Durante la crisi di Covid-19 un’altra epidemia è arrivata nel cyber spazio: una pandemia digitale guidata dal ransomware. Sono in crescita a livello globale gli attacchi malware che criptano i dati e i sistemi delle aziende, con richiesta di pagamento di un riscatto. L’aumento della frequenza e della gravità degli incidenti ransomware è determinata da vari fattori: il numero crescente di molteplici modelli di attacco come le campagne di doppia e tripla estorsione, un modello di business criminale definito “ransomware come servizio” e le criptovalute, la recente impennata delle richieste di riscatto e l’aumento degli attacchi alla supply chain. In un nuovo rapporto, Allianz Global Corporate & Specialty (AGCS) analizza gli ultimi sviluppi del rischio ransomware e indica come le aziende possano rafforzare le loro difese con una buona “igiene” informatica e attività di sicurezza IT.
“Il numero di attacchi ransomware potrebbe di molto aumentare prima che la situazione migliori”, afferma Scott Sayce, Global Head of Cyber di AGCS. “Non tutti gli attacchi sono mirati. I criminali adottano la strategia di “sparare nel mucchio” colpendo quelle aziende che non stanno affrontando o non hanno chiare le proprie vulnerabilità. Come assicuratori, dobbiamo continuare a lavorare con i nostri clienti per aiutarli a capire la necessità di rafforzare i loro controlli interni. Allo stesso tempo, nell’attuale mercato assicurativo cyber in rapida evoluzione, fornire servizi di risposta alle emergenze, così come un risarcimento economico, è ormai lo standard”.
Secondo Accenture, l’attività di intrusione informatica a livello globale è balzata del 125% nella prima metà del 2021 rispetto all’anno precedente e tra le prime cause di questo aumento vi sono i ransomware e le estorsioni. Secondo l’FBI, nello stesso periodo c’è stato un aumento del 62% degli attacchi ransomware negli Stati Uniti che ha seguito un aumento del 20% per l’intero 2020. Questo andamento dei rischi cyber si rispecchia nell’esperienza dei sinistri di AGCS, che è stata coinvolta in oltre mille sinistri in questo ambito nel 2020, in forte aumento rispetto ai circa 80 del 2016; il numero di sinistri ransomware (90) è aumentato del 50% rispetto al 2019 (60). In generale, le perdite derivanti da incidenti informatici esterni come ransomware o attacchi Distributed Denial of Service (DDoS) rappresentano la maggior parte di tutti i sinistri cyber analizzati da AGCS negli ultimi sei anni.
La crescente dipendenza dalla digitalizzazione, l’aumento del lavoro da remoto durante la pandemia di Covid-19 e i vincoli di bilancio lato IT sono solo alcune delle ragioni per cui le vulnerabilità informatiche si sono intensificate, offrendo innumerevoli punti di accesso che i criminali possono sfruttare. La più ampia adozione di criptovalute come Bitcoin che permettono pagamenti anonimi è un altro fattore chiave nell’aumento degli incidenti ransomware.
Cinque aree di attenzione
Nel suo rapporto, AGCS identifica 5 trend nell’ambito del ransomware, anche se questi sono in continua evoluzione e cambiano rapidamente nella corsa al “gatto col topo” tra cyber criminali e aziende:
- Lo sviluppo del “ransomware come servizio” ha reso più facile per i criminali effettuare gli attacchi. I gruppi di hacker come REvil e Darkside vendono o affittano i loro strumenti di hacking a terzi, gestendo questa attività illecita come un business commerciale, al punto da fornire addirittura una serie di servizi di supporto. Di conseguenza, le minacce sono in aumento.
- Dall’estorsione singola a quella doppia e tripla…Le tattiche di “doppia estorsione” sono in crescita. I criminali combinano la crittografia iniziale di dati o sistemi, o sempre più spesso anche i loro back-up, con una forma secondaria di estorsione, come la minaccia di divulgare dati sensibili o personali. In uno scenario di questo tipo, le aziende colpite devono gestire la possibilità sia di una grande interruzione delle attività sia di un evento di violazione dei dati, situazione che può aumentare significativamente il costo finale del danno. Gli incidenti di “tripla estorsione” possono combinare attacchi DDoS, crittografia dei file e furto di dati e non prendono di mira solo un’azienda, ma potenzialmente anche i suoi clienti e partner commerciali. Un caso degno di nota è quello di una clinica di psicoterapia in Finlandia: è stato chiesto un riscatto all’ospedale e, allo stesso tempo, somme più piccole sono state richieste ai pazienti per non rivelare informazioni personali.
- Prossima emergenza: gli attacchi alla supply chain:due sono i tipi principali: quelli che prendono di mira i fornitori di software/ servizi IT e li usano per diffondere il malware (per esempio, gli attacchi Kaseya o Solarwinds), o quelli che colpiscono le supply chain fisiche o le infrastrutture critiche, come quello che ha interessato Colonial Pipeline. È probabile che i fornitori di servizi diventino obiettivi primari, dato che spesso forniscono soluzioni software a centinaia o migliaia di aziende e quindi offrono ai criminali la possibilità di un maggiore guadagno.
- Dinamiche di riscatto:Gli importi chiesti a riscatto sono saliti alle stelle negli ultimi 18 mesi. Secondo Palo Alto Networks, la richiesta media negli Stati Uniti è stata di 5,3 milioni di $ nella prima metà del 2021, con un aumento del 518% rispetto alla media del 2020; la richiesta più alta è stata di 50 milioni di $, contro i 30 milioni dell’anno precedente. L’importo medio pagato agli hacker è circa 10 volte inferiore alla domanda media, ma questa tendenza generale all’aumento è allarmante.
- Pagare o no?Il pagamento del riscatto è un argomento controverso. Le forze dell’ordine in genere consigliano di non pagare le richieste di estorsione per non incentivare ulteriormente gli attacchi. Anche quando un’azienda decide di pagare un riscatto, il danno potrebbe essere già stato fatto perché ripristinare i sistemi e consentire la ripresa dell’attività è un lavoro enorme, anche quando si hanno a disposizione le chiavi di decrittazione.
Interruzione delle attività e costi di recupero: i principali fattori di perdita
Quali sono i costi più importanti per le aziende che hanno subito un attacco ransomware? Dall’analisi dei sinistri di AGCS emerge che i costi di interruzione e ripristino dell’attività sono, insieme agli attacchi ransomware, gli elementi principali di un sinistro cyber. Essi rappresentano oltre il 50% del valore complessivo delle quasi 3.000 richieste di risarcimento del settore assicurativo per un valore di circa 750 milioni di € (885 milioni di $) degli ultimi 6 anni.
Il costo totale medio del recupero e dei tempi di inattività – in media 23 giorni – di un attacco ransomware è più che raddoppiato nell’ultimo anno, passando da 761.106 $ a 1,85 milioni di $ nel 2021.
L’impennata di attacchi ransomware negli ultimi anni ha innescato un importante cambiamento nel mercato dell’assicurazione cyber. Secondo il broker Marsh, i tassi di queste polizze sono aumentati, mentre la capacità si è ridotta. Gli assicuratori stanno mettendo sempre più sotto esame i controlli relativi alla sicurezza informatica predisposti dalle aziende.
Best Practice Checklist per la sicurezza informatica
AGCS ha pubblicato una checklist con le raccomandazioni per una gestione efficace del rischio cyber. “In circa l’80% degli incidenti ransomware le perdite potevano essere evitate se le organizzazioni avessero seguito le migliori pratiche. Patch regolari, autenticazione multi-fattore, sicurezza delle informazioni, corsi di formazione e pianificazione della risposta agli incidenti sono essenziali per evitare gli attacchi ransomware e costituiscono anche una buona igiene informatica”, dice Rishi Baviskar, Global Cyber Experts Leader di AGCS Risk Consulting. “Se le aziende applicano tutte le raccomandazioni suggerite, c’è una buona probabilità che non diventino vittime di ransomware. Numerose lacune nella sicurezza possono essere colmate, spesso con misure semplici “.
Nel caso di un attacco, la copertura assicurativa cyber si è evoluta per fornire servizi di risposta agli incidenti e tipicamente includono la disponibilità di un esperto in gestione della crisi, il supporto informatico forense e la consulenza legale. Ci sono poi coperture che includono la formazione sulla sicurezza informatica per i dipendenti e l’assistenza per lo sviluppo di un piano di gestione della crisi.