Il crimine forse non paga, come recita il detto, ma il ransomware a quanto pare sì. Tanto che ormai un gruppo ransomware di successo fa prima a stancarsi e chiudere i battenti che ad essere eliminato dalle azioni di intelligence e di polizia. Quanto gli attacchi ransomware siano vantaggiosi lo descrive il ritratto che Coveware fa dello scenario ransomware nel terzo trimestre 2020. Un ritratto che conferma due elementi noti: il ransomware rende sempre di più ed è un problema che interessa tutti. Non solo le grandi imprese che fanno notizia sui giornali.

Portare a termine con successo attacchi ransomware è un bel business. In media il riscatto pagato da un'azienda (l'analisi Coveware è relativa al mercato statunitense) ammonta a quasi 234 mila dollari, un valore pari al 31% in più rispetto a quanto calcolato per il secondo trimestre. La media sale perché gli attacchi si stanno spostando verso aziende di maggiori dimensioni, che hanno un giro d'affari superiore e possono quindi pagare di più.

Coveware spiega tra l'altro che gli attacchi alle grandi enterprise non richiedono nemmeno un cambio di tattica da parte dei criminali. Le tecniche che già usano per aziende più piccole si applicano alle aziende più grandi. Senza che sia necessario investire molto di più per avviare gli attacchi ransomware stessi. Quindi con una redditività dell'attacco che cresce con le dimensioni dell'azienda-bersaglio.
Ciò che è cambiato è il ruolo della esfiltrazione di dati come strumento di pressione sulle aziende colpite. Una volta gli attacchi ransomware puntavano sulla necessità delle imprese di recuperare i dati cifrati. Soprattutto nelle grandi aziende, però, questa minaccia è contenuta dalla disponibilità di adeguati backup. Così gli attacchi ora comprendono una prima fase di esfiltrazione di dati potenzialmente sensibili. Con la minaccia della loro pubblicazione sul Dark Web.

È importante notare che la promessa di non pubblicare i dati esfiltrati viene spesso ignorata. In diversi casi i gruppi ransomware più importanti e di successo (Sodinokibi, Maze, Netwalker) hanno pubblicato i dati rubati anche se avevano ricevuto un pagamento per non farlo. Non c'è alcuna garanzia che questo non accada, motivo per cui il pagamento di un riscatto post-ransomware resta sempre una scelta poco intelligente rispetto al responsabile, anche se spiacevole, riconoscimento di un data leak nei confronti delle autorità e delle persone coinvolte.

Anche perché, fa notare Coveware, il vero problema economico collegato agli attacchi ransomware è il blocco dell'operatività dei sistemi. Dopo un attacco è necessario recuperare - se possibile - i dati su cui lavorare ed eseguire indagini approfondite per capire cosa è stato eventualmente sottratto e da quali sistemi. Oltre che eliminare il ransomware da tutta l'infrastruttura IT. Per questo un'azienda può trovarsi bloccata per lungo tempo. Nel terzo trimestre 2020 il downtime medio collegato ad un attacco ransomware è stato di 19 giorni.

Attacchi ransomware: un problema per tutti

La distribuzione degli attacchi ransomware per vettore di attacco dimostra che il fattore economico delinea anche da questo punto di vista le strategie dei gruppi ransomware. Gli attacchi verso le aziende più piccole, quindi probabilmente meno ricche, sono portati sfruttando server RDP non messi in sicurezza. È una forma di attacco semplice e poco costosa.
Man mano che il bersaglio è più promettente, si usano anche vettori più costosi come le campagne di phishing o lo sfruttamento di vulnerabilità zero-day. Vettori, questi, che spesso richiedono il coinvolgimento di altri gruppi che lancino le campagne di mailspam massivo oppure che eseguano attività di intelligence. O penetrino nelle reti delle aziende bersaglio per dare accesso al ransomware. Per le grandi imprese, insomma, gli investimenti si fanno.

Attenzione però a pensare che gli attacchi ransomware si concentreranno sempre più e poi unicamente sulle aziende di fascia enteprise. Sono quelle che fanno notizia, ma in realtà le aziende con oltre mille dipendenti hanno raccolto, nel trimestre considerato da Coveware, solo il 17% circa degli attacchi. La fetta maggiore degli attacchi (41%) riguarda le imprese tra 100 e 1.000 dipendenti. Quelle con meno di 100 dipendenti "pesano" quasi lo stesso: il 40% circa.