Il cybercrimine è molto redditizio – per chi lo perpetra. Per chi lo subisce, alla perdita economica si aggiungono danni che vanno dalle conseguenze legali relative alla protezione dati al rischio geopolitico. La Casa Bianca ha emesso un ordine esecutivo e individua “16 settori critici“, si legge nel White Paper di Acronis, il primo fornitore di una soluzione di backup dati integrata con la protezione, tra cui anti ransomware, nativa.
L’agricoltura e la sicurezza alimentare, per esempio, non sono solo vulnerabili alle conseguenze delle invasioni militari, ma possono essere colpite anche al cuore it. Nel luglio scorso, la gang di estorsione BlackMatter – ritenuta una “costola” del gruppo DarkSide e dissoltasi poco dopo grazie alla perseveranza delle autorità – è riuscita a sottrarre dati alla New Cooperative, l’azienda che gestisce il 40% dei servizi software per l’agricoltura cerealicola statunitense per chiedere un riscatto di 5,9 milioni di dollari.
Il panorama del rischio è da brivido per le aziende – piccole, medie o grandi che siano – e non solo. La città di Palermo è caduta recentemente vittima di un attacco ransomware da parte di un gruppo noto, il Vice Society. Come altri comuni in Italia, anche quello di Palermo ha dovuto interrompere vari sistemi, anche di sorveglianza e della polizia, per evitare ulteriori danni.
Nella regione Emea lo scorso anno solo il 18% delle imprese ha evitato interruzioni operative, mentre il ransomware ha raggiunto una diffusione senza precedenti, come nel rapporto Acronis sul cyberrischio 2022. Nonostante un impegno strenuo del settore della cybersicurezza e delle forze dell’ordine, nel 2021 non solo è aumentata l’attività degli hacker, ma anche l’aggressività degli attacchi.
Nel 2021, Ragnar Locker ha attaccato Campari rubando 2 TB di dati per poi minacciare su annunci a pagamento su Facebook la loro pubblicazione se l’azienda non pagava il riscatto di 15 milioni di dollari. Questo gruppo di ransomware minaccia la pubblicazione immediata di tutti i dati rubati se la vittima si rivolge alla polizia o a un negoziatore professionista.
Secondo altri dati dell’Fbi contenuti nel rapporto Acronis, il gruppo Ako o ThunderX, noto anche come Ranzy Locker dopo il cambio di nome, l’anno scorso ha attaccato 30 aziende in vari settori, tra cui l’edilizia, i trasporti e quello delle università, penetrando nella loro infrastruttura con attacchi brute-force anche contro le credenziali e Microsoft Exchange. A novembre, tra i casi più eclatanti ci sono i 400 incidenti causati dal ransomware Conti. Tra le vittime si contano JVCKenwood, Sandhills Global in Giappone, la multinazionale dei gioielli Graff e la big europea dei call-center Gss. Le richieste di riscatto per sbloccare interi terabyte di dati hanno ammontato ogni volta a non meno di 7 milioni di dollari quando non addirittura decine di milioni.
Il gruppo di consulenza globale Accenture è stato attaccato da LockBit che chiedeva 50 milioni di dollari, ma è riuscito a recuperare tutti i dati dal backup senza conseguenze significative sull’operatività.
Sono alcuni esempi tratti dai rapporti Acronis che mostrano come il ransomware sia ancora la minaccia digitale numero uno per le aziende. Delle 10 principali famiglie di ransomware attive osservate e monitorate nel 2021, alcune tentano di infettare il maggior numero possibile di utenti finali, mentre altri prendono di mira bersagli di alto profilo con un potenziale di guadagno maggior.
Monitorarli non è solo difficile perché scompaiono per riorganizzarsi e riapparire con altro nome, ma anche perché molti cybercriminali operano ormai con il modello “ransomware-as-a-service”, per cui è possibile che usino diversi tipi di attacco. Anche la parte del criptaggio ormai può essere “as-a-service”, com’è il caso di HCrypt, molto diffuso tra gli hacker perché attaccando senza file è più difficile da rilevarlo quando scarica e installa payload dannosi sui sistemi delle vittime.
La sempre maggiore complessità della struttura it spiega in parte la più alta vulnerabilità dei sistemi, che inoltre tendono a difendersi con un accumulo di soluzioni, dovuto anche all’incremento dei budget destinati alla sicurezza it. Nel mondo, una media del 45% delle aziende utilizza tra i 6 e i 10 sistemi diversi di sicurezza e protezione. Per esempio, il 65% delle aziende in Svezia e il 52% nel Regno Unito utilizzano tra le 6 e 10 soluzioni differenti. Un quinto delle aziende in Bulgaria, Paesi Bassi e Arabia Saudita utilizza tra le 11 e le 15 soluzioni differenti.
Al ceo di Acronis, Patrick Pulvermueller chiedo delle difficoltà delle aziende in questo momento ad adottare nuove soluzioni che integrino come quelle di Acronis, sicurezza, anti-malware, backup, disaster recovery e ripristino in pochi secondi senza interrompere l’operatività o la sicurezza.
“Ovviamente l’uso in parallelo di molte soluzioni è sconsigliato, ma per l’adozione dei sistemi Acronis la flessibilità è massima. In molti casi sono i nostri partner o i service provider a elaborare per le aziende la soluzione più adeguata alle singole esigenze. Alcune grandi società usano Acronis sopra altre soluzioni che mantengono”.
E le pmi?
Le pmi possono avvalersi di periodi pilota in cui testano Acronis prima di decidere. Lavoriamo anche con vari distributori che forniscono la Acronis Cyber Protect Cloud. Questo può essere importante perché le pmi In genere si avvalgono solo di freelance. Il principio è lo stesso: è una soluzione totalmente automatizzata che integra la sicurezza con il tipo di backup scelto dal cliente.
Una parte importante delle vostre soluzioni è il cloud di Acronis per il backup automatico, ma nelle imprese, soprattutto le pmi, c’è ancora diffidenza verso il cloud, anche per la paura di violare le normative sulla localizzazione geografica dei dati.
Acronis ha data center in tutto il mondo e in ogni parte d’Europa, il che risolve il problema di ottemperare alle normative locali, ai differenti Gdpr locali sullo storage dei dati. Quando forniamo le soluzioni attraverso i partner e i fornitori di connettività, questo aspetto è risolto alla fonte.
Come dai vostri rapporti, crescono le minacce “zero-day”, quelle che anticipano l’aggiornamento dei database dei programmi di attacco e che possono quindi mettere in ginocchio ogni azienda…
Qui noi mettiamo in gioco l’intelligenza artificiale e il machine learning. Non li utilizziamo solo per aggiornare il database delle minacce, ma concretamente per la protezione H24. Con l’Ai e il machine learning analizziamo il comportamento in un sistema. Un ransomware si comporta in un modo molto preciso: duplica certi file che poi cripta e cancella. Quando registriamo un tale comportamento, se non è legittimo blocchiamo il malware istantaneamente. In altre parole, blocchiamo un attacco di virus o altra minaccia, tipo quelle zero-day, anche prima che il database sia aggiornato. Ciò cambia i tempi in maniera fondamentale.
A quel punto ripristiniamo e riportiamo il sistema alla normalità in pochi secondi.
Nel peggiore dei casi si ripristina il sistema dai backup e dalla disaster recovery quasi immediatamente.
Come segregate il backup nel cloud?
Il cloud Acronis è integrato alla protezione, oltre che criptato con blockchain, se si vuole, e cyber protetto a sua volta. Quindi non serve che entrino in gioco due soluzioni differenti, una per la protezione dei dati nel sistema e una altra per quelli nel backup. Blockchain rende i vari backup, che sono totalmente automatizzati, molto precisi.
La lotta contro il cybercrimine registra anche delle vittorie, come l’arresto di due ricattatori, rei di aver estorto ben 70 milioni di euro, grazie alla collaborazione fra Europol, Gendarmerie francese, Polizia nazionale ucraina ed Fbi.
Solo a ottobre, il sistema Acronis ha bloccato 376.000 link pericolosi rispetto ai 58.000 in media nel trimestre precedente – si sa che nelle piccole come nelle grandi imprese il phishing e gli email con link pericolosi sono tra i veicoli di attacco più micidiali proprio perché più semplici.
Nel 2021 da luglio ad agosto si è avuto un aumento del blocco degli attacchi ransomware a livello mondiale del 32,7%, seguito da un calo del 7% a settembre e del 16% a ottobre. l motivi delle fluttuazioni sono molteplici. Da un lato, alcuni arresti e una maggiore pressione delle forze dell’ordine, dall’altro, il fatto che alcuni attacchi sono intercettati all’inizio della catena, proprio nelle email che contengono l’esca o l’URL pericoloso, per cui il ransomware non è scaricato e né conteggiato.
È una lotta senza quartiere. Dopo che le forze dell’ordine Usa hanno confiscato 6,1 milioni di dollari a una gang affiliata al gruppo REvil, questa è riemersa dopo un paio di mesi con un nuovo nome.
Una misura complementare è l’offerta di ricompense in cambio di informazioni su certi gruppi di ransomware quali, appunto, REvil/Sodinokibi e DarkSide. Con questi programmi che offrono tra i 5 e i 10 milioni di dollari, le autorità, tra cui il Dipartimento di Stato Usa, mirano a ottenere informazioni utili per l’arresto o la condanna di soggetti implicati nei gruppi criminali che agiscono a livello transnazionale.
Nonostante le vittorie, le imprese e le istituzioni, soprattutto quelle colpite, sanno bene che è meglio non arrivarci proprio. Meglio è affidarsi ai vettori dell’acronimo Acronis SAPAS, salvaguardia, accessibilità, privacy, autenticità e sicurezza – per tempo.
Per saperne di più:
Acronis Italia Business Solutions
