Rapporto sul rischio ransomware: Abbracciare la mentalità dell'assunzione della violazione

Vittime colpite più volte, il 78% ha pagato il riscatto

Uno studio globale condotto su 900 professionisti dell'IT e della sicurezza rivela che il 74% delle organizzazioni prese di mira dal ransomware è stato attaccato più volte e che il 78% delle organizzazioni vittime ha pagato un riscatto, evidenziando un ciclo di violazioni che causano danni crescenti in termini di perdite di fatturato, costi operativi e, in alcuni casi, salute e sicurezza delle persone.

Ottenere il rapporto

Dobbiamo assumere uno stato di minaccia sempre presente. Non si tratta solo dei casi famosi di cui si parla ogni trimestre o giù di lì. Questo accade ogni giorno, tutti i giorni, a una serie di aziende.
Chris Inglis, consulente strategico di Semperis e primo direttore nazionale statunitense per la cibernetica, ex vicedirettore dell'NSA

Frequenza, gravità e conseguenze allarmanti degli attacchi

Il ransomware, un tempo minaccia sporadica, si è evoluto in un avversario implacabile. I gruppi criminali orchestrano attacchi multipli in rapida successione, sfruttando le vulnerabilità delle organizzazioni. I sistemi critici, tra cui Microsoft Active Directory, sono uno dei principali obiettivi degli attacchi.

Il Rapporto sul rischio di ransomware 2024 rivela statistiche preoccupanti per i responsabili aziendali, IT e della sicurezza.

Ottenere il rapporto

83%

delle organizzazioni che hanno risposto sono state vittime di un attacco ransomware negli ultimi 12 mesi

74%

delle vittime di ransomware sono state attaccate più volte

78%

Il 32% delle vittime ha pagato il riscatto (il 32% ha pagato 4 volte o più).

35%

delle vittime che hanno pagato il riscatto non hanno ricevuto le chiavi di decrittazione o non sono state in grado di recuperare i propri file e beni

Quando si verificano attacchi multipli, tendono a verificarsi in rapida successione. Questi dati suggeriscono che più bande criminali stanno sfruttando le vulnerabilità delle organizzazioni per sferrare un secondo o un terzo attacco dannoso, in alcuni casi contemporaneamente.
Simon Hodgkinson Consulente strategico di Semperis ed ex CISO di Bp

Fare i conti con il ransomware

Le aziende subiscono attacchi ransomware di successo più volte nello stesso anno, con conseguenti chiusure, licenziamenti, perdita di fatturato e di fiducia dei clienti e annullamento dell'assicurazione informatica.

74%

delle aziende sono state attaccate dal ransomware non una, ma più volte-54% nello stesso giorno e la maggior parte nell'arco di una settimana.

78%

delle organizzazioni prese di mira ha pagato il riscatto - il 72% ha pagato più volte e il 32% ha pagato 4 volte o più.

Il costo del pagamento a un gruppo di ransomware non è la fine del danno. Inoltre, alcuni attacchi non sono motivati dal denaro, ma mirano piuttosto a causare caos e interruzioni.
Mickey Bresman CEO di Semperis

Gli attacchi causano perdite di dati e interruzioni dell'attività, anche per le vittime con backup generici

Gli attacchi ransomware causano disagi diffusi e pervasivi, anche per le organizzazioni che dispongono di backup generali. Gli aggressori violano i sistemi attraverso sistemi operativi incorporati, tecnologie obsolete che non sono state sottoposte a regolari aggiornamenti di sicurezza e backdoor dimenticate da tempo.

In generale, la complessità è in aumento e non si può fare molto in un giorno. Il cloud computing non ha alleggerito l'onere o ridotto la complessità operativa. Dovete presumere che nella vostra rete si stiano verificando attività dannose e dovete essere in grado di trovarle e annullarle.
Guido Grillenmeier Principale Tecnologo Semperis (EMEA)

Le aziende possono dire "no" al ransomware?

Sebbene il 70% degli intervistati disponesse di un piano di recupero delle identità, solo il 27% aveva sistemi di backup dedicati e specifici per l'AD. Il 61% delle vittime di ransomware ha richiesto più di un giorno per recuperare le funzionalità IT minime, prolungando le interruzioni dell'attività.

72%

delle vittime ha pagato il riscatto più volte

32%

pagato il riscatto 4 volte o più

Perché le aziende hanno pagato il riscatto?

Molti intervistati hanno indicato come motivo del pagamento del riscatto il desiderio di tornare alla normale attività il più rapidamente possibile. Altri, soprattutto quelli del settore IT/telecom, hanno pagato perché avevano un'assicurazione informatica per coprire i costi. Altri ancora ritengono che la minaccia ai pazienti, ai clienti, all'azienda o alla reputazione valga il prezzo del riscatto. Purtroppo, il pagamento del riscatto non garantisce il ricevimento di chiavi di decrittazione utilizzabili. Inoltre, gli aggressori spesso usano il ransomware per diffondere malware che può reinfettare i sistemi o causare altri danni.

Minaccia all'attività, ai clienti o alla reputazione

Accesso all'assicurazione informatica

Ripristino rapido delle attività aziendali

La vulnerabilità del sistema rende AD un bersaglio facile

Questione di vita o di morte

Il vero costo del ransomware

In qualsiasi organizzazione complessa, le decisioni relative al budget, al personale e alle risorse per la sicurezza sono un gioco di equilibri. Tuttavia, nel caso del ransomware, la leadership esecutiva potrebbe prendere queste decisioni senza una comprensione completa dei costi potenziali dopo un attacco. Il pagamento del riscatto non garantisce la ricezione di chiavi di decrittazione utilizzabili. Inoltre, gli aggressori spesso usano il ransomware per diffondere malware che può reinfettare i sistemi o causare altri danni. Un attacco riuscito costa in genere molto di più del pagamento di un riscatto.

Gli attacchi ransomware causano danni collaterali che vanno ben oltre il pagamento del riscatto

Il pagamento del riscatto è solo l'inizio dei costi derivanti da un attacco ransomware.

"Il costo del pagamento del riscatto non è la somma totale del danno effettivo", afferma Mickey Bresman, CEO di Semperis. "Alcuni attacchi non sono motivati dal denaro, ma mirano piuttosto a causare caos e interruzioni. Inoltre, il denaro pagato viene utilizzato per altre attività criminali, come il traffico di esseri umani, la droga e le armi".

Chris Inglis ha sottolineato che un attacco ransomware non è un evento unico o limitato nel tempo, che può essere affrontato rapidamente e poi superato.

"Si tratta di un evento che cambia la vita e che ha effetti duraturi e persistenti. La perdita di fiducia dei clienti, la perdita dell'assicurazione informatica, le azioni legali... questo controllo non si esaurisce mai".

Interruzione dell'attività

Chiusure temporanee o permanenti

Danno da marchio

Perdita di fatturato o di clienti

Multe, cause legali e annullamento della cyber assicurazione

Oltre l'80% di tutte le violazioni riguardano l'abuso delle credenziali

Licenziamenti e dimissioni

Poche aziende mantengono una protezione dell'identità dedicata

Il sistema di identità, in particolare Active Directory, è ora il perimetro di sicurezza delle organizzazioni aziendali. La digitalizzazione dell'azienda moderna ha eliminato l'idea di un perimetro difendibile, creando un panorama complesso per i professionisti della sicurezza e un'ampia superficie di attacco per i criminali informatici. Senza backup specifici per AD, privi di malware, e senza un piano di ripristino testato e specifico per il cyber, il recupero si prolungherà, aumentando la possibilità che l'organizzazione decida di pagare un riscatto per ripristinare le operazioni aziendali.

Al centro di tutta questa discussione c'è la redditività aziendale: la capacità dell'azienda di realizzare le proprie aspirazioni e i propri impegni per conto degli azionisti e dei clienti. Gli aggressori cercano di mettere a rischio questo aspetto per poter poi convincere l'utente a rilevarlo. Se riescono a portare a termine con successo un attacco all'identità, allora possiedono un privilegio che possono utilizzare a loro vantaggio.
Chris Inglis, consulente strategico di Semperis e primo direttore nazionale Cyber degli USA

Tutto si riferisce al nucleo dell'accesso. Una volta che un attaccante ottiene l'accesso di livello 0, il tempo a disposizione per proteggere l'infrastruttura rimanente è limitato.
Jeff Wichman Direttore senior della risposta agli incidenti

Ogni minuto di inattività del sistema di identità è estremamente doloroso. Ho parlato con un cliente che ha testato il piano di ripristino di Active Directory (AD) con i sistemi in uso. Hanno concluso che la mitigazione di un attacco richiede sette giorni. Questo non è accettabile, perché significa che anche tutto il resto dell'organizzazione sarà fuori uso per sette giorni.
Mickey Bresman CEO di Semperis

Non mi sorprende che la maggior parte dei ransomware prenda di mira il sistema di identità. Se un aggressore vuole creare il massimo impatto per estorcere denaro, vuole prendere il controllo del vostro ambiente e vorrà assolutamente possedere Active Directory. Una volta compromessa Active Directory, gli attori delle minacce hanno in mano le chiavi del vostro regno.
Simon Hodgkinson Consulente strategico di Semperis ed ex CISO di Bp

Perché le organizzazioni non danno priorità alla difesa dal ransomware?

Le organizzazioni devono affrontare diverse sfide per mettere in atto una strategia di difesa stratificata contro il ransomware. La maggior parte degli intervistati ha riferito che il principale ostacolo alla resilienza è la mancanza di supporto da parte del consiglio di amministrazione.

Chris Inglis osserva che una cybersecurity efficace richiede un approccio su tre fronti: dottrina aziendale, sviluppo delle competenze e tecnologia. Primo passo: Spiegare il valore della sicurezza identity-first in termini aziendali

"La tecnologia può aiutarci ad analizzare e valutare ciò che sta accadendo, momento per momento", afferma Inglis. "Può aiutarci a rispondere più rapidamente e a recuperare più velocemente. Ma la cosa che più manca ora è la consapevolezza collettiva che tutti noi abbiamo un ruolo da svolgere. Questo inizia con il consiglio di amministrazione, non con il reparto IT. Il consiglio di amministrazione è responsabile; la SEC lo ha chiarito. Le normative sono sempre più chiare: la cybersecurity è un problema aziendale".

Mancanza di supporto da parte del consiglio di amministrazione

Vincoli di budget

Sistemi obsoleti o legacy

Carenza di personale

Regolamenti sulla sicurezza informatica

Le persone tendono a dedicare risorse e sforzi alla protezione degli endpoint. Ma le minacce superano l'endpoint. E una volta entrati nella rete, passano attraverso l'intero sistema di identità. Quale difesa avete quando questo accade? Perché una volta che possiedono il sistema di identità, hanno tutto il potere. Se il sistema di identità si blocca, nessuna delle altre soluzioni funzionerà.
Sean Deuby Semperis Principale Tecnologo (Nord America)

Altre risorse

Per saperne di più su come prevenire, rilevare e rispondere agli attacchi basati sull'identità.

Ecco Silver SAML: SAML d'oro nel cloud

Blog

Difesa dagli attacchi di iniezione LDAP: Sicurezza AD 101

Blog

Semperis DSP: migliorare la protezione di AD e Entra ID dalle minacce informatiche

Blog

Attacchi ad Active Directory: 5 metodi di attacco AD comuni

Blog

Visualizza tutti

Prova una demo personalizzata

Richiedi una demo: i nostri esperti di prodotto ti faranno provare le nostre soluzioni.

Richiedi una demo Visita la piattaforma

Nuovo rapporto Forrester TEI: Semperis riduce i tempi di inattività del 90%, facendo risparmiare milioni ai clienti

Semperis amplia il rilevamento degli attacchi basato su ML con un focus specializzato sul rischio di identità

Semperis si aggiudica per tre anni consecutivi la prestigiosa Guida ai programmi per i partner di CRN

Lo studio sui ransomware di Semperis rivela che l'86% delle vittime di ransomware è stato preso di mira durante un fine settimana o una festività

Semperis è stata nominata dalla rivista Inc. La rivista Inc. è stata inserita nell'elenco annuale dei migliori ambienti di lavoro per il terzo anno consecutivo.