Analisi dell'ultimo report ENISA Threat Landscape for Ransomware Attacks uscito a Luglio da parte del nostro cyber security specialist Simone Fratus
Per chi se lo fosse perso nel mese di Luglio è uscito il nuovo report Enisa ENISA Threat Landscape for Ransomware Attacks
Alcuni punti che voglio evidenziare di questo report nel caso vi sfuggissero nella lettura del documento con alcuni mie commenti (in corsivo.. va di moda):
Questo rapporto mira a fornire nuove informazioni sulla realtà degli incidenti ransomware attraverso la mappatura e lo studio degli incidenti ransomware da maggio 2021 a giugno 2022;
Una nuova matrice LED (Lock, Encrypt, Delete, Steal) che mappa accuratamente le capacità del ransomware in base alle azioni eseguite e alle risorse mirate;
Un'analisi dettagliata e approfondita del ciclo di vita del ransomware: accesso iniziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione del riscatto (ops, negoziazione del riscatto, quindi si paga?);
Raccolta e analisi approfondita di 623 incidenti ransomware (circa una 50ina al mese....)
Più di 10 terabyte di dati rubati mensilmente da ransomware da organizzazioni mirate (tutta roba inutile come sempre....);
Circa il 58,2% di tutti i dati rubati contiene dati personali GDPR sulla base di questa analisi;
Nel 95,3% degli incidenti non è noto come gli attori delle minacce abbiano ottenuto l'accesso iniziale all'organizzazione bersaglio (ma come non avete tutti le migliori tecnologie del quadrante in alto a destra? e non si sa da dove sono entrati.... un miracolo?);
Si stima che oltre il 60% delle organizzazioni interessate possa aver pagato richieste di riscatto (il restante 40 sono PA italiane ....);
Sono stati trovati almeno 47 attori unici di minacce ransomware.
Direi che solamente alcuni di questi punti sopra elencati fa seriamente pensare che il concetto di "falsa percezione di cybersecurity" ed il continuo sovrastimare le capacità di difesa vengano meno al messaggio "è solo una questione di tempo, parti dal presupposto che sicuramente verrai attaccato".
In questo documenti si inseriscono anche dei nuovi punti da tenere conto:
Ci sono quattro azioni principali che il ransomware può eseguire: bloccare, crittografare, eliminare e rubare. Ci riferiamo a queste quattro azioni principali come LED (Blocca, Crittografa, Elimina, Ruba).
Il ciclo di vita del ransomware è rimasto invariato fino al 2018 circa, quando il ransomware ha iniziato ad aggiungere più funzionalità e le tecniche di ricatto sono maturate. Possiamo identificare cinque fasi di un attacco ransomware: accesso iniziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione del riscatto
Con i nuovi modelli di business ransomware-as-a-service, quasi chiunque può condurre un attacco ransomware. Puoi acquistarlo come parte di un'operazione più ampia e non ci sono differenze significative tra una famiglia di ransomware e l'altra.
Dei 623 incidenti inclusi nel rapporto, sono state trovate prove di fughe di dati per 288, ovvero il 46,2% degli incidenti totali. Il totale dei dati rubati accumulati per tutti gli incidenti è di 136,3 TB con una media di 518 GB per incidente e una media di 10 TB al mese.
Vi è il riassunto delle tecniche di accesso iniziale più comuni osservate secondo il framework MITRE ATT&CK framework ma vi è già un mio articolo con analisi più dettagliata a riguardo.
Da tutti gli incidenti analizzati, non è stato possibile confermare se in 588 casi sia stato pagato un riscatto, ovvero il 94,2%. Del resto degli incidenti nella nostra analisi, 8 hanno pagato il riscatto e 58 non hanno pagato il riscatto. OOPPSSS
Direi che qualsiasi sia la mia opinione, lo scenario è molto molto sconfortante. Vi sono una grande quantità di disinformazione mediatica/politica che vuole trarne il maggior profitto possibile da uno scenario di guerra palese agli occhi di tutti. Ma mi pongo una domanda: non è che a prendere sempre la stessa strada si finisce sempre nello stesso posto?
Comments