Pagamento dei ransomware: è opportuno? I pareri degli analisti di Gartner

 
Tratto da www.zerounoweb.it
Autore: Marta Abbà – Fonte TechTarget – 09/11/2021
 
 

Durante l’IT Symposium di Gartner, gli analisti hanno discusso le complessità che le aziende devono affrontare nel decidere se cedere o meno alle richieste di riscatto

 

https://d3npc921eoaj06.cloudfront.net/wp-content/uploads/2021/11/08113827/Img-base-Articoli-1024x576.jpg

 

Se per una qualsiasi organizzazione essere colpiti da un ransomware può considerarsi quasi un evento inevitabile o molto probabile, secondo gli analisti di Gartner, il cedere invece alle richieste di riscatto è una decisione che resta nelle mani delle vittime.

Durante il Gartner IT Symposium 2021 – Americas , gli analisti di Gartner Paul Proctor e Sam Olyaei hanno discusso la gravità del panorama ransomware in una sessione dal titolo “Crossroads: Dovresti pagare il riscatto?” esprimendosi in linea di massima contro il pagamento del ransomware ma illustrando una serie di considerazioni che le imprese possono fare per valutare come muoversi, ad esempio relative alla portata dell’attacco, agli importi delle richieste di riscatto, alla propria copertura assicurativa informatica e allo stato dei backup.

Un altro elemento che rende difficile la decisione è il disallineamento tra il team di sicurezza e il management, secondo gli analisti, ma la vera pressione sulle organizzazioni proviene dall’evoluzione dei ransomware che oggi hanno ormai un vero e proprio modello di business. Al loro interno sono previsti dei soggetti che “inseguono” insistentemente le aziende e degli operatori che, dietro agli autori del ransomware, agiscono ora come professionisti, offrendo un servizio clienti e negoziatori.

Secondo Proctor, gli autori delle minacce analizzano le aziende a 360 gradi e calibrano la loro richiesta sulle entrate della singola organizzazione o sul suo budget annuale. La maggior parte degli hacker conoscono anche i termini della sua polizza di assicurazione informatica.

Proctor ha illustrato un caso recente in cui un attaccante ha avuto accesso alla policy scoprendo esattamente quanto la vittima avrebbe pagato in caso di riscatto, anche le stesse compagnie di assicurazione informatica quindi non sono al sicuro. A marzo, CNA Financial, uno delle più grandi assicurazioni statunitensi, ha subito un attacco ransomware e, secondo un rapporto di Bloomberg, la compagnia di assicurazioni ha pagato un riscatto di 40 milioni di dollari.

Dato che le aziende stanno diventando sempre più vulnerabili agli attacchi ransomware, Proctor ha suggerito di cominciare a focalizzarsi sulla cyber readiness invece che sulle minacce. “Soprattutto, quando si tratta di ransomware, come avete intenzione di rispondere? – ha detto Proctor durante la sessione – È necessario iniziare a guardare a questo attacco informatico come a qualcosa di inevitabile”.

Olyaei ha convenuto che il ransomware non è un rischio potenziale, ma una minaccia che le aziende non possono controllare: “verrete sicuramente colpite, ciò che bisogna chiedersi è: qual sarà l‘impatto sull’azienda?” ha detto durante la sessione.
 

Pagare? Non pagare? Questo è il dilemma

Mentre la maggior parte dell’incontro si è focalizzato sugli elementi da prendere in considerazione quando si è colpiti dal ransomware, la questione del se pagare o meno è stata posta dall’autore e moderatore dell’evento Mark Jeffries. Jeffries ha menzionato una conversazione che ha avuto con un ex leader della CIA che era a favore del pagamento dei riscatti, Proctor non si è detto d’accordo con questa posizione spiegando che “Gartner ha una posizione opposta, è illegale in molte giurisdizioni e ci sono nuove leggi che lo rendono illegale”.

Il dibattito sul cedere o meno ai ricatti cyber negli USA ha provocato molte discussioni con l’aumento degli attacchi ransomware e, nonostante la Casa Bianca abbia preso una posizione forte contro il pagamento, sono molte le aziende che hanno deciso di pagare comunque nell’ultimo anno, lo hanno fatto anche JBS USA, ExaGrid e Colonial Pipeline Company.

Questo sta accadendo nonostante le misure barriera inserite per scoraggiare il pagamento, comprese le recenti sanzioni che possono mettere in difficoltà le aziende che favoriscono i pagamenti dei ransomware. Per esempio, il mese scorso l’Office of Foreign Assets Control ha emesso sanzioni contro Suex, uno crypto exchange accusato di riciclare i proventi illeciti dei criminali informatici, alcuni dei quali derivati dal ransomware. Ora, pagare riscatti potrebbe portare a una violazione di quelle sanzioni.

Al di là di ciò che prevedono le nuove leggi, Proctor ha sostenuto che chi paga viene spesso hackerato di nuovo, secondo i dati di Gartner, infatti, l’80% di queste organizzazioni subisce un altro attacco ransomware.

“Pagando il riscatto agli hacker li si invita a effettuare una nuova violazione, e chi pensa che pagherà un’assicurazione informatica o che potrà mettere da parte dei soldi apposta per il riscatto per poi proseguire con il business come nulla fosse, si sbaglia perché si troverà a pagare le conseguenze della sua scelta”. Sottolineando le ripercussioni del pagamento, Proctor ha però indicato un caso in cui ritiene sia opportuno cedere alle richieste: quando una società non può in alcun modo recuperare i dati. “Se non hai un backup e non vuoi ricostruire tutti i tuoi dati da zero, a partire dal primo giorno, dovrai pagare – ha spiegato – Non hai altra scelta”.

Olyaei non ha invece preso una posizione chiara nel dibattito ma ha spiegato ciò che pagare o non pagare potrebbe significare per un’organizzazione. “Non stiamo raccomandando o suggerendo a un’organizzazione di pagare o meno” ha precisato.

Per quanto riguarda il tema del backup dei dati, Olyaei citato una ricerca di Gartner che mostra come chi paga riceva solo fino all’8% dei loro dati indietro e ha aggiunto poi che la situazione va peggiorando perché alcune delle più recenti varianti di ransomware restano in un sistema per mesi, al punto da riuscire a criptare i backup. A quel punto, ha spiegato, “non sarete mai più in grado di recuperare fino al 100% dei vostri dati”.

Mentre durante il secondo trimestre del 2021, complice il Ransomware-as-a-Service e la consapevolezza delle aziende che pagare il riscatto non dà alcuna garanzia, gli importi incassati dagli hacker sono calati del 40% (dati Coverware), anche nel contesto italiano si dibatte sul tema del pagamento del riscatto. L’Asso DPO (Associazione Data Protection Officer) illustra ad esempio come nonostante per la polizia postale, il nucleo privacy della guardia di finanza, i professionisti che si occupano di privacy e di sicurezza informatica, la risposta sarebbe un NO unanime, la realtà presenti delle sfumature più complesse e da interpretare. Spesso ciò che accade è che, non riuscendo a conoscere le esatte dimensioni di un attacco, molte aziende cercano di coprire l’accaduto per minimizzare i danni anche di brand reputation decidendo di cedere al ricatto e pagare senza pubblicizzare questa scelta. Diversa la situazione quando si fornisce un servizio pubblico oppure quando l’azienda ha dimensioni rilevanti, come nei recenti casi di Colonial Pipeline e JBS: in questi casi bisogna fornire spiegazioni anche agli investitori e prendere delle decisioni non è semplice.

L’impatto del ransomware oltre la crittografia

L’impatto della maggior parte degli attacchi di cyber, ha detto Olyaei, deriva dalla mancata risposta delle aziende, sia dal punto di vista tecnologico che di gestione delle pubbliche relazioni, e riguarda la brand reputation e la credibilità agli occhi del cliente. Tuttavia, le ricadute degli attacchi, in particolare se colpiscono infrastrutture critiche, possono porre anche altri problemi, indipendentemente dalla risposta. Secondo Proctor, ad esempio, è stato il panico del gas sulla costa orientale a danneggiare la U.S. Colonial Pipeline più che la sua risposta all’attacco ransomware, che ha incluso il pagamento di una richiesta di 4,4 milioni di dollari.

Un aspetto su cui entrambi gli analisti hanno concordato è il disallineamento tra i management e la loro scarsa comprensione degli incidenti di sicurezza che Proctor ha rilevato negli ultimi 35 anni. “Abbiamo letteralmente trattato la sicurezza come una magia e gli addetti alla sicurezza come maghi. E questo significa che diamo ai maghi un po’ di soldi e loro lanciano alcuni incantesimi e così proteggono infallibilmente l’organizzazione. E poi, se qualcosa va storto, diamo la colpa ai maghi – ha detto Proctor – questo ha portato ad investire in modo poco appropriato ed efficace”.

Questo disallineamento impatta sui livelli di preparazione dell’azienda. Una statistica di Gartner mostra che l’80% dei responsabili della sicurezza crede di essere pronto a rispondere a un attacco ransomware, mentre il numero dei manager è del 13%. Secondo Olyaei si tratta di una disconnessione culturale. Un altro elemento su cui entrambi gli analisti si trovano d’accordo è il fatto che gli attacchi ransomware sarebbero prevenibili, ciò che manca sono i protocolli di sicurezza, paragonabili alle norme di igiene di base: indispensabili. Continuando la metafora ha affermato che “è come se stessimo lasciando le nostre porte e le nostre finestre aperte, spalancate, come se non ci lavassimo i denti e non andassimo a dormire all’ora giusta la sera. Queste sono le ragioni di base per cui veniamo colpiti dal ransomware”. La percentuale di attacchi prevenibili è il 90% e, secondo Proctor se l’investimento in adeguati controlli di cybersecurity è adeguato la decisione se pagare o meno il riscatto non si pone: “Se stai affrontando questa decisione, hai già perso”.

10 Novembre 2021

Ransomware: in Italia il 39% delle vittime paga il riscatto

Tratto da www.bitmat.it
Autore: Redazione BitMAT – 31/03/2021
 
 
Il 43% non è comunque stato in grado di recuperare le informazioni rubate
 
 
LCF-000010 Development economics
 

Un recente studio globale di Kaspersky ha mostrato che, nel 2020, il 39% degli italiani vittima di ransomware ha pagato il riscatto per ripristinare l’accesso ai propri dati. Tuttavia, il 43% non ha comunque recuperato le informazioni rubate. Fortunatamente, gli utenti sono sempre più consapevoli in tema di sicurezza informatica e questo è un ottimo segnale per la lotta contro i ransomware.

Il ransomware è un tipo di malware che viene utilizzato per estorcere denaro. In questo tipo di attacchi, viene usata la crittografia per impedire agli utenti di recuperare i propri dati o di accedere al proprio dispositivo.

Guardando ai dati a livello globale e alle fasce di età degli intervistati, nel 2020, gli utenti di età compresa tra 35 e 44 anni si sono dimostrati i più propensi a pagare il riscatto con il 65% di persone che ha dichiarato di averlo fatto. Inoltre, più della metà (52%) degli utenti di età compresa tra i 16 e i 24 anni e solo l’11% di quelli di età superiore ai 55 anni hanno versato denaro ai criminali, dimostrando che gli utenti più giovani sono più propensi a pagare un riscatto rispetto a quelli di età superiore ai 55 anni.

Tra gli italiani intervistati che hanno subito un attacco ransomware, il 33% ha dichiarato di aver perso quasi tutti i suoi dati. Indipendentemente dal fatto che abbiano pagato o meno, in Italia solo l’11% delle vittime è stato in grado di ripristinare tutti i file criptati o bloccati dopo l’attacco. Il 17%, invece, ne ha persi solo alcuni mentre il 22% non è riuscito a recuperarne una quantità significativa.

“Questi numeri mostrano che una percentuale significativa di utenti, negli ultimi 12 mesi, ha pagato un riscatto per recuperare i propri file. Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare, ha commentato Marina Titova, Head of Consumer Product Marketing presso Kaspersky. Per proteggersi gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati. Questo renderebbe l’attacco stesso meno redditizio per i criminali informatici, riducendo la diffusione di queste minacce e garantendo un futuro più sicuro per gli utenti del web.”

Oggi, il 28% ha sentito parlare dei ransomware negli ultimi 12 mesi. È importante che questa percentuale di persone consapevoli aumenti man mano che cresce il lavoro da remoto ed è fondamentale che gli utenti capiscano come comportarsi in presenza di un ransomware.

Kaspersky raccomanda di:

  • Non pagare il riscatto se il dispositivo è stato bloccato, questo incoraggerebbe i criminali a continuare nelle estorsioni. Si consiglia di contattare le forze dell’ordine locali e segnalare l’attacco
  • Cercare di scoprire il nome del trojan ransomware. Queste informazioni possono aiutare gli esperti di cybersecurity a decifrare e risolvere la minaccia
  • Visitare noransom.kaspersky.com per scoprire gli ultimi decryptor, i tool per la rimozione dei ransomware e le informazioni su come proteggersi da queste minacce
  • Evitare di cliccare sui link presenti nelle email spam o su siti web sconosciuti e non aprire gli allegati delle email inviate da utenti di cui non ci si fida.
  • Non inserire mai chiavi USB o altri dispositivi rimovibili di archiviazione nel proprio computer se non si è certi della loro provenienza
  • Proteggere il proprio computer dai ransomware con una soluzione completa di sicurezza online come Kaspersky Internet Security
  • Eseguire il backup dei dispositivi in modo che i propri dati rimangano al sicuro in caso di attacco

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

6 Aprile 2021

Ottenere un decryptor gratuito per il ransomware Fonix

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 04/02/2021
 
 

 

Quando il gruppo ransomware Fonix ha improvvisamente annunciato la fine della sua attività e ha pubblicato la master key per decifrare i file criptati, i nostri esperti hanno immediatamente aggiornato il tool Rakhni Decryptor per automatizzare il processo. Potete scaricarlo proprio qui.

L’esempio di Fonix illustra ancora una volta perché, anche se non avete intenzione di pagare il riscatto (ed è una scelta intelligente), dovreste comunque mantenere i dati cifrati. Non tutti i criminali informatici si pentono e pubblicano le loro chiavi (o vengono catturati e i loro server confiscati), ma se a un certo punto le chiavi diventano disponibili, è possibile utilizzarle per ripristinare l’accesso alle vostre informazioni, ma solo se le avete conservate ovviamente.

Perché Fonix era considerato pericoloso

Il ransomware Fonix era conosciuto anche come Xinof. I criminali informatici hanno utilizzato entrambi i nomi, e i file cifrati sono stati rinominati con entrambe le estensioni, .xinof o .fonix. Gli analisti hanno descritto il ransomware come abbastanza aggressivo: oltre a cifrare i file sui sistemi delle vittime, il malware manipolava il sistema operativo per ostacolare gli sforzi di rimozione. Cifrava praticamente tutti i file sul computer obiettivo, lasciando solo quelli critici per il sistema operativo.

Gli autori del malware hanno creato Fonix seguendo il modello di ransomware-as-a-service (RaaS), lasciando ai client il compito di occuparsi degli attacchi effettivi. Più o meno a partire dalla scorsa estate, sui forum dei cybercriminali è apparsa un’intensa attività di pubblicità del malware. Chi si serviva del ransomware all’inizio poteva farlo gratuitamente, dando a Fonix un vantaggio competitivo: gli autori prendevano solo una percentuale di qualsiasi riscatto ottenuto.

Di conseguenza, varie campagne non collegate tra loro hanno aiutato il malware a diffondersi, di solito attraverso messaggi di spam. E così Fonix ha colpito sia i singoli utenti che le aziende. Fortunatamente, il ransomware non ha guadagnato una grande popolarità, quindi le vittime sono state relativamente poche.

Il cybercrimine dentro il cybercrimine

Nel suo annuncio, il gruppo Fonix ha dichiarato che non tutti i membri erano d’accordo con la decisione di chiudere. L’amministratore del suo canale Telegram, per esempio, sta cercando di vendere il codice sorgente del ransomware e altri dati. Tuttavia, quel codice non è reale (almeno, secondo l’account Twitter del gruppo Fonix), quindi è essenzialmente una truffa rivolta agli acquirenti del malware. Anche se le uniche vittime potenziali qui sono altri cybercriminali, si tratta comunque di una truffa.

Le ragioni di questa scelta

L’amministratore del progetto FonixCrypter ha detto che non ha mai avuto intenzione di impegnarsi in attività criminali, ma la crisi economica lo ha portato a creare il ransomware. In seguito ha cancellato il codice sorgente e, mosso dalla coscienza sporca, si è scusato con le vittime e ha pubblicato la master key. In futuro, ha riferito, ha intenzione di impiegare la sua conoscenza di analisi dei malware per scopi più nobili e spera che i suoi colleghi si uniranno a lui in questa impresa.

Come difendersi dai ransomware

Fonix non è più un problema; tuttavia, nel 2021 esistono altre tipologie di ransomware e sono più attivi che mai. Il nostro consiglio per stare al sicuro è sempre lo stesso:

  • Diffidate delle e-mail con allegati;
  • Non eseguite file ottenuti da fonti non verificate;
  • Utilizzate soluzioni di sicurezza su tutti i dispositivi di casa e di lavoro che hanno accesso a Internet;
  • Eseguite copie di backup di tutti i dati critici e custoditeli su dispositivi non collegati alla rete.

I prodotti Kaspersky per utenti privati e aziende rilevano Fonix (e altri ransomware) in modo proattivo. Inoltre, i nostri file scanner identificano Fonix prima che abbia la possibilità di essere eseguito.

Per ribadire: se siete vittima del ransomware Fonix, potete recuperare i vostri dati utilizzando il nostro strumento RakhniDecryptor 1.27.0.0, che potete scaricare da NoRansom.kaspersky.com

Per ulteriori informazioni: dircom@argonavis.it

8 Febbraio 2021