Il 93% degli attacchi informatici prende di mira il backup per costringere al pagamento di un riscatto
In occasione del VeeamON 2023, svoltosi dal 22 al 24 maggio a Miami, il colosso americano ha rivelato i risultati del Ransomware Trends Report 2023, da cui emerge che le organizzazioni di tutte le dimensioni sono sempre più spesso vittime di attacchi ransomware e non si proteggono adeguatamente da questa crescente minaccia informatica. Secondo il report un’organizzazione su sette vedrà colpiti quasi tutti i dati (>80%) a seguito di un attacco ransomware, evidenziando una significativa lacuna nella protezione. La ricerca evidenzia inoltre che gli aggressori prendono quasi sempre di mira i backup (93%+) durante gli attacchi informatici e riescono a indebolire la capacità di recupero delle vittime nel 75% dei casi, sottolineando l’importanza dell’immutabilità e dell’air gapping per garantire la protezione dei repository di backup.
Il Veeam 2023 Ransomware Trends Report riporta i dati di 1.200 organizzazioni colpite e di quasi 3.000 attacchi informatici, rendendolo uno dei più completi studi di settore. Gli intervistati rappresentano organizzazioni di tutte le dimensioni di 14 diversi Paesi dell’APJ, dell’EMEA e delle Americhe. L’indagine esamina gli elementi chiave di questi incidenti, il loro impatto sugli ambienti IT e le misure adottate o necessarie per implementare strategie di protezione dei dati che garantiscano la resilienza aziendale.
Secondo Alessio Di Benedetto, Technical Sales Director Southern Emea di Veeam, «È evidente il legame tra cybersecurity e data protection. Quest’ultima serve a proteggerci effettivamente davanti a un’interruzione del servizio, ma se prima le cause generiche di interruzione erano legate a mal funzionamenti hardware o software, ormai la causa dell’interruzione è il ransomware. Secondo il Report, l’85% delle organizzazioni ha subito infatti almeno un attacco informatico negli ultimi dodici mesi; un incremento rispetto al 76% riscontrato nell’anno precedente». Una strategia di data protection moderna deve essere integrata quindi con una strategia di sicurezza. «Veeam si integra e non si sovrappone alle soluzioni di cyber security. Non possiamo impedire che un attacco venga sferrato. Non forniamo strumenti di protezione, ma interveniamo per minimizzare i rischi e per aiutare i clienti a ripartire velocemente, anche se ancora oggi le organizzazioni fanno un po’ fatica a gestire il risk management planning».
Pagare il riscatto non è la soluzione
È importante, per le organizzazioni, tenere conto che il pagamento del riscatto non garantisce il recupero dei dati. Secondo il Report, la maggioranza (80%) delle organizzazioni intervistate ha pagato il riscatto per porre fine a un attacco e recuperare i dati, con un aumento del 4% rispetto all’anno precedente, nonostante il 41% abbia una politica “Do-Not-Pay”. Tuttavia, mentre il 59% ha pagato il riscatto ed è riuscito a recuperare i dati, il 21% ha pagato il riscatto ma non è riuscito a recuperare i propri dati. Inoltre, solo il 16% delle organizzazioni ha evitato di pagare il riscatto perché è riuscito a recuperare i dati dai backup. Purtroppo, la statistica globale delle organizzazioni in grado di recuperare i dati da sole senza pagare il riscatto è in calo rispetto al 19% dell’indagine dello scorso anno.
Una soluzione è rappresentata, in parte, dalle assicurazioni. Globalmente, il 77% dei riscatti è stato pagato dall’assicurazione, mentre l’82% delle vittime informatiche in Europa pagano tramite assicurazione. Detto questo, l’assicurazione informatica sta diventando sempre più complicata e costosa: il 12% delle organizzazioni afferma che il ransomware è stato ora specificamente escluso dalle loro polizze. Nel frattempo, chi dispone di un’assicurazione informatica ha assistito a cambiamenti significativi agli ultimi rinnovi della polizza. «In Europa l’utilizzo delle assicurazioni è più diffuso rispetto agli Stati Uniti (quasi nel 50% dei casi) – spiega Di Benedetto. «In ogni caso, non conviene dal punto di vista economico. Meglio affidarsi alla tecnologia. Veeam ha un approccio molto interessante che prevede monitoraggio attivo, protezione intelligente, ripartenza veloce».
In seguito a un attacco ransomware, i responsabili IT hanno infatti due possibilità: pagare il riscatto o ripristinare i dati attraverso il backup. Per quanto riguarda il ripristino, la ricerca rivela che in quasi tutti gli eventi informatici (93%) i criminali tentano di attaccare i repository di backup, con il risultato che il 75% perde almeno una parte dei repository di backup durante l’attacco e più di un terzo (39%) dei repository di backup va completamente perso.
Attaccando la soluzione di backup, gli aggressori eliminano l’opzione di recupero e obbligano essenzialmente a pagare il riscatto. Sebbene le best practice, come la protezione delle credenziali di backup, l’automazione delle scansioni di rilevamento informatico dei backup e la verifica automatica del ripristino dei backup, siano utili per proteggersi dagli attacchi, la tattica chiave consiste nel garantire che gli archivi di backup non possano essere eliminati o danneggiati. A tal fine, le aziende devono concentrarsi sull’immutabilità. La buona notizia è che, in base alle lezioni apprese da chi ha subito un attacco, l’82% utilizza cloud immutabili, il 64% dischi immutabili e soltanto il 2% degli intervistati dichiara di non avere l’immutabilità in almeno un livello della propria soluzione di backup.
Quando però è stato chiesto agli intervistati in che modo assicurano che i dati siano “puliti” durante il ripristino, il 44% degli intervistati ha effettuato una forma di controllo isolato per analizzare nuovamente i dati dagli archivi di backup prima di reintrodurli nell’ambiente di produzione. Purtroppo, ciò significa che la maggior parte delle organizzazioni (56%) corre il rischio di infettare di nuovo l’ambiente di produzione perché non dispone di un mezzo per garantire la pulizia dei dati durante il ripristino. Ecco perché è importante eseguire una scansione approfondita dei dati durante il processo di ripristino.
«È importante concentrarsi su un’efficace preparazione al ransomware partendo dalle basi, tra cui forti misure di sicurezza e test dei dati originali e dei backup, assicurando la sopravvivenza delle soluzioni di backup e garantendo l’allineamento tra i team di backup e informatici», spiega Di Benedetto.
La sensibilità delle aziende italiane è alta
Secondo il Report, sebbene molte organizzazioni considerino il ransomware un disastro e includano i cyberattacchi nella pianificazione della continuità operativa o del ripristino di emergenza (BC/DR), il 60% degli intervistati dichiara di aver bisogno di miglioramenti significativi o di una revisione completa dei team di backup e informatici per essere preparato a questo scenario.
«La sensibilità delle aziende italiane è alta. Il backup è come una tassa, va pagata. Ma il problema è il ransomware, una minaccia sempre più diffusa e significativa a livello globale. È necessario un impegno maggiore nell’adozione di pratiche e tecnologie adeguate per mitigare i rischi associati ai ransomware», conclude Di Benedetto.