I costi nascosti degli attacchi Ransomware

Il ransomware è diventato un termine comune nel mondo della sicurezza ed è comprensibile che sia una delle principali preoccupazioni per gli operatori di sicurezza (SecOps). Nel più recente Rapporto sulla Difesa dal Ransomware, l’81% delle organizzazioni intervistate ha riferito di essere state colpite almeno una volta da un attacco di ransomware nei dodici mesi precedenti.

La minaccia del ransomware è così diffusa che è diventata la principale preoccupazione in termini di esposizione cibernetica tra i professionisti del rischio a livello globale, secondo l’annuale Allianz Risk Barometer. Questa classifica è significativa, considerando che gli stessi professionisti individuano gli incidenti informatici come la categoria di rischio complessiva più importante, prima delle interruzioni di attività e delle catastrofi naturali.

Tuttavia, sembra esserci una discrepanza tra l’interesse delle organizzazioni per la prevenzione del ransomware e la reale implementazione delle contromisure necessarie per difendersi in modo adeguato dalle tattiche di nuova generazione che portano agli attacchi.

I costi del Ransomware, includendo quelli meno ovvi

I danni materiali causati dagli attacchi di ransomware da soli possono essere enormi. Secondo i dati di Sophos, il riscatto medio da solo è stato di 1,54 milioni di dollari l’anno scorso, mentre il costo medio per la ripresa è stato di 1,82 milioni di dollari. Il rapporto annuale di IBM sul Costo di una Violazione dei Dati mostra un costo ancora più elevato per un attacco di ransomware: in media 5,13 milioni di dollari, senza contare il riscatto (superando il costo medio di 4,45 milioni di dollari di una violazione dei dati). La mitigazione non è l’unico costo: l’84% delle organizzazioni del settore privato riporta perdite di entrate.

I danni potenziali inflitti dal ransomware, tuttavia, non si fermano ai costi finanziari. A differenza delle violazioni dei dati o di altri attacchi che si verificano principalmente dietro le quinte, il ransomware è di solito un crimine molto visibile. Ciò significa che la reputazione del marchio potrebbe subire un colpo tanto grande quanto il bilancio. Ad esempio, il 46% delle organizzazioni ha subito danni alla loro reputazione e al marchio a seguito di un incidente di sicurezza informatica.

Sebbene sia difficile misurare i danni alla reputazione, i leader aziendali comprendono che sia un dato che influisce sul bilancio. In media, i dirigenti in tutto il mondo attribuiscono il 63% del valore di mercato della loro azienda alla reputazione complessiva. Pertanto, ha senso che il danno alla reputazione del marchio sia stato classificato dai partecipanti al sondaggio di SpyCloud come il secondo maggiore impatto di un attacco di ransomware sulla propria organizzazione. E queste preoccupazioni non sono infondate: oltre il 60% delle vittime di ransomware afferma di aver perso un cliente, e il 38% afferma di aver perso più clienti a causa del danno alla reputazione.

Un altro fattore di cui le aziende potrebbero non tenere conto è il personale. Trovarsi nel bel mezzo di un attacco di ransomware è un’esperienza stressante per tutti e anche i dipendenti non direttamente coinvolti nella mitigazione ne sono influenzati, con il 52% che riporta difficoltà a dormire e altri problemi di salute mentale. Inoltre, il 71% dei dipendenti afferma che la loro produttività è stata influenzata durante il recupero dal ransomware.

Questi tipi di esperienze negative contribuiscono all’insoddisfazione lavorativa. Che i dipendenti insoddisfatti lascino l’azienda o perdano semplicemente l’entusiasmo per il proprio lavoro, il bilancio aziendale ne soffrirà a lungo termine.

L’impatto del Ransomware sul Personale del SOC (Centro Operativo di Sicurezza)

Mentre tutti i dipendenti percepiscono gli effetti a catena di un attacco di ransomware, il personale del Centro Operativo di Sicurezza (SOC) è quello che subisce il colpo più duro durante la crisi e anche a lungo termine. Molte organizzazioni mancano degli strumenti di cui gli addetti alla risposta agli incidenti hanno bisogno per ottenere una visibilità completa su tutto il loro ecosistema e cercare di trovare risposte nel bel mezzo della crisi diventa rapidamente opprimente. Due direttori IT su nove riferiscono che i dipendenti che rispondono a un attacco di ransomware sono diventati così scoraggiati durante la prima settimana di risposta al ransomware che è stato necessario mandarli a casa.

Risolvere il ransomware richiede settimane e potenzialmente mesi, il che significa che gli analisti del SOC e gli addetti alla risposta agli incidenti devono svolgere un doppio compito (le normali operazioni di sicurezza e la pulizia aggiuntiva del ransomware) per un certo periodo. Alla fine del primo mese di risposta, il 57% dei dipendenti direttamente coinvolti nella rimozione sperimenta stanchezza, mentre il 25% segnala sentimenti di rabbia e tristezza. Di conseguenza, quasi un quinto considera di lasciare il lavoro a seguito dell’esperienza dell’attacco di ransomware. Dato il deficit di talenti in cybersecurity, attualmente stimato a livello globale in 3,4 milioni, questa rotazione del personale mette le organizzazioni a un alto rischio, lasciandole esposte a minacce cibernetiche senza un personale adeguato per difendersi da esse.

Come migliorare la prevenzione e la risposta al Ransomware? Migliorare la visibilità e automatizzare

Una delle principali ragioni per cui le organizzazioni hanno difficoltà con il ransomware è semplicemente a causa delle lacune nelle loro strategie di prevenzione. I dispositivi infetti da malware sono una delle minacce più comunemente trascurate e nascoste del ransomware. Molte squadre di sicurezza non hanno una visibilità completa sui rischi, in particolare quelli derivanti da dispositivi infetti da malware, che rappresentano porte aperte alle reti aziendali. Come abbiamo scoperto nel nostro ultimo rapporto sul ransomware del 2023:

  • Le infezioni specifiche da infostealer – come Raccoon, Vidar e Redline – aumentano la probabilità che un’azienda subisca un evento di ransomware.
  • Le aziende con infostealer Raccoon, Vidar e Redline hanno subito un evento di ransomware in media entro 16 settimane dall’infezione.

Senza una comprensione completa dell’entità della minaccia, dovuta alla mancanza di visibilità su tutti i dispositivi infetti, gli utenti e le applicazioni esposte, il team del SOC non può semplicemente mitigare i rischi a lungo termine del ransomware. I dati freschi che il malware infostealer sottrae da un dispositivo infetto forniscono ai criminali del ransomware un facile accesso alla rete. Finché queste informazioni, comprese le credenziali e i cookie di sessione per applicazioni critiche per la forza lavoro, inclusi SSO, rimangono attive, possono essere utilizzate per prendere di mira l’organizzazione.

A causa delle incomplete fasi di rimedio post-infezione, le organizzazioni rimangono a rischio di ransomware per mesi e forse anche più a lungo. Fortunatamente, il 98% dei partecipanti al nostro sondaggio sul ransomware concorda sul fatto che una migliore visibilità sui dati esfiltrati dal malware e flussi di lavoro automatizzati per il rimedio migliorerebbe la loro sicurezza complessiva. Un gran numero di queste organizzazioni sta anche dando priorità all’aggiunta o all’aggiornamento di flussi di lavoro per rimediare a cookie/token di sessione compromessi e per rimediare a password esposte nel corso dell’anno.

Le informazioni automatizzate che forniscono prove di compromissione, non solo avvisi, possono aiutare i responsabili della risposta al ransomware a intraprendere rapidamente misure di rimedio sui dati specifici che sono stati sottratti dai dispositivi infetti, anziché impiegare ore per trovare una causa radice e una soluzione.

In definitiva, le minacce del ransomware sono un rischio aziendale. E questo rischio non diminuirà nel breve periodo, poiché i criminali informatici vedono il ransomware come un’attività altamente redditizia. Garantire protezione da infezioni malware difficili da rilevare che fungono da precursori degli attacchi di ransomware, insieme all’implementazione di un rimedio completo post-infezione, sono passi concreti che qualsiasi organizzazione dovrebbe considerare come parte del suo programma di prevenzione del ransomware.

Articolo originale

Visita la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI