i consigli

Come affrontare i ransomware 2022: il rapporto Enisa

La European Union Agency for Cybersecurity (ENISA) ha recentemente pubblicato un report su ransomware. Come agiscono nel 2022 e com’è meglio affrontarli. Importante condividere informazioni con le agenzie cyber, collaborare con le forze dell’ordine. Ma viene fatto di rado

Pubblicato il 05 Ago 2022

Martina Rossi

Hermes Bay

ransomware enisa

La European Union Agency for Cybersecurity (ENISA) ha recentemente pubblicato un report di approfondimento sulla minaccia derivante da attacchi ransomware, intitolato “ENISA threat landscape for ransomware attacks”.

L’obiettivo è quello di fornire agli utenti gli strumenti adeguati a confrontarsi con la dinamica degli attacchi ransomware attraverso una disamina degli incidenti avvenuti da maggio 2021 a giugno 2022.

Il report Enisa su ransomware

Il report è suddiviso in 7 capitoli, ognuno dei quali analizza un diverso aspetto dell’attacco ransomware: caratteristiche, elementi chiave, modelli di business, evoluzione della minaccia con un’analisi dettagliata dei singoli incidenti.

360ON TV E9 S1: Ransomware nuova frontiera: un modello di business per il cybercrime

360ON TV E9 S1: Ransomware nuova frontiera: un modello di business per il cybercrime

Guarda questo video su YouTube

Infine vengono riportate delle raccomandazioni per garantire una migliore protezione e uno sguardo al futuro, volto a ridurre l’impatto di tali minacce sulla comunità.[1] Il documento si sofferma sullo studio di 623 incidenti ransomware, avvenuti nel periodo attenzionato, in particolare in Europa, Regno Unito e Stati Uniti. Dal rapporto emerge come la minaccia ransomware si sia evoluta negli anni di pari passo con lo sviluppo della tecnologia, diventando sempre più efficiente e temibile al tempo stesso.[2]

Come sottolineato dall’Agenzia all’inizio del report, è complesso dare una definizione unitaria di “ransomware” che sia in grado di valutare le evoluzioni tecnologiche del virus. All’interno del documento viene fornita una proposta definitoria basata su tre elementi chiave: risorse, azioni e ricatti.

Come agiscono i ransomware nel 2022

  • Le risorse costituiscono tutto ciò che ha un valore per un’azienda o per un’organizzazione: attualmente, quelle maggiormente prese di mira dagli attacchi ransomware sono file, cartelle, database e dati sensibili che, in quanto tali, risultano essere un ottimo strumento di ricatto.
  • Una volta individuato l’oggetto di interesse, le azioni principali che possono essere eseguite sono: bloccare, criptare, eliminare e carpire (definite “le 4 azioni LEDS”: Lock, Encrypt, Delete, Steal).
  • Un attacco ransomware non sarebbe efficace senza il terzo elemento: il ricatto. Dopo aver compromesso la disponibilità delle risorse, l’attore si appresta a ricattare il proprio target al fine di ottenere una somma di denaro in cambio della disponibilità di tali risorse.

Il ciclo di vita dei ransomware è rimasto pressoché invariato fino a circa il 2018; con lo sviluppo delle tecnologie anch’esso si è evoluto notevolmente sia dal punto di vista tecnico che organizzativo. Attualmente è possibile identificare cinque fasi di un attacco ransomware: accesso iniziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione. Il percorso non è necessariamente sequenziale e può invertire, o anticipare determinate fasi. Ai fini del report prodotto da ENISA, è importante sottolineare come la negoziazione rappresenti un’attività spesso condotta tra gli attori della minaccia e le loro vittime, ma questa non viene in alcun modo raccomandata, né incentivata dalle autorità. Il successo della negoziazione rappresenta infatti la buona riuscita dell’attacco.

Gli esiti dello studio effettuato dimostrano che i Paesi maggiormente colpiti sono gli Stati Uniti con 112 incidenti, la Germania con un totale di 96 e la Francia con 78. L’Italia si posiziona invece al quarto posto per numero di attacchi ransomware portati a termine. Su un totale di 623 incidenti analizzati nel report, condotti da 47 attori diversi, ENISA ha trovato prove di fughe di dati per 288 di questi, ovvero il 46,2% del totale.[3] Circa 10 terabyte di dati sono stati rubati ogni mese dagli attori delle minacce ransomware, di cui il 58,2% includeva informazioni personali dei dipendenti. Nel 94,2% degli incidenti non è noto se l’azienda vittima dell’attacco abbia o meno pagato il riscatto; tuttavia, nel 37,88% dei casi i dati sono trapelati sulle pagine web degli aggressori, indicando che le trattative per il riscatto sono fallite. Di conseguenza, è probabile che nel restante 62,12% dei casi si sia giunti a un accordo e l’azienda abbia quindi pagato il riscatto.[4]

Gli attacchi ransomware costituiscono attualmente un problema globale, che colpisce enti ed organizzazioni di ogni dimensione e settore. Il rapporto prodotto dall’Agenzia europea per la cybersecurity identifica le problematiche e le nuove sfide poste in essere dal malware. L’obiettivo è quello di presentare opportunità e raccomandazioni volte ad assistere enti, organizzazioni pubbliche e private nella sfida contro questa minaccia. Il monito di ENISA si basa su un’adeguata preparazione contro gli attacchi ransomware, sulla riduzione dell’impatto di questi malware e su una maggiore consapevolezza nella fase di negoziazione e di pagamento del riscatto.

Ransomware, i consigli di Enisa

Poiché le tecniche di attacco utilizzate dagli aggressori sono in continua evoluzione, ENISA ritiene che gli Enti debbano maggiormente preoccuparsi della preparazione necessaria a prevenire un attacco ransomware, prima che si verifichi e prima che le sue conseguenze possano intaccare la continuità operativa.

Tra le raccomandazioni si annovera:

  • L’esecuzione di un backup di tutti i dati e file critici dell’azienda;
  • Il rispetto della regola di backup 3-2-1, per cui sono necessarie tre copie, due supporti di memorizzazione diversi e una copia fuori sede;
  • Il mantenimento dei dati personali crittografati secondo le disposizioni del GDPR, utilizzando adeguati controlli basati sul rischio;
  • L’utilizzo di un software di sicurezza nei dispositivi endpoint in grado di rilevare la maggior parte dei ransomware;
  • L’attenzione alle politiche di sicurezza;
  • La regolare valutazione del rischio, con conseguente valutazione di stipulare un’assicurazione contro i ransomware;
  • Un utilizzo cauto della distribuzione dei privilegi amministrativi in termini di accesso: è consigliato l’uso del Principle of Least Privilege (PLOP) quando si concede qualsiasi tipo di accesso;
  • La conoscenza delle Agenzie Governative locali che forniscono assistenza in caso di attacco ransomware e la definizione di protocolli da seguire in caso di incidente.[5]

Se un Ente è vittima di attacco ransomware, il primo passo necessario sarà quello di contattare le Autorità nazionali di cybersicurezza o le forze dell’ordine, affinché l’evento possa essere affrontato al meglio. ENISA consiglia di non pagare il riscatto, né di negoziare con gli autori della minaccia; inoltre, il sistema colpito dovrà essere isolato per contenere l’infezione e dovrà essere bloccato l’accesso ai sistemi di backup fino alla sua rimozione. L’Agenzia, infine, consiglia di visitare il sito “No More Ransom Project”, un’iniziativa di Europol in grado di decriptare 162 varianti di ransomware.

L’importanza della condivisione informazioni su attacco

La condivisione delle informazioni sull’attacco rimane ad oggi il migliore metodo per aiutare le Autorità a gestire l’incidente, identificando gli attori e le minacce, poiché il pagamento del riscatto non rappresenta l’opzione migliore per riottenere i dati e le informazioni rubate. Secondo Sophos, infatti, solo il 4% delle aziende che hanno pagato il riscatto hanno riottenuto i dati.

In generale gli incidenti relativi ai ransomware sono raramente segnalati: la maggior parte degli Enti, preferisce evitare il danno reputazionale che ne segue; nella maggior parte dei casi l’attacco alla security aziendale è reso pubblico dal criminale informatico.

Se negli Stati Uniti, per legge, è necessario comunicare tutti gli incidenti informatici al Cybersecurity and Infrastructure Security Agency (CISA), un distaccamento del Department of Justice, nell’Unione Europea, la revisione della Direttiva NIS2 e le disposizioni rafforzate in materia di notifica degli incidenti di sicurezza, dovrebbero favorire una migliore comprensione degli incidenti rilevanti.

Verso la NIS 2, c’è l’accordo in Europa: ecco le novità su soggetti coinvolti e obiettivi

Rimane un passaggio fondamentale la comunicazione degli incidenti da parte delle società interessate, non solo per una maggiore comprensione del problema, ma anche per conoscere appieno come operano gli attori delle minacce ransomware. La mancanza di trasparenza è quindi un problema del settore security che fatica a tenere traccia del numero di attacchi.

Il ransomware è dunque una tipologia di minaccia che attacca indiscriminatamente tutti i settori aziendali, rendendo chiunque un facile bersaglio; per questo ENISA invita gli Enti a fornirsi di un’adeguata preparazione in merito e a considerare ancor prima dell’incidente, le conseguenze dell’attacco.

Note

[1] https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks

[2] https://industrialcyber.co/ransomware/enisa-reports-shortcomings-of-current-reporting-mechanisms-across-eu-in-latest-ransomware-threat-analysis/

[3] https://industrialcyber.co/ransomware/enisa-reports-shortcomings-of-current-reporting-mechanisms-across-eu-in-latest-ransomware-threat-analysis/

[4] https://www.cybertrends.it/enisa-pubblica-threat-landscape-for-ransomware-attacks/

[5] https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati