Veeam: il 76% delle aziende ammette di aver pagato un riscatto ai cyber criminali

Le aziende stanno davvero perdendo la battaglia contro il ransomware? Questo è quello che emerge dal Ransomware Trends Report 2022 di Veeam. Il 72% delle aziende, infatti, ha subito attacchi parziali o completi ai propri archivi di backup, con un impatto drammatico sulla capacità di recuperare i dati senza pagare il riscatto. Veeam ha rilevato che l'80% degli attacchi andati a buon fine ha preso di mira vulnerabilità note, ribadendo - ancora una volta - l'importanza di applicare patch e aggiornare il software. Quasi tutti gli aggressori poi hanno tentato di distruggere i repository di backup per disabilitare la capacità di recupero dei dati senza pagare il riscatto.

Pagare un riscatto non è mai la strategia migliore 

Il Veeam 2022 Ransomware Trends Report propone i risultati di un sondaggio condotto da una società di ricerca indipendente che ha coinvolto 1.000 leader IT (nello specifico CISO, professionisti della sicurezza, amministratori di backup e operazioni) le cui aziende sono state attaccate da ransomware almeno una volta negli ultimi 12 mesi. 

“Il ransomware ha democratizzato il furto di dati e richiede uno sforzo collaborativo da parte delle aziende di ogni settore al fine di massimizzare la loro capacità di rimediare e recuperare i dati senza pagare un riscatto,” ha dichiarato Danny Allan, CTO di Veeam. “Pagare i criminali informatici per ripristinare i dati non è una strategia per la data protection: non c'è alcuna garanzia di recupero dei dati, i rischi di danni alla reputazione e di perdita di fiducia dei clienti sono elevati e, soprattutto, si alimenta e si premia l'attività criminale”.

La maggior parte delle aziende (76%) ha pagato il riscatto per porre fine a un attacco e recuperare i dati. Il 52% ha pagato ed è riuscito a recuperare i dati, il 24% non è stato in grado di recuperare alcun dato nonostante il pagamento. Inoltre, il report rivela che il 19% delle aziende non ha pagato alcun riscatto perché è riuscito a recuperare i propri dati. È a questo che deve aspirare il restante 81% delle vittime informatiche: recuperare i dati senza pagare il riscatto.

“Uno dei tratti distintivi di una solida strategia per la Modern Data Protection è l'impegno ad adottare una politica chiara secondo la quale l'azienda non pagherà mai un riscatto, ma farà tutto ciò che è in suo potere per prevenire, rimediare e recuperare,” ha aggiunto Allan. “Nonostante la minaccia pervasiva e inevitabile del ransomware, l'idea che le aziende siano impotenti di fronte ad esso non è sempre vera. Educate i dipendenti e assicuratevi che pratichino un'igiene digitale impeccabile; eseguite regolarmente test rigorosi delle soluzioni e dei protocolli di protezione dei dati; create piani dettagliati per la continuità aziendale che preparino i principali stakeholder agli scenari peggiori”.

La superficie di attacco per i criminali è molto ampia e, nella maggior parte dei casi, gli intrusi hanno sfruttato vulnerabilità note, tra cui quelle dei sistemi operativi e degli hypervisor più comuni, delle piattaforme NAS e dei database server, sfruttando qualsiasi software senza patch o, più semplicemente, obsoleto. Gli intervistati hanno confermato che il 94% degli aggressori ha tentato di distruggere i repository di backup e, nel 72% dei casi, questa strategia ha funzionato anche in modo parziale. La rimozione del backup di un’azienda è una strategia di attacco molto diffusa poiché aumenta la probabilità che le vittime non abbiano altra scelta che pagare il riscatto. Disporre di almeno un livello immutabile o air-gapped all'interno del framework per la protezione dei dati è l'unico modo per difendersi: si tratta di una strategia utilizzata dal 95% degli intervistati. 

L'orchestrazione è importante: un team IT su sei (16%) automatizza la convalida e il recovery dei backup per assicurare che i server siano subito ripristinabili. Per bonificare un attacco ransomware, il 46% utilizza una "sandbox" isolata o un'area di test per garantire che i dati ripristinati siano effettivamente puliti prima di reintrodurre i sistemi in produzione.

A questo proposito diventa fondamentale l'allineamento aziendale: l'81% degli intervistati ritiene che le strategie di cyber e business continuity/disaster recovery delle proprie aziende siano allineate, mentre il 52% è convinto che le interazioni tra questi team debbano essere migliorate. La diversificazione dei repository è il segreto: quasi tutte le aziende coinvolte (95%) dispongono di almeno un livello di protezione dei dati immutabile o dotato di air-gapping, il 74% utilizza repository in cloud che offrono immutabilità, il 67% utilizza repository su disco in sede con immutabilità o blocco e il 22% utilizza nastri dotati di air-gapping. Da rimarcare, infine, che il 45% dei dati di produzione viene ancora archiviato su nastro e il 62% transita nel cloud durante il ciclo di vita dei dati.