Numerosi report di cybersecurity indicano il settore retail come uno dei maggiormente colpiti dagli attacchi ransomware. Gli esperti di Cybereason calcolano che nel 2021 quasi la metà di tutti i rivenditori è stata vittima di un incidente con richiesta di riscatto, di cui il 54% ha subito la cifratura dei dati e il 58% è stato costretto a ricorrere ai licenziamenti a causa dei danni finanziari subiti nell'attacco.

Nel recente report Ransomware Attacks and the True Cost to Business 2022 l’azienda cyber riferisce che un rivenditore su tre paga il riscatto, ma di questi solo il dieci percento torna in possesso dei dati crittografati. Ancora peggio: l'80% delle vittime che paga il riscatto finisce per essere colpita da un altro attacco, dato che si dimostra una preda cedevole al ricatto.

Perché il retail interessa tanto ai criminali informatici?

Alla domanda risponde Anthony M. Freed, Senior Director of Corporate Communications di Cybereason, adducendo tre motivazioni principali. Il primo riguarda la tempistica di questo tipo di business: la vendita al dettaglio richiede un tempo di attività del 100% per funzionare con successo, quindi ogni secondo di inaccessibilità dei siti web causa perdite di denaro. Proprio perché il tempo è essenziale, c’è una maggiore probabilità che la vittima paghi un lauto riscatto.

Il secondo motivo è scontato ma è bene ricordarlo: la vendita al dettaglio genera una montagna di dati: informazioni sulle carte di credito, indirizzi di spedizione, indirizzi email e altri fattori di identificazione dei clienti. Sono tutti dati che per il cybercrime valgono oro personale, sia da rivendere nel dark web, sia da sfruttare per una doppia estorsione, o entrambi.

Se i primi due motivi riguardano le motivazioni, il terzo riguarda i mezzi: i rivenditori fanno uso sempre più massiccio di soluzioni cloud e sistemi POS, oltre che di telecamere di videosorveglianza, app consumer-friendly e altre soluzioni IoT progettate per rendere lo shopping un’esperienza facile, piacevole e senza soluzione di continuità. Sono tutti tasselli fondamentali per il business, ma al contempo ampliano la superficie di attacco rendendo di fatto i retailer più vulnerabili di altre categorie.

Previsioni per il prossimo anno

Il quadro già complesso finora presentato peggiorerà nel prossimo anno, seguendo tendenze che già adesso si stanno affermando in maniera prepotente sul mercato, e che impatteranno sempre di più anche sul retail. Il primo è ovviamente il filone dei supply chain attack, che interesserà le grandi catene di vendita al dettaglio e la loro rete di fornitori, produttori, corrieri, ciascuno con diversi livelli di cyber security.

L’altro tema è quello della doppia estorsione, che si sta evolvendo verso l’aggiunta di una terza, quarta e quinta leva estorsiva. Nel caso dei retail, è possibile che verranno applicati schermi di estorsione in cui gli attaccanti minacceranno di consegnare dati finanziari sensibili ai concorrenti o agli investitori.

C’è poi un leitmotiv che riguarda tutti i settori, quindi anche la vendita al dettaglio, che è quello della diffusione del modello RaaS, che da un alto semplificherà gli attacchi, rendendoli accessibili anche a chi non ha esperienza o know-how tecnico, dall’altra aumenterà a dismisura il numero degli incidenti.

Una difesa proattiva

Cybereason sottolinea la necessità di implementate un piano di prevenzione che si sviluppa in più punti:

• Seguire le best practice per la cyber hygiene, ossia installare tempestivamente le patch di sistemi operativi e altri software, implementare un programma di formazione per tutti i dipendenti e installare soluzioni di detection e response di ultima generazione.
• Implementare soluzioni di prevenzione multilivello su tutti gli endpoint aziendali, che sfruttino sia i TTP noti che quelli sconosciuti e gli attacchi fileless.
• Predisporre soluzioni EDR e XDR capaci di identificare alle prime avvisaglie le attività dannose come un attacco RansomOps, fornendo una visibilità a 360 gradi su tutta l’infrastruttura e una console centralizzata con vari livelli di automazione.
• Garantire la reperibilità del personale tecnico specializzato anche durante i fine settimana e le vacanze, che sono i momenti in cui i cyber criminali preferiscono attaccare. Per limitare i danni di un attacco è necessario un intervento tempestivo.
• Condurre frequenti simulazioni che coinvolgano tutti i dipartimenti aziendali di modo che tutti conoscano il proprio ruolo e il da farsi in caso di attacco.

Qualora uno o più punti fossero al di fuori della portata dell’azienda, è bene considerare l’opportunità di esternalizzare alcuni o tutti i servizi di security a un provider esterno, che prenda in carico le attività di difesa secondo piani concordati e scalabili.