Secondo uno studio di Check Point Software, negli ultimi 3 mesi c’è stato un aumento del 50% di attacchi «ransomware» giornalieri rispetto alla prima metà dell’anno in corso. E quando si verifica un attacco informatico ad essere colpita è anche la fiducia dei manager nella propria capacità di farvi fronte, come risulta da un’altra indagine dell’inglese Sophos. Un problema pressante ora che molte aziende stanno organizzando lo «smart working» dei propri dipendenti, perché gli attacchi «ransomware» che richiedono il pagamento di un riscatto per sbloccare i computer si fanno sempre più aggressivi.

È il caso di Ryuk, un «ransomware» progettato per interrompere di netto l’operatività aziendale. Sophos ha notato che nel giro di tre ore e mezza dall’apertura di un allegato di email di «phishing» da parte di un impiegato aziendale, i cybercriminali riescono a prendere possesso della rete aziendale e in poco più di 24 ore sono già pronti a lanciare Ryuk con i danni che possiamo immaginare. Ed è proprio la velocità di esecuzione dell’attacco e il panico che esso genera a indurre le aziende a pagare.

Però mentre prima pagare il riscatto non era comunque garanzia di poter riavere l’accesso ai computer, spesso accadeva: le aziende pagavano e potevano ripristinare i loro sistemi. È quello che è successo nell’agosto scorso all’azienda di tracker e dispositivi tecnologici Garmin, la più gettonata tra runner e ciclisti, che, dopo un attacco «ransomware» e, pare, un esborso di dieci milioni di dollari, è tornata pienamente operativa.
Ma pagare, cosa sempre sconsigliata, potrebbe non bastare più. Adesso i criminali per essere pagati velocemente minacciano di divulgare i dati criptati e trafugati con l’obiettivo di rovinare la reputazione alle aziende coinvolte. La chiamano doppia estorsione: si paga per riavere i dati e tacere sull’accaduto.

Negli ultimi mesi si è però rafforzato il trend di uno schema d’attacco ancora più complesso. Nel caso in cui la risposta dell’azienda attaccata si faccia attendere per uno stallo nelle trattative o un ritardo nei pagamenti, i delinquenti lanciano un massiccio attacco per ingolfare i siti aziendali (DDoS).

Questo spiega in parte perché la ricerca di Sophos ha dimostrato che gli It manager dopo un attacco «ransomware» si sentono inadeguati e incapaci di reagire. Ma dopo c’è un effetto di rimbalzo. Più di un terzo (35%) delle vittime di attacchi «ransomware» ha dichiarato che identificare e assumere esperti di sicurezza diventa una sfida prioritaria, al contrario dei manager delle aziende non colpite.
L’indagine, condotta su 5.000 manager dimostra inoltre che chi ha subito attacchi «ransomware» tende a investire più tempo e risorse nella gestione degli incidenti di sicurezza rispetto a chi non ha subito tale tipologia di attacco: il 27% contro il 22%.

La priorità rimane quella di non subire attacchi di successo. E secondo Chester Wisniewski di Sophos «si può fare soltanto riuscendo a comprendere e identificare meglio i comportamenti degli aggressori».
Per farlo, un possibile riferimento è il sito Doubleextortion.com creato da Luca Mella, ingegnere esperto di cybersecurity, che ha realizzato uno strumento ad hoc per visualizzare il trend di questo fenomeno e capire come agiscono i criminali individuando gli ambiti produttivi più colpiti dalla doppia estorsione. Usando fonti aperte e informazioni provenienti dai forum underground, la mappa sul sito mostra come attualmente i settori presi maggiormente di mira siano quelli agroalimentare, tecnologico, delle telecomunicazioni e, in misura minore, quello legale.