Ransomware: I veri costi dell'attacco

Ransomware: I veri costi dell’attacco

Mar 08, 2022 Trend Micro Approfondimenti, Attacchi, Ransomware: La serie 0

Il ransomware è una vera e propria piaga dell’informatica e questo tipo di malware è ormai ormai tristemente famoso. Con questo nome viene classificata una tipologia di cyberattacco per cui i dati della vittima vengono “presi in ostaggio”, ossia resi inaccessibili attraverso la crittografia e a volte anche sottratti.

Per poter nuovamente accedere ai propri dati e a volte anche per sventare la minaccia di vederli pubblicati su Internet, è necessario pagare un riscatto. Si tratta di una tipologia di attacco di cui può cader vittima chiunque, dalle grandi organizzazioni pubbliche e private al singolo PC dell’utente privato.

Logicamente in base alla tipologia di utente attaccato può cambiare il valore del riscatto. In questo periodo se ne sente parlare molto perché le bande di cybercriminali stanno prendendo di mira un numero molto elevato di aziende chiedendo riscatti importanti.

Il riscatto però non è l’unico costo a cui si va incontro a seguito di un attacco ransomware. Come sottolineato da Gastone Nencini, Country Manager per l’Italia di Trend Micro, “il riscatto è, per così dire, il cerotto che si va a mettere perché non si sono fatte azioni precedenti per evitare che questo tipo di attacco possa andare a buon fine. I costi sono molteplici. Quelli del ripristino di una rete possono essere elevatissimi e c’è anche il rischio di non recuperare totalmente i dati”.

Oltre ai costi del ripristino ci sono poi quelli necessari all’adozione di un team che svolga un’investigazione sull’accaduto e infine quelli legati alla risoluzione della vulnerabilità informatica che ha permesso l’attacco.

Matteo Arrigoni, Principal Sales Engineer di Trend Micro, precisa che “non si può pensare che il rientro sia semplicemente il ripristino. È necessario capire quale è stata la falla da cui è entrato l’attaccante e a causa della quale è magari è rimasto all’interno dell’azienda”.

Anche ammettendo di volersi fidare che il pirata a cui è stato pagato il riscatto desista, altri possono sfruttare la stessa la stessa porta per entrare e rifare esattamente lo stesso attacco. Ci sono infatti molte gang che si occupano di ransomware e il nuovo modello di business che viene spesso utilizzato, ossia il Ransomware as a Service, rende ancora più facile che una vulnerabilità non risolta possa essere sfruttata più volte, dato che è possibile sferrare un attacco anche senza specifiche competenze tecniche.

C’è infine il danno economico causato dal fermo azienda. Sia che si tratti di una fabbrica sia che si tratti di un’azienda di servizi, bisogna sempre considerare il costo relativo al fatto che i dipendenti non possono lavorare.

I computer che sono stati colpiti dall’attacco rimangono infatti inutilizzabili, spesso non solo fino al ripristino ma fino a quando non si capisce qual è il qual è stato il vettore di ingresso e si è messa la struttura in sicurezza.

Sia per quanto riguarda la tecnologia operativa (OT), ossia l’uso di hardware e software per monitorare e controllare processi fisici, dispositivi e infrastrutture, sia per le strutture IT degli uffici per l’archiviazione, la trasmissione e l’elaborazione di dati e informazioni, il ripristino dell’operatività può avvenire solo dopo la bonifica dei sistemi coinvolti.

Per difendersi, secondo Matteo Arrigoni, è importante sfruttare tecnologie come il virtual patching di Trend Micro, pensato per proteggersi nella fase precedente all’applicazione delle patch ufficiali dei vendor, unite a strumenti di investigazione che diano visibilità su ogni evento sospetto all’interno dell’infrastruttura.

Condividi l'articolo