Le aziende colpite da ransomware non tornano più ad essere quelle di prima
Una nuova ricerca di Sophos analizza il reale impatto che un attacco ransomware ha sulle aziende, rivelando che le conseguenze sono tali da cambiare radicalmente le realtà colpite e i comportamenti dei loro IT manager. Per esempio gli IT manager di aziende colpite da ransomware sono tre volte più predisposti a sentirsi inadeguati nel comprendere le cyber minacce se paragonati ai loro pari ruolo in aziende non colpite dal ransomware. Per quanto riguarda l’Italia, ciò vale per il 5% degli intervistati.
Più di un terzo (35%) delle vittime di attacchi ransomware ha dichiarato che identificare e assumere esperti di sicurezza ha rappresentato la sfida più importante e prioritaria, contro il 19% dei rappresentanti di aziende non colpite da ransomware. Nel nostro Paese, il 28% degli intervistati ha confermato l’esigenza di identificare professionisti IT preparati ad affrontare minacce sempre più complesse.
Per quanto riguarda l’attenzione alla sicurezza, l’indagine ha rilevato che le vittime di ransomware dedicano proporzionalmente meno tempo alla prevenzione rispetto alle aziende che non sono finite nel mirino di tale minaccia: 42,6% contro il 49%. Inoltre, chi ha subito attacchi ransomware tende a investire proporzionalmente più tempo e risorse nella gestione degli incidenti di sicurezza rispetto a chi non ha subito tale tipologia di attacco: 27% contro il 22%. In Italia, questi dati si assestano sul 49% per ciò che concerne la prevenzione e il 22% per la gestione degli incidenti di sicurezza.
Il fatto che gli attacchi ransomware avvengano seguendo una costante evoluzione di tattiche, tecniche e procedure (TTP), contribuisce ad incrementare sensibilmente la pressione sui team di sicurezza IT, come dimostra l’articolo dei SophosLabs Cybersecurity: The Human Challenge. L’articolo prende in esame un recente attacco che ha visto in azione il ransomware Ryuk.
I responsabili delle attività di incident response di Sophos hanno scoperto che chi ha diffuso Ryuk ha utilizzato versioni aggiornate di strumenti ampiamente disponibili e legittimi per compromettere una rete mirata e distribuire ransomware. L’attacco si è propagato a grande velocità (nel giro di tre ore e mezza dall’apertura di un allegato di email di phishing da parte di un utente aziendale); i cybercriminali stavano già portando avanti una ricognizione della rete e nel giro di 24 ore hanno avuto accesso a un controller di dominio e si preparavano a lanciare Ryuk.
“La nostra analisi del recente attacco Ryuk ha messo in evidenza ciò che i responsabili della sicurezza informatica stanno affrontando: è necessario essere costantemente in allerta, 24 ore su 24 e 7 giorni su 7 e avere una conoscenza approfondita delle nuove minacce e dei comportamenti dei criminali informatici. Si tratta di standard quasi impossibili da mantenere e che comporta conseguenze difficili da prevedere: la nostra indagine ha dimostrato che coloro che sono stati colpiti dal ransomware hanno subito un attacco non solo dal punto di vista informatico ma anche per quello che concerne la fiducia nelle proprie capacità di far fronte a questo tipo di attacco. Tuttavia, aver subito un attacco di quel tipo sembra aver conferito loro anche una maggiore consapevolezza dell’importanza di avvalersi di professionisti della sicurezza informatica e di quanto sia assolutamente fondamentale prevedere un elemento umano a cui affidare la “caccia alle minacce”, un compito che può essere svolto efficacemente soltanto riuscendo a comprendere e identificare meglio i comportamenti degli aggressori” ha dichiarato Chester Wisniewski, principal research scientist di Sophos.