I sistemi di accumulo dell’energia delle batterie possono rendere le aziende più sostenibili e più vulnerabili agli hacker: rischio e assicurazione

Dopo aver subito un attacco ransomware, un team di dirigenti aziendali si è sentito sicuro di non dover cedere alle richieste di pagamento degli aggressori.

Sebbene i loro file fossero crittografati dal gruppo di ransomware, disponevano di backup efficaci. Avevano contattato il loro assicuratore informatico, che li ha messi in contatto con un consulente legale e uno specialista forense. Questi esperti li hanno aiutati a mettersi in contatto con l'FBI, che aveva una chiave di decrittazione per questa particolare banda di ransomware. Tutto sembrava andare liscio finché non hanno inserito la chiave e hanno scoperto che un certo numero di file nelle loro macchine virtuali erano ancora bloccati.

"Si è scoperto che anche un'altra banda di ransomware aveva crittografato il suo sistema", ha affermato Danielle Roth, responsabile dei sinistri informatici e tecnologici di AXA XL.

Quindi l’azienda ha dovuto cambiare rotta. Aveva bisogno di rimettere in funzione le sue macchine. Il negoziatore del riscatto ha contattato il secondo gruppo di autori della minaccia, che ha fatto sì che la squadra continuasse a negoziare con il primo gruppo. Alla fine l'assicurato ha recuperato i suoi file, dopo aver pagato il primo gruppo di aggressori, che ha poi chiesto al secondo gruppo di rilasciare la chiave di decrittazione.

Questo caso è unico: non capita spesso che le aziende vengano attaccate da due gruppi di ransomware contemporaneamente. Ma è un esempio di come gli aggressori stiano diventando più creativi nei loro sforzi per crittografare file ed estorcere pagamenti alle aziende.

Tattiche come la doppia estorsione, la fuga di dati sensibili e gli attacchi personalizzati stanno mettendo a rischio le aziende, anche se molte adottano difese di sicurezza critiche.

Danielle Roth, responsabile sinistri informatici e tecnologici, AXA XL

Dopo il massiccio aumento registrato nel 2021, secondo Roth nel 2022 il numero degli attacchi ransomware e l’entità dei riscatti sono leggermente diminuiti. Queste diminuzioni possono essere attribuite alle aziende che adottano misure di sicurezza come l’autenticazione a più fattori, backup affidabili e una maggiore attività da parte delle forze dell’ordine.

"Le forze dell'ordine sono molto più attive", ha detto Roth. "Gli autori delle minacce sono ben consapevoli che se puntano troppo in alto, si mettono davvero a rischio."

Tuttavia, una diminuzione tra il 2021 e il 2022 non significa che gli attacchi informatici scompariranno. Roth ha osservato che il numero degli attacchi è tornato ad aumentare nel primo trimestre del 2023, poiché gli hacker hanno provato nuove strategie per impossessarsi dei dati aziendali e forzare i pagamenti.

"Non è necessariamente che le richieste siano più elevate, ma gli autori delle minacce ora sono molto più concentrati", ha affermato Roth.

È qui che entrano in gioco tattiche come la doppia estorsione. Con la doppia estorsione, un criminale informatico potrebbe chiedere un riscatto prima di fornire una chiave di decrittazione, minacciando anche di divulgare dati sensibili se non viene pagato. Questa tattica prende di mira le aziende con backup efficaci, che potrebbero non aver bisogno di recuperare i propri file crittografati, ed esercita ulteriore pressione sulla leadership senior minacciando la reputazione di un'azienda.

"Se si tratta di una struttura sanitaria, potrebbero perseguire video, cartelle cliniche private o immagini, il che potrebbe essere molto angosciante per qualcuno se venissero rilasciati", ha detto Roth.

"In realtà è piuttosto sconvolgente che gli autori delle minacce perseguano i dipendenti e le informazioni sanitarie delle persone in questo modo."

Gli attacchi di doppia estorsione si sono diffusi in parte perché alcuni leader aziendali potrebbero operare con un’idea sbagliata sulla quantità di dati che gli aggressori potrebbero potenzialmente perdere durante un evento ransomware. "Anni fa, credo, c'era una percezione errata che gli attacchi ransomware non fossero violazioni prima che le informazioni cominciassero a essere esfiltrate", ha detto Roth.

"Le persone non si rivolgevano a un avvocato; si rivolgevano a un fornitore di servizi forensi e, una volta in grado di utilizzare di nuovo il loro sistema, bastava. Pensavano di aver finito."

Oltre a utilizzare tattiche di doppia estorsione e a minacciare di divulgare dati sensibili, gli autori delle minacce stanno lanciando attacchi sempre più mirati alle aziende.

"Sono molto concentrati su ciò a cui accedono e lo usano per esercitare pressione sull'organizzazione", ha detto Roth.

I criminali informatici potrebbero trascorrere ore a fare ricerche sulle aziende, determinando come possono impersonare il personale dirigente senior negli attacchi di phishing nel tentativo di convincere altri dipendenti a fornire le credenziali di accesso necessarie per accedere al sistema. Negli attacchi più sofisticati contatteranno i dipendenti utilizzando il nome di dominio dell'azienda, in modo che "sembra che provenga dall'interno dell'edificio", ha spiegato Roth.