Il 2021 potrebbe essere l’anno dei ransomware. Fino a poco tempo fa erano noti quasi esclusivamente agli esperti di sicurezza informatica e alle sfortunate vittime, oggi ne sentiamo parlare quasi quotidianamente sui mass media. Se il trend attuale continua, entro l’anno gli attacchi saranno aumentati del 300% rispetto alla fine del 2019.
Non è strano. Gli attacchi ransomware sono particolarmente redditizi e sempre più facili da sferrare grazie al modello RaaS (Ransom As A Service). Nuovi fenomeni come la doppia estorsione li rendono sempre più insidiosi. Diminuisce la percentuale di attacchi andati a segno, ma riscatti sempre più alti e costi di ritorno alla normalità enormi rischiano di mettere in ginocchio le aziende che non investono abbastanza nella sicurezza dei dati.
Indice:
Situazione ransomware 2021
Chi è più colpito dai ransomware?
Ransomware: a quanto ammonta il riscatto nel 2021?
Famiglie ransomware più diffuse
Cosa cambia negli attacchi ransomware nel 2021?
Attacchi ransomware in Italia nel 2021
Maggiori attacchi ransomware mondiali del 2021
Fonti
Situazione ransomware 2021
I ransomware, “virus del riscatto”, oggi rappresentano una percentuale significativa degli attacchi informatici. Solo nel primo semestre del 2021, ci sono stati 304.7 milioni di episodi, secondo il laboratorio di rilevazione SonicWall.
A inizio 2021, Sophos ha commissionato un sondaggio che ha coinvolto 5400 aziende di 30 paesi con 100-5000 dipendenti, concludendo che:
- Il 37% era stato oggetto di attacchi ransomware nel 2020. Non tutti riusciti.
- Il 54% di chi è stato oggetto di attacco ha avuto i propri dati criptati. Tra questi:
- Il 32% ha ammesso di aver pagato per poter decriptare i file.
- Il 57% ha usato i backup per il ripristino, l’8% è riuscito a recuperare i dati in altri modi.
- Il 96% di chi ha pagato il riscatto è riuscito a decodificare una parte dei dati. Ma solo l’8% è riuscito a recuperare tutto.
- Le grandi organizzazioni pubbliche e private sembrano essere bersagli più probabili: il 42% di quelle colpite ha 1000-5000 dipendenti, il 33% ne ha 100-1000.
- Il riscatto medio per aziende di medie dimensioni è stato di 170 mila dollari.
- Ma i costi totali di un attacco ransomware sono molto superiori: 1.85 milioni di dollari in media nel 2020.
Chi è più colpito dai ransomware?
Secondo il report 2021 di Sophos, l’Italia è il terzo Paese più colpito dai ransomware in Europa, dopo Germania e Francia. Gli USA sono primi a livello mondiale, seguiti dall’India.
Nessuna attività è al sicuro. Alcuni dei gruppi responsabili di attacchi ransomware affermano di colpire solo grosse organizzazioni, altri invece aggrediscono regolarmente piccole e medie imprese. La maggior parte dei casi registrati riguarda dispositivi Windows, ma i ransomware possono infettare tutti i sistemi operativi.
I settori più colpiti sono l’educazione e il retail, i servizi professionali e gli enti pubblici. A partire dal 2020, i criminali informatici hanno preso particolarmente di mira anche il settore sanitario, sfruttando la crisi causata dal covid-19.
Le amministrazioni locali sono spesso oggetto di attacchi, che raramente riescono a respingere: il 69% arriva a criptare i dati. Un basso livello di sicurezza informatica e la possibilità di accedere a fondi pubblici per pagare il riscatto, li rendono vittime particolarmente interessanti.
Nei settori della distribuzione e dei trasporti, dei media e dell’intrattenimento, invece, le aziende sembrano essere più capaci di bloccare i malware ed evitare la crittazione: ci riescono nel 47-48% dei casi.
Il settore pubblico e quello energetico sembrano essere buoni bersagli per la loro propensione a cedere al ricatto degli hacker. Gli enti pubblici hanno dichiarato di aver pagato nel 42% dei casi analizzati. Forse non una buona idea visto che il 75-80% di chi lo fa torna ad essere preso di mira nel giro di poco tempo (GTIC Monthly Threat Report: August 2021).
Ransomware: a quanto ammonta il riscatto nel 2021?
Gli studi condotti a inizio 2021 ci dicono che il pagamento medio ammonta a 170 mila dollari, quello più comune a 10 mila, quello più alto a 3.2 milioni. In ogni caso le cifre richieste dipendono dalle dimensioni dell’organizzazione (Sophos).
Sono numeri orientativi perché molte organizzazioni cercano di nascondere le violazioni dei dati, negano il pagamento del riscatto oppure rifiutano di rivelare l’importo. Una cosa è certa: l’ammontare delle cifre pagate è molto variabile, in base alle dimensioni dell’organizzazione colpita, l’area geografica in cui si trova e il tipo di attacco.
Chi conduce attacchi ransomware adatta le richieste alle capacità economiche del bersaglio per aumentare le probabilità di pagamento. Il riscatto medio accettato dalle aziende con meno di 1000 dipendenti è stato circa la metà di quello pagato dalle aziende con 1000-5000 impiegati (108 mila dollari contro 226 mila).
Per lo stesso motivo, le cifre richieste fuori dai paesi occidentali sono molto inferiori, con un riscatto medio di 76 mila dollari in India. Inoltre il riscatto è mediamente più basso quando i criminali informatici pescano a strascico – attacchi spray-and-pray – rispetto agli attacchi mirati stay-and-play, che implicano tempo e risorse dedicate a studiare l’obiettivo.
Famiglie ransomware più diffuse
All’inizio del 2021 le famiglie di ransomware più note erano:
- Netwalker
- Ryuk
- Cerber
- SamSam
- Maze
- Defray777
- WastedLocker
- GandCrab + Revil
- DoppelPaymer
- Dharma
- Phobos
- Zeppelin
Nel gennaio 2021 un’operazione di polizia internazionale è riuscita a mettere fuori gioco gli operatori di NetWalker, responsabili di un terzo di tutti gli attacchi ransomware lanciati nel 2020 compresa la maggior parte delle richieste di doppio riscatto.
Quest’estate, i gruppi responsabili dei ransomware Avaddon e Ragnarok hanno deciso di ritirarsi e reso pubbliche tutte le loro chiavi di decrittazione.
Torna all\’indice
Cosa cambia negli attacchi ransomware nel 2021?
Nei primi 6 mesi del 2021, il numero di attacchi ransomware globali è aumentato del 151% rispetto allo stesso periodo dell’anno precedente, raggiungendo la cifra registrata in tutto il 2020. Si ipotizza un aumento del 300% rispetto al 2019 entro la fine del 2021 (Monthly Threat Report August 2021 di GTIC).
Inoltre è sempre in crescita il numero di famiglie di ransomware in circolazione: secondo l’FBI, oggi sono 100. Quelle più pericolose sembrano essere Ryuk, Cerber e SamSam, dice il report di metà anno di SonicWall. Ryuk è quello più diffuso, con molti attacchi ad organizzazioni sanitarie, appositamente messe in guardia dall’FBI e dal Dipartimento di Sanità americano.
Oggi diffondere un ransomware è incredibilmente facile: nel dark web esistono piattaforme da cui farlo con minimo dispendio di tempo ed energia. È il modello RaaS, ransom as a service, in cui quasi chiunque può trasformarsi in un cybercriminale in cambio di una percentuale sui ricavi ai creatori dei software.
Nel 2021 sono ormai frequenti gli attacchi ransomware con doppia estorsione. Gli operatori non solo chiedono denaro in cambio della chiave di decrittazione, ma si impossessano di file della vittima e minacciano di renderli pubblici qualora non venga pagato il riscatto entro i termini stabiliti. Di recente alcune aziende vittime di criptazione che rifiutavano di collaborare sono state messe ulteriormente sotto pressione con attacchi DDoS che hanno reso inaccessibili i loro siti.
La pubblicazione di file aziendali rubati su siti leak significa danni all’immagine dell’organizzazione e possibili sanzioni per non aver custodito a dovere dati sensibili in proprio possesso. Nel 2020 la tecnica della doppia estorsione è stata usata nel 7% dei casi di ransomware e circa la metà delle volte negli USA.
Aumentano gli attacchi mirati ad un obiettivo specifico studiato a fondo (modello stay-and-play). Per questo cresce l’entità dei riscatti del 171% secondo Palo Alto Network. Anche i costi del ritorno alla normalità dopo un ransomware sono duplicati rispetto al 2019.
Tuttavia si registrano anche attacchi a cascata attraverso la supply chain, che riescono a raggiungere migliaia di aziende a partire da un unico fornitore di servizi digitali, come Kaseya, colpita a luglio insieme a centinaia di suoi clienti.
Dopo macOS ora anche Linux è oggetto di attacco. Un bersaglio difficile ma potenzialmente molto remunerativo, visto che più del 70% dei server della rete lo usano. Nel 2021 nessun sistema operativo può più esser considerato completamente sicuro.
Scopri come le soluzioni di protezione e condivisione dati di Babylon Cloud possono garantire la sicurezza e la continuità aziendale.
Attacchi ransomware in Italia nel 2021
Il 2021 ha visto moltiplicarsi i casi di attacchi ransomware ai danni di organizzazioni importanti, anche in Italia.
Come giustamente fanno notare gli esperti di privacy, i cryptolocker sono in giro da almeno 7 anni e hanno colpito centinaia di migliaia di aziende italiane. Se oggi se ne parla anche sui mass media è perché sta aumentando il numero di attacchi mirati verso grosse aziende ed enti pubblici.
Tuttavia, i ransomware sono diventati noti al grande pubblico solo con l’attacco al portale web della Regione Lazio. Questa volta, con i servizi online resi inaccessibili, i danni causati dal malware erano davanti agli occhi di tutti. La prenotazione dei vaccini, ad esempio, è rimasta bloccata per 6 giorni. Non si trattava di un malware più potente degli altri, ma di sistemi per la sicurezza dei dati mancanti o inadeguati.
Nel 2021 in Italia sono state vittima di criptazione dei dati e richiesta di riscatto da parte del gruppo Lockbit anche la Erg, raggiunta attraverso il suo fornitore Engineering, e Salini (la nuova Impregilo). Tra gli operatori TelCo, Tiscali e Ho.Mobile, entrambe a inizio anno. Ad agosto anche l\’ARS, l\’azienda regionale sanitaria della Toscana.
Scopri come le soluzioni di backup e sync & share dati di Babylon Cloud possono garantire la sicurezza e la continuità aziendale.
Maggiori attacchi ransomware mondiali del 2021
Ecco alcuni dei maggiori attacchi ransomware del 2021, in base alle dimensioni delle aziende e all’entità del riscatto.
A marzo, REvil è riuscito a colpire Acer attraverso una vulnerabilità di Microsoft Exchange, minacciando di pubblicare dati rubati su siti leak e chiedendo 50 milioni di dollari per le chiavi di crittografia. Non si sa se pagati o meno dalla multinazionale.
Kia Motors ha subito la solita doppia estorsione e una richiesta di 20 milioni di dollari da parte del gruppo DopplePaymer. A seguito dell’attacco il portale web e altri siti interni, i sistemi di pagamento e i servizi telefonici sono stati fuori uso per giorni.
La Colonial Pipeline, è stata attaccata a maggio da DarkSide, con conseguente interruzione della fornitura di carburante in tutta la Costa Est degli Stati Uniti per giorni. Per recuperare i dati ha pagato un riscatto equivalente a 4.4 milioni di dollari in bitcoin.
CNA Financial, una delle più grandi compagnie assicurative degli USA, ha subito un data breach sui dati di 75 mila persone, da parte del malware Phoenic Locker. E ha ammesso di aver pagato 40 milioni di dollari ai ricattatori.
A maggio DarkSide ha infettato i computer di Brenntag, colosso tedesco della distribuzione di prodotti chimici, criptando 150 GB di dati e chiedendo 7.5 milioni di dollari, minacciando anche di pubblicare dati aziendali sul proprio sito nel dark web. L’azienda è riuscita a trattare e pagare solo 4.4 milioni.
L’Ireland\’s Health Service Executive, ente pubblico che gestisce la sanità in Irlanda ha dovuto spegnere i propri sistemi a causa di un ransomware. Ci sono stati disservizi e probabili violazioni dei dati personali dei pazienti per due settimane.
A giugno, anche la Fuji ha subito un accesso non autorizzato al proprio server attribuito al gruppo REvil.
Fonti
The State of Ransomware 2021, di Sophos
Unit 42 Ransomware Threat Report 2021, di Palo Alto Networks
GTIC Monthly Threat Report August 2021
Mid-year update of SonicWall Cyber Threat Report
The State of Ransomware in 2021, di BlackFog