Pagare il riscatto ransomware: cosa sapere prima di decidere che cosa fare

Ricordiamo sempre a tutti i nostri lettori una premessa fondamentale: pagare l’importo del riscatto ransomware implica un forte rischio di incorrere in problemi legali.

Per questa ragione e per molte altre, il tema del pagamento dei ransomware costituisce un punto dolente.

A chi rivolgersi per l’assistenza ransomware?
Come comportarsi in caso di attacco ransomware e richiesta di riscatto? Confrontiamoci insieme su questo argomento. Per un’organizzazione, la posta in gioco è davvero ingente.

1. Pagamento dei riscatti ransomware: la posizione dello Stato
2. Pagare il riscatto ransomware: come comportarsi?
3. Una questione di danno d’immagine: pagare il riscatto ransomware
4. Prevenire gli attacchi ransomware e il pagamento dei riscatti ransomware
5. Quant’è grave un attacco ransomware?

In molti si sono schierati  in merito al tema del pagamento dei riscatti ransomware, specialmente in seguito a casi eclatanti quali l’attacco a Colonial Pipeline del 2021. L’azienda che dichiarò di essere stata violata da ransomware REvil fu costretta a versare oltre 4 milioni di dollari per la restituzione dei dati sottratti. Ma non è certo la sola.

Secondo il Veeam Ransomware Threat Report, nel 2022 oltre il 70% delle aziende intervistate (e che in precedenza avevano subito un attacco di cryptovirus) dichiarò di aver pagato le cybergang che li aveva attaccati.

Negli ultimi anni, l’importo pagato dalle stesse aziende vittime di ransomware ha subito un forte rialzo: quasi il +300%.

Tuttavia, tra gli enti che si sono esposti sull’argomento raccogliamo la posizione del FBI, la quale ha più volte dichiarato che il pagamento di un riscatto ransomware non garantisce all’organizzazione di recuperare i dati. Al contrario, un’azione di questo tipo incoraggia le stesse cybergang a prendere di mira un maggior numero di vittime e incentiva altri possibili affiliati a partecipare.
Lo stesso Dipartimento del Tesoro Americano (OFAC) dichiarò nel 2020 veniva ufficialmente considerata un’attività illegale pagare una cifra di riscatti a criminali informatici.

Siamo giunti alla fatidica domanda:
è giusto cedere al ricatto di un ransomware per riavere accesso ai file aziendali?

In generale, in quanto specialisti vi consigliamo di non pagare un riscatto in caso di ransomware. Tuttavia, ogni caso necessità di un’attenta analisi.

Considerate sempre che il pagamento del riscatto non restituisce alcuna garanzia che gli attaccanti manterranno la loro parte del patto e decriptino i dati, anche a fronte del pagamento. Inoltre, anche nell’ipotesi in cui la cybergang vi restituisse il bottino non avrete la certezza che non possa esistere una copia del vostro database nei server di proprietà degli attaccanti.

Purtroppo, la probabilità che un sistema informatico già violato in passato sia esposto nuovamente ad altri attacchi in futuro è da considerarsi un aspetto oggettivo. Gli attaccanti potrebbero utilizzare le informazioni che hanno ottenuto per prendere di mira di nuovo il tuo sistema.
Se il sistema di un’azienda è stato infettato da ransomware, il miglior modo per affrontare la situazione è quello di rivolgersi a un esperto di sicurezza informatica e valutare la situazione nel suo complesso.

Avete mai pensato che pagare un riscatto potesse avere risvolti anche sulla credibilità della vostra azienda?

Purtroppo, tra gli aspetti da tenere in considerazione, l’aspetto che riguarda la reputazione di un’azienda che paga una cybergang non è certo da sottovalutare.
Considerato che anche in Italia, cedere alle richieste illecite di un gruppo di criminali è considerata una pratica illegale, il danno che questa scelta può comportare è considerevoli.

Questo anche perché la vostra scelta incoraggia i black hat a finanziare i futuri attacchi contro altre aziende al pari della vostra.

La decisione riguardo il pagamento del riscatto ransomware o meno è una condizione che dipende in gran parte dal livello di sensibilità e preparazione al problema:

• avete i giusti processi e un forte supporto in atto?
• la vostra azienda ha fatto tutto ciò che era in suo potere per prevenire l’attacco ransomware?
• quali conseguenze subirebbe la vostra azienda in caso di mancato pagamento del riscatto ransomware?

Disporre di una policy di gestione dei rischi informatici

Considerata la diffusione a macchia d’olio degli attacchi ransomware, molte aziende corrono ai ripari.
Tra le azioni di prevenzione da intraprendere indubbiamente c’è la gestione del rischio.

Chiamata policy anti ransomware o policy di gestione dei rischi, l’obiettivo di questa documentazione è di definire regole e procedure specifiche per la gestione degli attacchi ransomware.

Queste policy definiscono i passaggi da seguire per proteggere i dati aziendali e minimizzare i danni causati da un attacco ransomware, nonché le azioni da intraprendere per ripristinare i dati in caso di cifratura.

Una buona policy dovrebbe includere le seguenti indicazioni:

• Standard di sicurezza per la gestione e archiviazione dei documenti aziendali
• Regole per l’utilizzo corretto di hardware e software
• Contatti diretti dei responsabili della sicurezza informatica dell’azienda
• Requisiti minimi per la formazione degli utenti/dipendenti sui rischi legati agli attacchi ransomware e sulle misure preventive da adottare
• Definizione di un piano d’azione per gestire un attacco ransomware, comprese le azioni da intraprendere per ripristinare i dati criptati
• Verifica periodica della policy di sicurezza interne per assicurarsi che sia sempre allineata alle esigenze aziendali e alle minacce informatiche in evoluzione.

Le tempistiche di ripristino dei dati dopo un attacco ransomware possono variare in base a una serie di fattori, tra cui la quantità di dati interessati e la disponibilità di una copia di backup sicura.

In generale, però, il ripristino dei dati può richiedere diversi giorni, a volte anche settimane o mesi, a seconda della gravità della situazione e della mole di informazioni.

Un piano di continuità aziendale è un documento che descrive come un’azienda può continuare a operare in caso d’interruzione delle attività, come ad esempio in seguito a un attacco ransomware. Il piano di continuità aziendale definisce le misure che l’azienda deve adottare per garantire la continuità delle operazioni essenziali, minimizzando al contempo i danni causati dall’interruzione.

Un piano di continuità aziendale può aiutare a minimizzare gli attacchi ransomware e in conseguenza, il pagamento di riscatti ransomware in diversi modi:

• Affidarsi ad un team di esperti di sicurezza informatica
• Fornire linee guida per la protezione delle infrastrutture e dei dati aziendali
  il piano di continuità aziendale può includere misure per proteggere le reti aziendali, i sistemi informatici e i dati sensibili da possibili attacchi ransomware.
• Creazione di processi per il ripristino da un attacco
  il piano di continuità aziendale potrebbe contenere protocolli approfonditi per il ripristino delle operazioni in seguito ad un attacco ransomware. Queste pratiche possono aiutare l’organizzazione a gestire con ordine una situazione di crisi e riprendere prontamente le operazioni riducendo al minimo i danni causati dall’aggressione.
• Prevedendo la creazione di un team di crisi e la definizione di ruoli e responsabilità
  il piano di continuità aziendale può prevedere la creazione di un team di crisi composto da dipendenti o fornitori esterni all’azienda con competenze specifiche in materia di sicurezza informatica. Il team di crisi può essere responsabile della gestione dell’emergenza e del ripristino delle operazioni in caso di attacco ransomware.
  Inoltre, il piano può definire i ruoli e le responsabilità di ciascun membro del team di crisi, in modo da garantire una gestione efficace dell’emergenza.