Gli IT manager delle aziende che hanno subito attacchi ransomware cambiano il loro approccio alla cyber security. È quello che emerge da una ricerca condotta da Sophos su un campione di 5.000 IT manager in 26 Paesi.

Un attacco che blocca la produttività aziendale, come ad esempio quello occorso in Honda pochi mesi fa, è destabilizzante sotto diversi punti di vista. L'autostima dei responsabili IT viene punta nel vivo, si sentono responsabili dell'accaduto e devono convivere con il dubbio (o la consapevolezza) che una gestione differente della sicurezza aziendale avrebbe potuto cambiare gli esiti dell'atto criminale, come accaduto ad esempio in Enel Gruop.

Ecco che quindi molti  IT manager delle aziende colpite da ransomware sono tre volte più predisposti a sentirsi inadeguati nel comprendere le cyber minacce, paragonati ai loro pari ruolo in aziende non colpite dal ransomware. In Italia questo sentimento è condiviso dal 5% degli intervistati. 
Dopo lo shock iniziale però c'è la reazione positiva: le stesse persone sentono maggiormente l'esigenza di affidarsi ad esperti di sicurezza rispetto a chi non ha mai subito un attacco. Il rapporto è del 35% contro il 19%. L'Italia si colloca a metà della forchetta, con il 28% degli intervistati che ha confessato l’esigenza di identificare professionisti IT preparati.

Toccare con mano un attacco ransomware quindi porta a una maggiore consapevolezza dei rischi. Le vittime passano più tempo a gestire gli incidenti di sicurezza e a trovare soluzioni migliori per la prevenzione.

Quello che fa la differenza quando un'azienda è sotto attacco è il tempo che intercorre tra l'indicatore iniziale dell'intrusione e la mitigazione completa della minaccia. Più questo lasso di tempo è breve, minori saranno i danni. Si scatena quindi una corsa contro il tempo per fare sì che i cyber criminali non raggiungano i propri obiettivi.

Tempi d'attacco proibitivi

Per comprendere che cosa s'intende ci sono molti casi da portare ad esempio. FireEye aveva calcolato che molti attacchi ransomware si possono fermare prima che si scatenino perché i cyber criminali insinuano "gli strumenti" canaglia nella rete e li lasciano silenti per giorni.

Non è sempre così. In un caso su cui è intervenuta Sophos, un attacco con il ransomware Ryuk si è propagato in tre ore e mezza, fra quand'è stata aperta l'email di phishing con l'allegato malevolo a quando i cybercriminali hanno iniziato i movimenti laterali in rete. Tuttavia, gli sono occorse 24 ore per ottenere accesso a un controller di dominio ed essere pronti a lanciare Ryuk.

Questo dimostra che è necessario essere costantemente in allerta per gestire le situazioni critiche, e avere una conoscenza approfondita delle nuove minacce e dei comportamenti dei criminali informatici.