NUOVO studio Semperis sul ransomware: Le aziende dovrebbero presumere attacchi costanti

Novembre. New Orleans.
Senza scuse.

La conferenza sulla protezione delle identità ibride si terrà a NOLA e siete invitati! Scoprite le ultime novità in materia di ITDR, resilienza operativa e miglioramento della vostra posizione di sicurezza. Siete alla moda o siete HIP?

Registra il tuo essere rad
Rapporto sul rischio ransomware: Abbracciare la mentalità dell'assunzione della violazione

Vittime colpite più volte, il 78% ha pagato il riscatto

Uno studio globale condotto su 900 professionisti dell'IT e della sicurezza rivela che il 74% delle organizzazioni prese di mira dal ransomware è stato attaccato più volte e che il 78% delle organizzazioni vittime ha pagato un riscatto, evidenziando un ciclo di violazioni che causano danni crescenti in termini di perdite di fatturato, costi operativi e, in alcuni casi, salute e sicurezza delle persone.

Ottenere il rapporto

Dobbiamo assumere uno stato di minaccia sempre presente. Non si tratta solo dei casi famosi di cui si parla ogni trimestre o giù di lì. Questo accade ogni giorno, tutti i giorni, a una serie di aziende.

Chris Inglis, consulente strategico di Semperis e primo direttore nazionale statunitense per la cibernetica, ex vicedirettore dell'NSA

Frequenza, gravità e conseguenze allarmanti degli attacchi

Il ransomware, un tempo minaccia sporadica, si è evoluto in un avversario implacabile. I gruppi criminali orchestrano attacchi multipli in rapida successione, sfruttando le vulnerabilità delle organizzazioni. I sistemi critici, tra cui Microsoft Active Directory, sono uno dei principali obiettivi degli attacchi.

Il Rapporto sul rischio di ransomware 2024 rivela statistiche preoccupanti per i responsabili aziendali, IT e della sicurezza.

Ottenere il rapporto
83%
delle organizzazioni che hanno risposto sono state vittime di un attacco ransomware negli ultimi 12 mesi
74%
delle vittime di ransomware sono state attaccate più volte
78%
Il 32% delle vittime ha pagato il riscatto (il 32% ha pagato 4 volte o più).
35%
delle vittime che hanno pagato il riscatto non hanno ricevuto le chiavi di decrittazione o non sono state in grado di recuperare i propri file e beni

Quando si verificano attacchi multipli, tendono a verificarsi in rapida successione. Questi dati suggeriscono che più bande criminali stanno sfruttando le vulnerabilità delle organizzazioni per sferrare un secondo o un terzo attacco dannoso, in alcuni casi contemporaneamente.

Simon Hodgkinson Consulente strategico di Semperis ed ex CISO di Bp

Fare i conti con il ransomware

Le aziende subiscono attacchi ransomware di successo più volte nello stesso anno, con conseguenti chiusure, licenziamenti, perdita di fatturato e di fiducia dei clienti e annullamento dell'assicurazione informatica.

74%

delle aziende sono state attaccate dal ransomware non una, ma più volte-54% nello stesso giorno e la maggior parte nell'arco di una settimana.

78%

delle organizzazioni prese di mira ha pagato il riscatto - il 72% ha pagato più volte e il 32% ha pagato 4 volte o più.

Mickey Bresman, CEO di Semperis

Il costo del pagamento a un gruppo di ransomware non è la fine del danno. Inoltre, alcuni attacchi non sono motivati dal denaro, ma mirano piuttosto a causare caos e interruzioni.

Mickey Bresman CEO di Semperis

Gli attacchi causano perdite di dati e interruzioni dell'attività, anche per le vittime con backup generici

Gli attacchi ransomware causano disagi diffusi e pervasivi, anche per le organizzazioni che dispongono di backup generali. Gli aggressori violano i sistemi attraverso sistemi operativi incorporati, tecnologie obsolete che non sono state sottoposte a regolari aggiornamenti di sicurezza e backdoor dimenticate da tempo.

In generale, la complessità è in aumento e non si può fare molto in un giorno. Il cloud computing non ha alleggerito l'onere o ridotto la complessità operativa. Dovete presumere che nella vostra rete si stiano verificando attività dannose e dovete essere in grado di trovarle e annullarle.

Guido Grillenmeier Principale Tecnologo Semperis (EMEA)

Le aziende possono dire "no" al ransomware?

Sebbene il 70% degli intervistati disponesse di un piano di recupero delle identità, solo il 27% aveva sistemi di backup dedicati e specifici per l'AD. Il 61% delle vittime di ransomware ha richiesto più di un giorno per recuperare le funzionalità IT minime, prolungando le interruzioni dell'attività.

72%

delle vittime ha pagato il riscatto più volte

32%

pagato il riscatto 4 volte o più

Perché le aziende hanno pagato il riscatto?

Molti intervistati hanno indicato come motivo del pagamento del riscatto il desiderio di tornare alla normale attività il più rapidamente possibile. Altri, soprattutto quelli del settore IT/telecom, hanno pagato perché avevano un'assicurazione informatica per coprire i costi. Altri ancora ritengono che la minaccia ai pazienti, ai clienti, all'azienda o alla reputazione valga il prezzo del riscatto. Purtroppo, il pagamento del riscatto non garantisce il ricevimento di chiavi di decrittazione utilizzabili. Inoltre, gli aggressori spesso usano il ransomware per diffondere malware che può reinfettare i sistemi o causare altri danni.

Minaccia all'attività, ai clienti o alla reputazione
Accesso all'assicurazione informatica
Ripristino rapido delle attività aziendali
La vulnerabilità del sistema rende AD un bersaglio facile
Questione di vita o di morte

Il vero costo del ransomware

In qualsiasi organizzazione complessa, le decisioni relative al budget, al personale e alle risorse per la sicurezza sono un gioco di equilibri. Tuttavia, nel caso del ransomware, la leadership esecutiva potrebbe prendere queste decisioni senza una comprensione completa dei costi potenziali dopo un attacco. Il pagamento del riscatto non garantisce la ricezione di chiavi di decrittazione utilizzabili. Inoltre, gli aggressori spesso usano il ransomware per diffondere malware che può reinfettare i sistemi o causare altri danni. Un attacco riuscito costa in genere molto di più del pagamento di un riscatto.

Gli attacchi ransomware causano danni collaterali che vanno ben oltre il pagamento del riscatto

Il pagamento del riscatto è solo l'inizio dei costi derivanti da un attacco ransomware.

"Il costo del pagamento del riscatto non è la somma totale del danno effettivo", afferma Mickey Bresman, CEO di Semperis. "Alcuni attacchi non sono motivati dal denaro, ma mirano piuttosto a causare caos e interruzioni. Inoltre, il denaro pagato viene utilizzato per altre attività criminali, come il traffico di esseri umani, la droga e le armi".

Chris Inglis ha sottolineato che un attacco ransomware non è un evento unico o limitato nel tempo, che può essere affrontato rapidamente e poi superato.

"Si tratta di un evento che cambia la vita e che ha effetti duraturi e persistenti. La perdita di fiducia dei clienti, la perdita dell'assicurazione informatica, le azioni legali... questo controllo non si esaurisce mai".

La vulnerabilità del sistema rende AD un bersaglio facile
Interruzione dell'attività
Chiusure temporanee o permanenti
Danno da marchio
Perdita di fatturato o di clienti
Multe, cause legali e annullamento della cyber assicurazione
Oltre l'80% di tutte le violazioni riguardano l'abuso delle credenziali
Licenziamenti e dimissioni

Poche aziende mantengono una protezione dell'identità dedicata

Il sistema di identità, in particolare Active Directory, è ora il perimetro di sicurezza delle organizzazioni aziendali. La digitalizzazione dell'azienda moderna ha eliminato l'idea di un perimetro difendibile, creando un panorama complesso per i professionisti della sicurezza e un'ampia superficie di attacco per i criminali informatici. Senza backup specifici per AD, privi di malware, e senza un piano di ripristino testato e specifico per il cyber, il recupero si prolungherà, aumentando la possibilità che l'organizzazione decida di pagare un riscatto per ripristinare le operazioni aziendali.

Al centro di tutta questa discussione c'è la redditività aziendale: la capacità dell'azienda di realizzare le proprie aspirazioni e i propri impegni per conto degli azionisti e dei clienti. Gli aggressori cercano di mettere a rischio questo aspetto per poter poi convincere l'utente a rilevarlo. Se riescono a portare a termine con successo un attacco all'identità, allora possiedono un privilegio che possono utilizzare a loro vantaggio.

Chris Inglis, consulente strategico di Semperis e primo direttore nazionale Cyber degli USA

Tutto si riferisce al nucleo dell'accesso. Una volta che un attaccante ottiene l'accesso di livello 0, il tempo a disposizione per proteggere l'infrastruttura rimanente è limitato.

Jeff Wichman Direttore senior della risposta agli incidenti

Ogni minuto di inattività del sistema di identità è estremamente doloroso. Ho parlato con un cliente che ha testato il piano di ripristino di Active Directory (AD) con i sistemi in uso. Hanno concluso che la mitigazione di un attacco richiede sette giorni. Questo non è accettabile, perché significa che anche tutto il resto dell'organizzazione sarà fuori uso per sette giorni.

Mickey Bresman CEO di Semperis

Non mi sorprende che la maggior parte dei ransomware prenda di mira il sistema di identità. Se un aggressore vuole creare il massimo impatto per estorcere denaro, vuole prendere il controllo del vostro ambiente e vorrà assolutamente possedere Active Directory. Una volta compromessa Active Directory, gli attori delle minacce hanno in mano le chiavi del vostro regno.

Simon Hodgkinson Consulente strategico di Semperis ed ex CISO di Bp

Perché le organizzazioni non danno priorità alla difesa dal ransomware?

Le organizzazioni devono affrontare diverse sfide per mettere in atto una strategia di difesa stratificata contro il ransomware. La maggior parte degli intervistati ha riferito che il principale ostacolo alla resilienza è la mancanza di supporto da parte del consiglio di amministrazione.

Chris Inglis osserva che una cybersecurity efficace richiede un approccio su tre fronti: dottrina aziendale, sviluppo delle competenze e tecnologia. Primo passo: Spiegare il valore della sicurezza identity-first in termini aziendali

"La tecnologia può aiutarci ad analizzare e valutare ciò che sta accadendo, momento per momento", afferma Inglis. "Può aiutarci a rispondere più rapidamente e a recuperare più velocemente. Ma la cosa che più manca ora è la consapevolezza collettiva che tutti noi abbiamo un ruolo da svolgere. Questo inizia con il consiglio di amministrazione, non con il reparto IT. Il consiglio di amministrazione è responsabile; la SEC lo ha chiarito. Le normative sono sempre più chiare: la cybersecurity è un problema aziendale".

Mancanza di supporto da parte del consiglio di amministrazione
Vincoli di budget
Sistemi obsoleti o legacy
Carenza di personale
Regolamenti sulla sicurezza informatica

Le persone tendono a dedicare risorse e sforzi alla protezione degli endpoint. Ma le minacce superano l'endpoint. E una volta entrati nella rete, passano attraverso l'intero sistema di identità. Quale difesa avete quando questo accade? Perché una volta che possiedono il sistema di identità, hanno tutto il potere. Se il sistema di identità si blocca, nessuna delle altre soluzioni funzionerà.

Sean Deuby Semperis Principale Tecnologo (Nord America)

Altre risorse

Per saperne di più su come prevenire, rilevare e rispondere agli attacchi basati sull'identità.

Ecco Silver SAML: SAML d'oro nel cloud

Ecco Silver SAML: SAML d'oro nel cloud

  • Blog
Difesa dagli attacchi di iniezione LDAP: Sicurezza AD 101

Difesa dagli attacchi di iniezione LDAP: Sicurezza AD 101

  • Blog
Semperis DSP: migliorare la protezione di AD e Entra ID dalle minacce informatiche

Semperis DSP: migliorare la protezione di AD e Entra ID dalle minacce informatiche

  • APRILE 19, 2024
  • Blog
Attacchi ad Active Directory: Perché le minacce informatiche prendono di mira l'AD

Attacchi ad Active Directory: Perché le minacce informatiche prendono di mira l'AD

  • Blog
Visualizza tutti