Secondo uno studio di Semperis, i cyber criminali “non fanno le vacanze”. Ma puntano a sferrare attacchi ransomware nel corso delle festività e weekend. O in eventi imprenditoriali come acquisizioni, IPO, fusioni, nei momenti in cui le aziende tendono ad abbassare le cyber difese.

“Lo abbiamo rilevato più volte anche con il nostro progetto Ransomfeed per attacchi contro vittime italiane nel capodanno”, conferma Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Infatti, “il rapporto conferma una tendenza nota agli analisti del settore ovvero la concentrazione degli attacchi ransomware nei periodi in cui le aziende sono più esposte come i weekend e in occasione delle festività”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Ecco come mitigare il rischio.

Lo studio sugli attacchi ransomware: i momenti critici

In 9 attacchi ransomware su dieci, i cyber criminali riescono a compromettere il sistema di identità di un’organizzazione, più spesso Microsoft Active Directory (AD) o Entra ID. Inoltre, il 35% delle organizzazioni non ha messo in cantiere un budget per la difesa di AD o Entra ID. Inoltre, il 61% delle aziende non si avvale di sistemi di backup destinati per AD o Entra ID.

Complessivamente, le organizzazioni tendono a sovrastimare le proprie difese per l’identità. L’81% degli intervistati s’illude di possedere le competenze necessarie per difendersi dagli attacchi legati all’identità. Eppure, l’83% ha subito un attacco ransomware di successo nell’arco degli ultimi 12 mesi.

Dal report globale emerge, inoltre, che l’86% delle aziende intervistate negli Usa, nel Regno Unito, in Francia e in Germania hanno subito gli attacchi ransomware nei giorni festivi o nel fine settimana.

Ciò “avviene perché molte organizzazioni riducono il personale di sicurezza proprio in questi periodi, lasciando aperte delle vere e proprie ‘finestre di opportunità’ per gli attaccanti“, spiega Dario Fadda.

Infatti l’85% delle aziende intervistate — e il 90% negli Stati Uniti — giunge fino a dimezzare il personale di sicurezza in questi periodi.

“Allarmante è la riduzione del personale preposto alla sicurezza proprio nei periodi di maggiore esposizione, si arriva ad una riduzione del 50% nei weeekend, spianando di fatto la strada all’impresa criminale”, mette in guardia Paganini.

I rischi nel settore finanziario

Inoltre il 63% degli intervistati, già oggetto di attacchi, hanno subito gli incidenti durante un evento aziendale come fusioni, acquisizioni o IPO.

In ambito finanziario, la percentuale sale al 76%, nonostante l’esistenza di meccanismi di cyber sicurezza più solidi come il Sarbanes-Oxley Act e il Graham-Leach-Bliley Act.

“Preoccupa l’incapacità su scala globale di far fronte a questi fenomeni con misure idonee“, mette in evidenza Pierluigi Paganini: “Servizi gestiti e monitoraggio attivo delle minacce potrebbero ridurre sensibilmente l’incidenza di questi fenomeni, tuttavia ancora troppe imprese ignorano la necessità di disporre di servizi gestiti h24 come quelli offerti da Soc“.

Come proteggersi dagli attacchi ransomware

La consapevolezza della sicurezza e la sua operatività non dovrebbero tentennare. Anzi, “le organizzazioni dovrebbero aumentare la loro vigilanza durante le festività e i fine settimana, sapendo che i criminali informatici non si prendono pause“, ha spiegato Chris Inglis, Strategic Advisor di Semperis e primo Direttore Nazionale della Cybersecurity Usa: “Non si può mai abbassare la guardia nella difesa del proprio ambiente, specialmente durante l’imminente stagione delle festività”.

È, infatti, “fondamentale cambiare approccio: le aziende devono investire in sistemi di sicurezza attivi 24/7, affidarsi a tecnologie automatizzate per il rilevamento delle minacce e promuovere una cultura aziendale che mantenga alta l’attenzione anche nei momenti critici“, conferma Fadda.

Inoltre, visti i risultati, “proteggere infrastrutture essenziali come Active Directory dovrebbe essere una priorità assoluta. Il ransomware non è solo un problema tecnologico, ma un rischio strategico che richiede soluzioni innovative e una gestione lungimirante“.

Nel mirino i sistemi di identità

Gli attacchi prendono infatti di mira i sistemi di identità. “Considerando quanto sia vulnerabile AD, i leader aziendali dovrebbero rivalutare i rischi da una prospettiva di resilienza operativa per comprendere meglio l’esposizione della loro infrastruttura IT”, ha sottolineato Mickey Bresman, CEO di Semperis. “Ogni consiglio di amministrazione dovrebbe chiedere al proprio CISO quale sia il livello di rischio e quali sistemi, se compromessi, paralizzerebbero completamente l’azienda. Scoprirete che le compromissioni di AD bloccano intere reti, lasciando la maggior parte delle organizzazioni in difficoltà nel tentativo di riprendersi”.

“Nutro forti dubbi sui dati forniti dalle imprese vittime di attacchi in merito ai tempi di ripristino”, conclude Paganini: “Purtroppo, la quotidianità e l’esperienza ci dicono che nella maggior parte dei casi non sono sufficienti poche ore per il ripristino delle operazioni di base. Senza un cambio culturale la situazione è destinata ad aggravarsi nei prossimi mesi“.

I momenti di vulnerabilità rappresentano fessure da cui il cyber crime può entrare per compromettere i sistemi. “Per combattere gli incessanti attacchi ransomware, le organizzazioni dovrebbero concentrarsi sull’integrare la resilienza nelle proprie reti”, ha dichiarato Kemba Walden, Presidente del Paladin Global Institute ed ex Direttore Nazionale ad interim per la Cybersecurity degli Usa.