Gli attacchi ransomware stanno aumentando di frequenza. Credito:Shutterstock
I recenti attacchi informatici di agosto a Bombardier Recreational Products e all'Ontario Cannabis Store evidenziano la continua piaga dei criminali informatici e dei ransomware.
Il ransomware è un codice malware, un software dannoso, che entra in un sistema informativo e blocca l'accesso al computer o ai suoi file finché la vittima non paga per ottenere una chiave o una password. Ransomware era un termine che non è entrato nel lessico popolare fino a circa 10 anni fa (ed è stato aggiunto all'Oxford English Dictionary nel 2018).
Ora si è evoluto e nel 2021 sono stati registrati 3.729 reclami di ransomware, con perdite di 49,2 milioni di dollari nelle sole infrastrutture critiche designate. Il pagamento medio del ransomware è aumentato dell'82%, raggiungendo il record di $ 570.000 nella prima metà del 2021.
E andrà solo peggio. L'Internet Crime Complaint Center dell'FBI ha segnalato 2.084 denunce di ransomware da gennaio al 31 luglio 2021, con un aumento del 62% anno su anno.
Per qualsiasi organizzazione, gli attacchi informatici non sono una questione di "se", ma di "quando":un attacco informatico è inevitabile. Questo costringe i leader a chiedersi:paghiamo il riscatto o no?
Circa la metà di tutte le organizzazioni sceglie di pagare un riscatto. Ma ciò significa anche che circa la metà non lo fa. Ciò che rende questo un problema particolarmente malvagio è che non esiste una risposta corretta o una struttura chiara. Quindi la domanda diventa:a quali condizioni dovrebbe essere pagato un riscatto? E quali fattori possono aiutare i leader a prendere questa decisione?
Blocco dell'accesso
Ci sono quattro azioni principali che il ransomware può eseguire, incarnate nell'acronimo LED:Lock, Encrypt, Delete o Steal. Il ransomware può bloccare o impedire l'accesso ai dati o a un sistema informativo, richiedendo una chiave per essere sbloccato. Allo stesso modo, può consentire l'accesso, ma i dati sono incomprensibili poiché sono stati crittografati sul posto, richiedendo ancora una volta una chiave di decrittazione per renderli leggibili. I dati possono essere cancellati sul posto (cancellati) o venduti al miglior offerente.
Ciò che rende gli attacchi ransomware di oggi particolarmente dannosi e insidiosi è che spesso implementano più di uno di questi effetti.
Una volta che il malware è incorporato nel sistema di un'organizzazione, i criminali contattano la vittima, di solito tramite un'e-mail anonima o tramite il malware stesso (finestra pop-up) chiedendo il pagamento immediato di un riscatto in criptovaluta e in genere minacciando ulteriori danni.
Il pagamento del riscatto può comportare la fornitura di una chiave di decrittazione che, una volta inserita nella finestra pop-up, sblocca immediatamente il sistema e tutto ciò che è stato crittografato.
Considerazioni prima del pagamento
Ci sono due dimensioni da considerare quando si decide di pagare un riscatto:la decisione aziendale e quella etica.
Le forze dell'ordine, inclusi l'FBI e l'RCMP, sconsigliano categoricamente di non pagare mai un riscatto. Lo fanno per due buoni motivi:in primo luogo, premia e incoraggia l'attività criminale. In secondo luogo, può mettere ulteriormente in pericolo l'organizzazione quando viene a sapere nei circoli degli hacker che si tratta di un'organizzazione disposta a pagare.
In altre parole, potrebbe non far sparire il crimine e potrebbe renderti ancora più un bersaglio.
Se i criminali non sono una nota organizzazione terroristica, il pagamento di un riscatto non è un crimine. Ciò potrebbe cambiare, poiché alcuni paesi, in particolare gli Stati Uniti, stanno proponendo l'emanazione di Sanctions Compliance Laws che criminalizzano tutti i pagamenti di riscatto informatico. Potrebbe essere difficile attribuire l'attacco, motivo per cui gli hacker spesso si identificano con le loro vittime.
Un crimine onesto
C'è un caso aziendale convincente da presentare per il pagamento di una richiesta di riscatto. Il crimine funziona perché, se vuoi, è onesto. Cioè, il 70 percento delle volte, il pagamento di un riscatto comporterà la fornitura di una chiave di decrittazione valida.
Questo ha senso. Affinché i criminali possano trarre profitto da questo sforzo, devono mostrare buona fede e mantenere la loro promessa.
Anche i criminali lo sanno. Le campagne mirate vedono gli aggressori trascorrere in media quasi sei mesi all'interno della rete di un'azienda prima di mettere in atto malware di riscatto. Lo fanno per garantire che il loro malware abbia infettato il maggior numero possibile di sistemi, inclusi i backup; identificare ed estrarre gli oggetti di maggior valore; assicurarsi che non lascino tracce; e per raccogliere informazioni di business (come piani di risposta agli incidenti o polizze assicurative). Ciò consente loro di determinare l'importo massimo del riscatto da richiedere.
Questa è l'essenza della decisione del business case. Si supponga, ad esempio, che il costo di un evento di riscatto sia stimato in $ 500.000 (in base alle dimensioni del database, al tempo di ripristino, alla convalida dei dati al momento del ripristino e ad altre spese). Una richiesta di riscatto di $ 250.000 è chiaramente un'alternativa migliore perché non solo è più economica, ma anche più veloce dell'alternativa.
Le organizzazioni possono calcolare il costo di vari incidenti e determinare, in linea di principio, la loro disponibilità a pagare per ogni possibile scenario di riscatto. Ciò porta allo sviluppo di quella che viene definita matrice di pagamento ransomware per l'organizzazione.
Dimensioni morali
Tuttavia, c'è anche una dimensione morale o etica in questa decisione. I pagamenti ai criminali potrebbero non essere coerenti con i valori fondamentali, la cultura o il codice etico dell'organizzazione. Anche se lo sono, questo potrebbe non adattarsi bene ai dipendenti dell'azienda, ai clienti e alle altre parti interessate.
Esistono molti quadri e teorie che si occupano di etica sul posto di lavoro e i leader devono avvalersi di uno o più. Questo li aiuterà a prendere una decisione in merito al pagamento di un riscatto perché, sebbene possa avere un grande senso per gli affari pagare un riscatto, potrebbe non essere la cosa giusta da fare per l'organizzazione.
Invece, l'organizzazione può scegliere di investire fondi che altrimenti andrebbero a pagare un riscatto in sistemi di formazione, protezione informatica e aggiornamento e patch.
Qualunque sia la decisione, è fondamentale esplorare tutte le opzioni ben prima che si verifichino attacchi informatici. Ciò include lo svolgimento di discussioni con dipendenti, clienti e altre parti interessate. Include anche assicuratori (che sono sempre più restii ad assicurarsi contro gli eventi ransomware) e le forze dell'ordine.
Accettare l'inevitabilità di un attacco informatico ed esplorare a fondo diversi scenari avrà il duplice effetto non solo di prepararsi all'attacco, ma anche di consentire una risposta più efficace quando si verifica. + Esplora ulteriormente
Questo articolo è stato ripubblicato da The Conversation con licenza Creative Commons. Leggi l'articolo originale.