Ransomware e furto di dati: sai quanto può costare alla tua impresa?

Il ransomware rappresenta una delle minacce informatiche più gravi per le imprese italiane: un attacco su quattro sarebbe di questo tipo¹. 

Si tratta, spesso, di attacchi molto onerosi: sul piatto della bilancia non c’è solo il danno economico diretto dovuto alla richiesta di riscatto, ma anche quello derivante dalla potenziale interruzione delle attività, il costo del tempo per il ripristino dello status-quo ante e la reputazione aziendale insieme alla fiducia dei clienti che possono essere messe a repentaglio specie nel caso in cui l’attacco implichi la compromissione di dati sensibili e coperti da privacy.

Comprendere la natura del ransomware, le modalità di attacco e le strategie di prevenzione è fondamentale per proteggere la tua impresa.

Il ransomware è un programma informatico (software) capace di entrare nel computer, o altri dispositivi digitali, e compromettere i suoi sistemi in modo da impedire l’accesso ai dati. Una volta entrato nel computer, questo software cripta i dati rendendoli inaccessibili ai suoi proprietari legittimi². 

La caratteristica specifica degli attacchi chiamati ransomware è che gli hacker bloccano l’accesso ai database e poi richiedono un riscatto in denaro (che in inglese si dice, per l’appunto, ransom) per ripristinare gli accessi.

Esistono ransomware che cifrano i dati (crypto-ransomware) rendendoli illeggibili e altri che, più semplicemente, impediscono l’accesso al dispositivo (locker-ransomware). In entrambi i casi le conseguenze possono essere importanti per l’azienda o il professionista³. 

Negli ultimi anni, questa minaccia è diventata sempre più sofisticata³, con attacchi mirati non solo a grandi aziende, ma anche e soprattutto a PMI, percepite come bersagli più vulnerabili.

La principale differenza tra un semplice virus e un malware ransomware risiede nel fatto che un virus si auto-replica infettando altri programmi, mentre il malware ransomware agisce come software autonomo con uno scopo preciso: l'estorsione economica.

A differenza dei virus tradizionali che necessitano dell'intervento dell'utente per attivarsi, i ransomware moderni possono avviarsi automaticamente appena scaricati, rendendo l'attacco più immediato e pericoloso.

Gli attacchi informatici basati sull’azione di software malevoli (malware) sono molti ma il ransomware è in assoluto il principale e quello più utilizzato grazie anche all’elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione³. 

Ma il ransomware, per essere efficace, deve raggiungere il computer della vittima ed essere scaricato per potersi installare automaticamente e infettare la macchina.

I modi nei quali può avvenire il “contagio” possono essere diversi:

1. Phishing: è una tecnica attraverso la quale email fraudolente inducono i destinatari a cliccare su link malevoli o a scaricare allegati infetti. In questo modo è l’utente del computer stesso che compie involontariamente un’azione che consente al virus di entrare nel suo sistema. Si tratta spesso di email assolutamente simili a messaggi autentici, per questo motivo è molto importante aggiornarsi e formare il personale per poter riconoscere questi tentativi di intrusione¹: quasi 2 attacchi informatici su 10 partono da una mail di phishing⁴. 
2. Link su siti web hackerati o banner pubblicitari con link infetti: in questo caso l’utente viene invitato a cliccare e, senza saperlo, dà l’avvio a un download di un software dannoso. Spesso, si tratta di siti con contenuti per adulti.
3. Vulnerabilità del sistema: i sistemi operativi e software non aggiornati o obsoleti costituiscono una vulnerabilità importante perché molti aggiornamenti riguardano nello specifico la sicurezza. Ecco perché bisogna avere cura di controllare e di fare check periodici e di informare i dipendenti della necessità di eseguire tutti gli aggiornamenti consigliati, su tutti i dispositivi.
4. Dispositivi USB infetti: le classiche “chiavette USB” – anche se sono sempre più rare e oggi si preferisce scambiarsi i dati via cloud – vanno menzionate come una delle possibili fonti di “contagio” per i computer: molte organizzazioni, oggi, infatti, scoraggiano o, addirittura, inibiscono l’uso di memorie esterne nei computer aziendali.

Una volta introdotto nel sistema, il ransomware inizia a criptare i file, spesso senza essere rilevato immediatamente, causando danni significativi prima che l'azienda si accorga dell'intrusione.

Il crypto ransomware rappresenta la variante più pericolosa di questa minaccia informatica. Sfrutta algoritmi di crittografia avanzati per rendere inaccessibili i file della vittima, trasformandoli in sequenze incomprensibili di caratteri⁵. A differenza di altre tipologie, questo malware agisce in modo silenzioso sui dati aziendali critici.

Secondo l'Agenzia per la Cybersicurezza Nazionale (ACN), nel 2023 l'Italia si è classificata al terzo posto tra i Paesi dell'Unione Europea più colpiti da attacchi ransomware, con un aumento del 27% rispetto all'anno precedente. Le imprese più colpite appartengono principalmente al settore privato, in particolare le piccole e medie imprese, con il settore manifatturiero tra i più bersagliati⁶.

La potenza degli algoritmi utilizzati rende praticamente impossibile recuperare i file senza la chiave di decrittazione fornita dagli attaccanti.

Il locker ransomware paralizza completamente l'accesso al sistema operativo, rendendo il dispositivo inutilizzabile. L'utente si trova davanti a una schermata di blocco che impedisce qualsiasi interazione con il computer, tranne la visualizzazione delle istruzioni per il pagamento⁵.

Questa variante malevola si distingue per la sua capacità di disabilitare mouse, tastiera e altre periferiche di input. In alcuni casi, il malware simula messaggi ufficiali dalle forze dell'ordine, accusando la vittima di attività illegali per aumentare la pressione psicologica.

Il modello RaaS ha trasformato radicalmente il panorama delle minacce informatiche. Gli sviluppatori di codice malevolo hanno creato una vera e propria industria sul dark web, dove vendono i loro strumenti d'attacco a chiunque desideri lanciare una campagna ransomware.

La compartimentazione delle attività rende il modello particolarmente pericoloso: gli sviluppatori si concentrano sul perfezionamento del malware mentre gli affiliati si dedicano all'identificazione dei bersagli e alla distribuzione degli attacchi, creando una catena operativa altamente specializzata⁷.

Proteggere la tua impresa dagli attacchi informatici, in particolare dai ransomware, è importantissimo e può garantire il tuo capitale e il fatturato. Eppure, secondo una indagine sul campo che ha intervistato i responsabili di cybersicurezza nelle aziende (CISO) e gli IT, solo il 35% di essi può dire con certezza che i propri sistemi di sicurezza proteggano contro il ransomware³. 

Ecco, quindi, un elenco delle principali strategie di prevenzione che potrebbero bloccare un tentativo di attacco, oppure scoraggiarlo.

• Formazione del personale: si tratta a tutti gli effetti di una priorità e del più importante tra gli strumenti di prevenzione visto che, le vulnerabilità causa di attacchi, sono per il 92,3% di tipo personale e dipendono - in parte - anche dalla non-formazione degli utenti. Educare utenti, collaboratori e dipendenti a riconoscere tentativi di phishing e altre tecniche di attacco informatico è il primo paso per evitarli¹.
• Aggiornamenti regolari dei software e dei dispositivi: mantenere aggiornati tutti i software e i sistemi operativi può essere efficace per correggere eventuali vulnerabilità o – quantomeno – per rendere più difficile la vita ai cybercriminali.
• Backup costante dei dati: è fondamentale eseguire con costanza una copia di sicurezza (backup) dei dati aziendali, specialmente di quelli importanti o sensibili, e conservarla in un luogo sicuro e isolato dalla rete principale.
• Soluzioni di sicurezza avanzate: implementare antivirus, firewall e sistemi di rilevamento delle intrusioni aggiornati può essere un antidoto efficace.
• Introdurre sistemi di autenticazione a più fattori (2FA): utilizzare sistemi di autenticazione a più fattori (2FA) e monitorare gli accessi ai sistemi aziendali può permettere di gestire meglio le criticità individuando in tempi più rapidi le situazioni potenzialmente critiche¹⁰.

L'identificazione rapida di un attacco ransomware richiede una risposta coordinata. La prima azione consiste nel disconnettere immediatamente i dispositivi infetti dalla rete, incluse connessioni Wi-Fi e Bluetooth, per limitare la propagazione del malware.

La messa in sicurezza dei backup rappresenta una priorità assoluta: disconnettere i sistemi di backup dalla rete principale previene la cifratura delle copie di sicurezza. L'attivazione del piano di continuità operativa garantisce il mantenimento dei servizi essenziali durante la gestione dell'incidente.

Sul rapporto Clusit per la sicurezza informatica si legge: “Le minacce legate al ransomware sono tra le più comuni e pericolose. Questi attacchi possono interrompere le operazioni aziendali, causare perdite finanziarie e compromettere dati sensibili. Le polizze assicurative per la cybersecurity possono coprire i costi di ripristino, le perdite legate a interruzioni delle attività e le azioni di responsabilità civile dei terzi. Questi costi, senza una copertura assicurativa, hanno portato in passato anche al fallimento di alcune aziende e naturalmente si trovano più esposte soprattutto quelle di piccole e medie dimensioni”. 

Allianz ha una soluzione specifica per le imprese piccole e medie che si chiama Allianz Cyber Protection PMI, una soluzione che protegge in caso di attacco informatico tutelandoti dalle richieste di risarcimento e per i danni causati ad altri, ad esempio in caso di furto di dati sensibili dei tuoi clienti.

Una protezione efficace anche in caso di ransomware perché ti risarcisce per i danni causati dall'interruzione dell'attività e copre i costi necessari per il ripristino del sistema informatico.