Il ransomware continua a colpire

Il ransomware continua a colpire duramente e purtroppo continuerà ad avere successo se le aziende non correranno ai ripari adottando le best practice relative alla protezione dei dati.

Secondo il nuovo Veeam 2023 Ransomware Trends Report, un’organizzazione su sette vedrà colpiti quasi tutti i dati, ossia con tassi superiori all’80%, a seguito di un attacco ransomware, facendo leva su processi di backup e ripristino dei dati che rimangono lacunosi e inadeguati se non addirittura del tutto assenti. Lo studio ha infatti rilevato che gli aggressori prendono quasi sempre di mira i backup (93%) durante gli attacchi informatici e riescono a indebolire la capacità di recupero delle vittime nel 75% dei casi. Garantire quindi la protezione dei repository di backup è quindi, per Veean, diventata una priorità.

La nuova edizione del report riporta i dati di 1.200 organizzazioni colpite e di quasi 3.000 attacchi informatici. L’indagine esamina gli elementi chiave di questi incidenti, il loro impatto sugli ambienti IT e le misure adottate o necessarie per implementare strategie di protezione dei dati che garantiscano la resilienza aziendale.

Pagare il riscatto non garantisce il ripristino dei dati

Per il secondo anno consecutivo, la maggioranza (80%) delle organizzazioni intervistate ha pagato il riscatto per porre fine a un attacco e recuperare i dati, con un aumento del 4% rispetto all’anno precedente, nonostante il 41% abbia una politica ‘Do-Not-Pay’. Tuttavia, mentre il 59% ha pagato il riscatto ed è riuscito a recuperare i dati, il 21% ha pagato il riscatto ma non è riuscito a recuperare i propri dati. Inoltre, solo il 16% delle organizzazioni ha evitato di pagare il riscatto perché è riuscito a recuperare i dati dai backup realizzati in modo adeguato. Ma questo dato positivo risulta purtroppo in calo rispetto allo scorso anno, quando le organizzazioni in grado di recuperare i dati da sole senza pagare il riscatto era del 19%.

In seguito a un attacco ransomware, i responsabili IT hanno due possibilità: pagare il riscatto o ripristinare i dati attraverso il backup. Per quanto riguarda il ripristino, la ricerca rivela che in quasi tutti gli eventi informatici (93%) i criminali tentano di attaccare i repository di backup, con il risultato che il 75% perde almeno una parte dei repository di backup durante l’attacco e più di un terzo (39%) dei repository di backup va completamente perso.

Immutabilità nuova barriera di difesa

Attaccando la soluzione di backup, gli aggressori eliminano l’opzione di recupero e obbligano essenzialmente a pagare il riscatto. Sebbene le best practice, come la protezione delle credenziali di backup, l’automazione delle scansioni di rilevamento informatico dei backup e la verifica automatica del ripristino dei backup, siano utili per proteggersi dagli attacchi, la tattica chiave consiste nel garantire che gli archivi di backup non possano essere eliminati o danneggiati. A tal fine, le aziende devono concentrarsi sul concentto di immutabilità. Su questo principio è positivo il fatto che le organizzazioni, grazie alle lezioni apprese dopo aver subito un attacco, l’82% utilizza cloud immutabili, il 64% dischi immutabili e soltanto il 2% degli intervistati dichiara di non avere l’immutabilità in almeno un livello della propria soluzione di backup.

Attenzione al giusto processo di ripristino

L’indagine ha poi chiesto agli intervistati in che modo assicurano la ‘pulizia’ dei dati durante il ripristino. A questo tema il 44% degli intervistati ha risposto di aver effettuato una forma di controllo isolato per analizzare nuovamente i dati dagli archivi di backup prima di reintrodurli nell’ambiente di produzione. Purtroppo, ciò significa che la maggior parte delle organizzazioni, ovvero lo speculare 56% del campione, corre il rischio di infettare di nuovo l’ambiente di produzione perché non dispone di un mezzo per garantire la pulizia dei dati durante il ripristino. Ecco perché è importante eseguire una scansione approfondita dei dati durante questo processo.

Gli altri risultati significativi

La cyber-insurance sta diventando troppo costosa. Il 21% delle organizzazioni ha dichiarato che il ransomware è attualmente escluso dalle loro polizze e coloro che hanno un’assicurazione cyber hanno visto dei cambiamenti negli ultimi rinnovi in questi termini: il 74% ha visto aumentare i premi, il 43% le franchigie mentre il 10% ha visto ridurre i benefici della copertura.

I programmi di risposta agli incidenti dipendono dal backup. L’87% ha un programma di gestione del rischio che guida la propria roadmap di sicurezza ma solo il 35% ritiene che stia funzionando bene, il 52% sta cercando di migliorare la propria situazione, mentre il 13% non ha ancora un programma consolidato. I risultati rivelano che gli elementi più comuni del programma per prepararsi a un attacco informatico sono le copie di backup pulite e la verifica ricorrente che i backup siano recuperabili.

L’allineamento organizzativo continua a soffrire. Sebbene molte organizzazioni considerino il ransomware un disastro e includano i cyberattacchi nella pianificazione della continuità operativa o del ripristino di emergenza (business continuity e disaster recovery), il 60% degli intervistati dichiara di aver bisogno di miglioramenti significativi o di una revisione completa dei team di backup/informatici per essere preparato a questo scenario.