecnologia, ma alle persone.

L'84% delle organizzazioni denuncia la difficoltà a trovare personale qualificato per la sicurezza IT, in particolare security admin (41%), analisti (33%) e security architect (32%). Sul fronte della consapevolezza, tutti consegnano ai dipendenti le linee guida da seguire al momento dell’assunzione, ma poi non fanno seguito corsi di formazione periodici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter