Gli esperti di Check Point Research hanno analizzato le conseguenza economiche di un attacco ransomware, scoprendo che il riscatto è solo una piccola parte della spesa sostenuta dalle aziende. I costi complessivi possono essere fino a sette volte superiori, considerando le risorse e il tempo necessari per bloccare l’attacco, ripristinare e monitorare i sistemi. La ricerca ha evidenziato inoltre le sofisticate tecniche di negoziazione utilizzate dai cybercriminali.
Attacchi ransomware: costi molto elevati
Check Point Research ha rilevato nel primo trimestre 2022 un incremento del 24% degli attacchi ransomware rispetto allo stesso periodo del 2021, ma la durata è diminuita da una media di 15 giorni a circa 10 giorni. La ricerca, basata sulle attività del gruppo Conti, evidenzia innanzitutto come viene stabilito l’importo del riscatto. I cybercriminali considerano vari fattori, tra cui la posizione finanziaria della vittima, la qualità dei dati sottratti, la reputazione del gruppo ransomware, l’esistenza di un’assicurazione contro i cyberattacchi e l’approccio dei negoziatori delle vittime.
La somma da chiedere come riscatto non può essere né troppo alta (la negoziazione potrebbe durare troppo), né troppo bassa (i cybercriminali perderebbero credibilità). Il gruppo Conti ha chiesto riscatti tra lo 0,7% e il 5% delle entrate delle aziende colpite, quindi una media del 2,85%. Il processo di negoziazione avviene in cinque passi principali.
Dopo aver rubato i dati, il gruppo Conti minaccia di pubblicarli online se non viene pagato il riscatto. Successivamente viene offerto uno sconto in caso di pagamento rapido. A questo punto inizia la vera e propria negoziazione, durante la quale l’azienda cerca di ottenere uno sconto aggiuntivo. Dopo qualche giorno, i cybercriminali offrono un’ultima possibilità. Se la vittima accetta di pagare, il gruppo fornirà la chiave per decifrare i file.
Per evitare il blocco dell’attività e costi molto più alti del riscatto, le aziende devono adottare un piano di backup, in modo da ripristinare subito i dati. È inoltre necessario informare i dipendenti sui pericoli (ad esempio, il phishing), utilizzare l’autenticazione in due fattori, mantenere aggiornati sistema operativo e applicazioni, installare una soluzione di sicurezza completa, come BitDefender GravityZone.