Il riscatto medio pagato dalle organizzazioni negli Stati Uniti, Canada ed Europa è aumentato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020, con un incremento del 171% anno su anno. I dati del nuovo “Unit 42 Ransomware Threat Report 2021”
Il Paese più colpito dagli attacchi ransomware a doppia estorsione nel corso del 2020 sono gli Stati Uniti. L’Italia si classifica al quarto posto in Europa, dopo Germania, Regno Unito e Francia.
Lo rivela il nuovo Unit 42 Ransomware Threat Report 2021 ad opera di Palo Alto Networks e i suoi team globali di threat intelligence, Unit 42, e di incident response, The Crypsis Group,
Lo studio fornisce gli ultimi insight sulle principali varianti di ransomware, le tendenze di pagamento e le migliori pratiche di sicurezza per poter comprendere e gestire al meglio questo pericolo.
Ransomware: il riscatto medio è di 312.493 dollari
Secondo lo studio il ransomware è un business redditizio. Il riscatto medio pagato dalle organizzazioni negli Stati Uniti, Canada ed Europa è aumentato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020, con un incremento del 171% anno su anno. Nuove tattiche rilevate come la doppia estorsione, fanno immaginare che questa percentuale continuerà solo a aumentare.
Il riscatto più elevato pagato da un’organizzazione è raddoppiato dal 2019 al 2020, da 5 a 10 milioni di dollari, e il desiderio dei criminali informatici di arricchirsi non si arresta. Dal 2015 al 2019, la richiesta più elevata è stata di 15 milioni di dollari, mentre nel 2020, ha raggiunto i 30 milioni di dollari.
La doppia estorsione
Un comune attacco ransomware consiste nella cifratura dei dati di chi viene colpito, a cui segue la richiesta di pagamento di un riscatto per sbloccarli. In un caso di doppia estorsione, gli operatori ransomware crittografano e rubano i dati, per costringere la vittima a pagare il riscatto.
Se la vittima non effettua il pagamento, gli autori del ransomware minacciano di esporre i dati su un sito pubblico o sul dark web, luoghi di hosting creati e gestiti dai cybercriminali. Sono almeno 16 le varianti di ransomware che attualmente stanno minacciando di esporre i dati, e altre varianti probabilmente continueranno questo approccio.
La famiglia di ransomware NetWalker è quella che ha sfruttato maggiormente questa tecnica finora. Da gennaio 2020 a gennaio 2021, NetWalker ha divulgato infatti i dati di 113 organizzazioni vittime a livello globale, superando di gran lunga altre famiglie di ransomware. RagnarLocker è arrivato secondo, diffondendo i dati di 26 aziende.
Gli effetti della pandemia COVID-19
Gli attaccanti approfittano degli eventi in corso per attirare le vittime ad aprire e-mail di phishing, visitare falsi siti web, o scaricare file dannosi. Il caso emblematico è rappresentato dalla pandemia, sfruttata in modo molto significativo dai creatori di ransomware in attacchi che hanno colpito tutti i mercati. Il settore sanitario è stato un obiettivo particolarmente preso di mira per tutto il 2020 proprio a causa del coronavirus, ma anche altri hanno subito numerosi attacchi ransomware.
Nel clima economico delicato vissuto nel corso dell’anno, con la sfida aggiuntiva rappresentata dai dipendenti chiamati a lavorare da casa, molte aziende hanno dovuto fare i conti con una riduzione delle risorse. Con un minore controllo sul personale e tagli di bilancio, consapevolezza sulle minacce e protezione IT possono essere state più difficili da implementare.
Facilità d’uso e disponibilità
Il ransomware è diventato sempre più facile da ottenere ed è ormai disponibile in molti formati per diverse piattaforme. Lo schema di azione dei cybercriminali è cambiato: abbiamo osservato spostamenti da modelli ad alto volume e spray-and-pray a un modello “stay-and-play” più mirato, in cui gli operatori si prendono il loro tempo per conoscere le vittime e le loro reti, seguendo un approccio di penetrazione più tradizionale.
Gli attaccanti sanno che il ransomware, in particolare in modalità ransomware as a service (RaaS), è semplice da eseguire, eccezionalmente efficace e potenzialmente redditizio, sia per i pagamenti diretti che per la vendita di informazioni preziose. Il modello RaaS permette agli affiliati di utilizzare un software ransomware già esistente per effettuare gli attacchi, guadagnando così una percentuale su ogni pagamento di riscatto andato a buon fine.
Gli autori di ransomware continuano ad accedere agli ambienti delle vittime con metodi tradizionali, tra cui phishing, utilizzo di credenziali RDP (Remote Desktop Protocol) deboli o compromesse, e sfruttamento delle vulnerabilità delle applicazioni o del software. Nonostante il passaggio in remoto di gran parte della forza lavoro nel 2020, queste tecniche di accesso sono rimaste le stesse. Molti cybercriminali stanno anche integrando nelle loro azioni malware come Dridex, Emotet e Trickbot per l’accesso iniziale e, una volta all’interno di una rete, utilizzano strumenti nativi come PSExec e PowerShell per ingannare la rete e muoversi lateralmente.
Nel corso del 2020, il ransomware ha colpito organizzazioni di ogni dimensione, operative in numerosi settori. Rispetto al 2019, è stato osservato un aumento dei casi di risposta agli incidenti ransomware in diversi settori negli Stati Uniti, in Canada e in Europa.
Casi di ransomware incident response per settore nel 2019 e 2020 in Canada, Stati Uniti ed Europa.
Come evidenzia il grafico, si è verificato un significativo aumento degli incidenti in settori quali quello sanitario, manifatturiero e dell’istruzione. Gli attacchi ransomware nel corso del 2020 sono stati più complessi rispetto agli anni precedenti, causando tempi di risposta più lunghi e approfonditi. In particolare, il settore IT ha visto un aumento del 65% degli incidenti ransomware tra il 2019 e il 2020.
Inoltre, le richieste di riscatto stanno incrementando il loro importo anno dopo anno. Nel 2020, si sono attestate su una media di 847.344 dollari, spesso sotto forma di bitcoin o criptovaluta Monero. L’importo può variare drasticamente a seconda della famiglia di ransomware utilizzata.
Il costo totale di un incidente ransomware è tipicamente molto più elevato della richiesta stessa. Nel 2020, il costo medio di un’analisi forense (o indagine di risposta agli incidenti) è stato di 73.851 dollari, anche quando i backup erano considerati un’opzione valida per l’organizzazione. Questa cifra non tiene conto di altri costi potenziali, di tipo monetari o altro, portando il costo medio totale complessivo di un attacco ransomware a una cifra realmente proibitiva per molte aziende.