▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ransomware nel 2020: evoluzione, tattiche e richieste di riscatto

La relazione sul phishing di Proofpoint è un'occasione per analizzare le cause della diffusione ed evoluzione dei ransomware, i motivi che spingono i cyber criminali a usarli e la difficile decisione sul pagamento del riscatto.

Business Tecnologie/Scenari Vulnerabilità
Il ransomware resta il protagonista indiscusso delle minacce del 2020. Ne abbiamo avuto un assaggio con il primo trimestre: il coronavirus sta aiutando i criminali informatici a incassare proventi dall'emergenza sanitaria. Gli esperti di sicurezza di Proofpoint hanno tratteggiato lo scenario nel report State of the Phish per il 2020. Emerge che il ransomware è lo scopo ultimo di moltissime azioni.

Nel dettaglio, tra le organizzazioni globali l'88% ha registrato attacchi spear-phishing, l'86% attacchi BEC. L'86% ha rilevato attacchi via social media, l'84% via SMS (smishing) e l'83% tramite voce (vishing). La più bassa (81%) è la percentuale delle aziende che hanno ritrovato pendrive USB pericolosi.

A prescindere dal metodo di attacco, in tutti i casi l'obiettivo di queste azioni era la diffusione di ransomware.
hacking 2964100 1280

Uno scenario preoccupante

Secondo le stime di Proofpoint, nel 2019 il 65% delle organizzazioni globali ha registrato un’infezione ransomware. Questo porta a un dato che conosciamo già da precedenti rilevazioni: gli attacchi ransomware sono aumentati notevolmente nel 2019. Soprattutto quelli basati sul phishing, che è un fenomeno in forte crescita.

Questo grazie anche alla cosiddetta servitization del dark web, l'evoluzione professionale dei criminali informatici che li ha portati a fare profitti vendendo servizi. In questo caso a formulare offerte RaaS (Ransomware as a Service) di GrandCrab, uno dei peggiori ransomware in circolazione. Basti pensare che, secondo le stime, ha fruttato finora ai cyber criminali oltre due miliardi di dollari di riscatti.

Nonostante i motivi di preoccupazione, il phishing miete ancora molte vittime. Secondo Luca Maiocchi, Country Manager di Proofpoint, il motivo è "una sorprendente mancanza di comprensione. Sia su come difendersi da un attacco, sia su cosa fare quando si verifica".

È per questo che Maiocchi ha proposto delle interessanti riflessioni sulle tattiche di diffusione dei ransomware e sulle conseguenze che comportano.
luca maiocchi 2019Luca Maiocchi, Country Manager di Proofpoint

Quanto sappiamo sul ransomware?

Parlando di utenti finali, la risposta a questa domanda è: molto poco. Proofpoint ha intervistato 3.500 lavoratori di sette paesi per sondare le loro conoscenze al riguardo. Solo il 31% ha compreso correttamente la definizione di ransomware. Fra gli intervistati di età compresa fra 18 e 22 anni la percentuale scende al 28%. Nella fascia d'età fra 23 e 38 anni si scende ancora più in basso, al 24%. A risollevare la media ci pensano gli utenti 55enni (43%) e quelli di età compresa fra 39 e 54 anni (33%).

La prima riflessione è che è fallita la missione di educare alla comprensione delle minacce informatiche più comuni e alle tecniche di difesa da adottare. Questo è un fatto grave, perché a pensarci bene la sicurezza aziendale dipende dalle decisioni prese dai singoli utenti. Le imprese si equipaggiano con le più avanzate soluzioni per la sicurezza informatica. Ma spesso sono gli utenti l'ultima linea di difesa tra un tentato attacco ransomware e un’infezione ransomware riuscita.

Il fatto che molti non abbiano familiarità con questa minaccia fa riflettere. La formazione e l'istruzione del personale dovrebbero essere attività regolari ed estese da parte del team di sicurezza. Nulla dovrebbe essere dato per scontato. Il ransomware non è una minaccia esordiente, dovrebbe essere un argomento già trattato più e più volte.
ransomware 2321665 1280

Pagare o non pagare?

Purtroppo la mancanza di conoscenza del ransomware si riflette su quello che accade quando un attacco va a buon fine. Spesso in azienda si crea una grande confusione nel momento in cui bisognerebbe tenere i nervi saldi.

La responsabilità è in parte di Governi e le forze dell'ordine, che talvolta danno consigli contrastanti. Il punto di partenza è che la decisione sul da farsi spetta alla vittima, che quindi sarà combattuta se pagare il riscatto o meno. La National Crime Agency (NCA) inglese incoraggia a non pagare il riscatto. Lo stesso fa ufficialmente l’FBI. Tuttavia, Maiocchi rivela che "nel corso di un recente Cyber Security Summit, l'agente speciale Joseph Bonavolonta, ha rivelato che l'FBI in alcuni casi ha consigliato alle organizzazioni di pagare, nella convinzione che i cybercriminali non avrebbero messo a repentaglio un modello di business redditizio imbrogliando le vittime una volta pagato il riscatto".

Gli esperti di sicurezza sconsigliano sempre il pagamento del riscatto. Perché non è una garanzia che i cyber criminali forniranno le chiavi per decifrare i dati e tornarne in possesso. E perché pagando si andrebbero ad alimentare ulteriormente le attività criminali, foraggiando un circolo vizioso senza fine.

Ci sono molti casi di aziende, comuni e istituzioni che hanno preferito pagare il riscatto per una soluzione rapida ed efficace. Con fortune alterne. Dai dati Proofpoint risulta che il 33 percento delle organizzazioni infettate da ransomware ha pagato un riscatto. Il 69% ha riacquistato l'accesso ai dati e ai sistemi dopo il pagamento. Di quelle rimanenti, il 22% non ha riacquistato l'accesso ai dati, il 7% è stato bersagliato da richieste di riscatto aggiuntive e non ha riacquistato comunque l'accesso. Il 2% ha pagato ulteriori riscatti prima di riottenere l'accesso ai dati e ai sistemi.
computer 1185626 1280C'è chi reputa che la scelta di pagare o meno il riscatto sia una mera decisione di business. Sicuramente qualsiasi decisione dev'essere presa dopo aver soppesato ogni possibile opzione e formulato un'attenta e accurata valutazione del rischio. La decisione è quanto più complicata tanto più l'azienda coinvolta si occupa di servizi critici.

La prevenzione deve prevalere

Le tecniche d'attacco sono note e collaudate. Lo sono altrettanto le difese. La differenza fra una difesa efficace e una solo parzialmente efficace è l'implementazione. Le protezioni per la sicurezza devono essere ampie e profonde. Devono tenere conto di tutte le potenziali vulnerabilità e devono includere le tecnologie più recenti, come Intelligenza Artificiale, machine learning, sandboxing, rilevamento di anomalie.

Tutti gli aggiornamenti di cyber sicurezza sul coronavirus sono raccolti nello speciale Coronavirus e sicurezza: proteggersi dal contagio digitale
Una protezione cybersecurity ampia e profonda è vitale. E inizia dalla formazione del personale di ogni livello. L'obiettivo è costruire una cultura che tenga sempre in primo piano la sicurezza informatica. Una cultura che va oltre la definizione di malware e la capacità di individuare un attacco. È la comprensione dei motivi scatenanti di un attacco, la consapevolezza di cosa fare in caso di attacco. E soprattutto di come il proprio comportamento possa influire o meno sul suo successo.

Sul fronte dei riscatti la decisione è sempre complessa. La strada migliore è la valutazione caso per caso, ma non da soli. Occorre il supporto di professionisti della cybersecurity.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1