pagare il riscatto ransomware

Le aziende colpite dal ransomware spesso hanno poche alternative di salvezza: sappiamo che non esistono soluzioni per rimuovere un’infezione ransomware una volta che questa è arrivata all’interno dei sistemi. Ciò che l’azienda colpita può fare è unicamente formattare i dispositivi colpiti e bonificare la rete e successivamente ripristinare eventuali copie di backup.

Qualora anche i backup aziendali fossero stati a loro volta compromessi e di conseguenza, resi inutilizzabili, la vittima ha ben poche speranze di riavere accesso ai suoi file: l’unica strada che si può intentare è chiaramente il pagamento del riscatto ransomware, nella speranza che la cybergang fornisca la chiave di decriptazione.

Ricordiamo sempre a tutti i nostri lettori una premessa fondamentale: pagare il riscatto implica un forte rischio di incorrere in procedimenti legali.

Per questa ragione e per molte altre, il tema del pagamento dei ransomware costituisce un punto dolente.
A chi rivolgersi per l’assistenza ransomware?
Come comportarsi in caso di attacco ransomware e richiesta di riscatto?

Confrontiamoci insieme su questo argomento. Per un’organizzazione, la posta in gioco è davvero ingente.

Sommario degli argomenti

La posizione di alcuni enti in merito al tema del pagamento dei riscatti ransomware

In molti si sono schierati  in merito al tema del pagamento dei riscatti ransomware, specialmente in seguito a casi eclatanti quali l’attacco a Colonial Pipeline del 2021. L’azienda che dichiarò di essere stata violata da ransomware REvil fu costretta a versare oltre 4 milioni di dollari per la restituzione dei dati sottratti. Ma non è certo la sola.

Secondo il Veeam Ransomware Threat Report, nel 2022 oltre il 70% delle aziende intervistate (e che in precedenza avevano subito un attacco di cryptovirus) dichiarò di aver pagato le cybergang che li aveva attaccati.

Negli ultimi anni, l’importo pagato dalle stesse aziende vittime di ransomware ha subito un forte rialzo: quasi il +300%.

Tuttavia, tra gli enti che si sono esposti sull’argomento raccogliamo la posizione del FBI, la quale ha più volte dichiarato che il pagamento di un riscatto ransomware non garantisce all’organizzazione di recuperare i dati. Al contrario, un’azione di questo tipo incoraggia le stesse cybergang a prendere di mira un maggior numero di vittime e incentiva altri possibili affiliati a partecipare.

Lo stesso Dipartimento del Tesoro Americano (OFAC) dichiarò nel 2020 veniva ufficialmente considerata un’attività illegale pagare una cifra di riscatti a criminali informatici.

6 aziende su 10 hanno subito nel 2022 l’attacco di almeno un ransomware.

Pagare il riscatto ransomware: come comportarsi?

Siamo giunti alla fatidica domanda:

è giusto cedere al ricatto di un ransomware per riavere accesso ai file aziendali?

In generale, in quanto specialisti vi consigliamo di non pagare un riscatto in caso di ransomware. Tuttavia, ogni caso necessità di un’attenta analisi.

Considerate sempre che il pagamento del riscatti non restituisce alcuna garanzia che gli attaccanti manterranno la loro parte del patto e decriptino i dati, anche a fronte del pagamento. Inoltre, anche nell’ipotesi in cui la cybergang vi restituisse il bottino non avrete la certezza che non possa esistere una copia del vostro database nei server di proprietà degli attaccanti.

Purtroppo, la probabilità che un sistema informatico già violato in passato sia esposto nuovamente ad altri attacchi in futuro è da considerarsi un aspetto oggettivo. Gli attaccanti potrebbero utilizzare le informazioni che hanno ottenuto per prendere di mira di nuovo il tuo sistema.

Se il sistema di un’azienda è stato infettato da ransomware, il miglior modo per affrontare la situazione è quello di rivolgersi a un esperto di sicurezza informatica e valutare la situazione nel suo complesso.

Pagare il riscatto ransomware: una questione di danno d’immagine

Avete mai pensato che pagare un riscatto potesse avere risvolti anche sulla credibilità della vostra azienda?

Purtroppo, tra gli aspetti da tenere in considerazione, l’aspetto che riguarda la reputazione di un’azienda che paga una cybergang non è certo da sottovalutare.
Considerato che anche in Italia, cedere alle richieste illecite di un gruppo di criminali è considerata una pratica illegale, il danno che questa scelta può comportare è considerevoli.

Questo anche perché la vostra scelta incoraggia i black hat a finanziare i futuri attacchi contro altre aziende al pari della vostra.

Come posso prevenire gli attacchi ransomware e il pagamento dei riscatti

La decisione riguardo il pagamento del riscatto ransomware o meno è una condizione che dipende in gran parte dal livello di sensibilità e preparazione al problema:

  • avete i giusti processi e un forte supporto in atto?
  • la vostra azienda ha fatto tutto ciò che era in suo potere per prevenire l’attacco ransomware?
  • quali conseguenze subirebbe la vostra azienda in caso di mancato pagamento del riscatto ransomware?

Disporre di una policy di gestione dei rischi informatici

Considerata la diffusione a macchia d’olio degli attacchi ransomware, molte aziende corrono ai ripari.
Tra le azioni di prevenzione da intraprendere indubbiamente c’è la gestione del rischio.

Chiamata policy antiransomware o policy di gestione dei rischi, l’obiettivo di questa documentazione è di definire regole e procedure specifiche per la gestione degli attacchi ransomware.

Queste policy definiscono i passaggi da seguire per proteggere i dati aziendali e minimizzare i danni causati da un attacco ransomware, nonché le azioni da intraprendere per ripristinare i dati in caso di cifratura.

Una buona policy dovrebbe includere le seguenti indicazioni:

  • Standard di sicurezza per la gestione e archiviazione dei documenti aziendali
  • Regole per l’utilizzo corretto di hardware e software
  • Contatti diretti dei responsabili della sicurezza informatica dell’azienda
  • Requisiti minimi per la formazione degli utenti/dipendenti sui rischi legati agli attacchi ransomware e sulle misure preventive da adottare
  • Definizione di un piano d’azione per gestire un attacco ransomware, comprese le azioni da intraprendere per ripristinare i dati criptati
  • Verifica periodica della policy di sicurezza interne per assicurarsi che sia sempre allineata alle esigenze aziendali e alle minacce informatiche in evoluzione.

Quant’è grave un attacco ransomware

Un attacco ransomware può avere conseguenze molto gravi per un’azienda, sia in termini di perdita di dati che di danni economici.

Innanzitutto, un attacco ransomware può causare la perdita di dati aziendali importanti, come ad esempio documenti, tabelle di calcolo, interi database e altri file vitali per il corretto funzionamento dell’azienda. La loro perdita può comportare la paralisi delle attività aziendali e la necessità di ricostruire uno storico di dati partendo da zero: un processo estremamente costoso e per niente istantaneo.

Tra i danni economici di maggior valore c’è ovviamente il costo del riscatto. In secondo luogo, c’è il costo del ripristino dei dati e delle attività aziendali, che può comportare la necessità di acquistare nuovo hardware o software, o di assumere personale specializzato per gestire il ripristino dei dati.

Quali sono le tempistiche di ripristino dati

Le tempistiche di ripristino dei dati dopo un attacco ransomware possono variare in base a una serie di fattori, tra cui la quantità di dati interessati e la disponibilità di una copia di backup sicura.

In generale, però, il ripristino dei dati può richiedere diversi giorni, a volte anche settimane o mesi, a seconda della gravità della situazione e della mole di informazioni.

Piano di continuità aziendale

Un piano di continuità aziendale è un documento che descrive come un’azienda può continuare a operare in caso d’interruzione delle attività, come ad esempio in seguito a un attacco ransomware. Il piano di continuità aziendale definisce le misure che l’azienda deve adottare per garantire la continuità delle operazioni essenziali, minimizzando al contempo i danni causati dall’interruzione.

Un piano di continuità aziendale può aiutare a minimizzare gli attacchi ransomware in diversi modi:

  • Fornire linee guida per la protezione delle infrastrutture e dei dati aziendali

    il piano di continuità aziendale può includere misure per proteggere le reti aziendali, i sistemi informatici e i dati sensibili da possibili attacchi ransomware.

  • Creazione di processi per il ripristino da un attacco

    il piano di continuità aziendale potrebbe contenere protocolli approfonditi per il ripristino delle operazioni in seguito ad un attacco ransomware. Queste pratiche possono aiutare l’organizzazione a gestire con ordine una situazione di crisi e riprendere prontamente le operazioni riducendo al minimo i danni causati dall’aggressione.

  • Prevedendo la creazione di un team di crisi e la definizione di ruoli e responsabilità

    il piano di continuità aziendale può prevedere la creazione di un team di crisi composto da dipendenti o fornitori esterni all’azienda con competenze specifiche in materia di sicurezza informatica. Il team di crisi può essere responsabile della gestione dell’emergenza e del ripristino delle operazioni in caso di attacco ransomware.
    Inoltre, il piano può definire i ruoli e le responsabilità di ciascun membro del team di crisi, in modo da garantire una gestione efficace dell’emergenza.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.

Your Content Goes Here