Gli episodi di ransomware sono in aumento, i cyber-criminali utilizzano l’esfiltrazione dei dati e gli attacchi alla supply chain per massimizzare l’effetto delle loro azioni.
Il 2023 ha visto una ripresa preoccupante delle richieste di indennizzo per ransomware ed estorsione, vista la continua evoluzione delle minacce informatiche, come indica il nuovo report di Allianz Commercial.
Gli hacker colpiscono sempre più spesso le supply chain digitali e fisiche, sferrando attacchi cyber di massa e trovando nuovi modi per estorcere denaro alle grandi e piccole imprese. La maggior parte degli attacchi ransomware oggi prevede il furto di dati personali o commerciali sensibili a scopo di estorsione, il che aumenta il costo e la complessità dei danni oltre a comportare un maggiore potenziale di danno reputazionale. L’analisi di Allianz Commercial sui grandi sinistri cyber mostra che il numero di casi in cui i dati vengono esfiltrati aumenta ogni anno, raddoppiando dal 40% nel 2019 a quasi l’80% nel 2022, con un incremento significativo nel 2023.
“La frequenza dei sinistri cyber è aumentata anche quest’anno, poiché le tattiche dei gruppi di ransomware sono in costante evoluzione”, afferma Scott Sayce, Global Head of Cyber, Allianz Commercial. “Sulla base di quanto emerge nella prima metà del 2023, prevediamo un aumento del 25% circa del numero di sinistri entro la fine dell’anno. Gli hacker sono tornati e si concentrano di nuovo sulle economie occidentali, con strumenti più potenti, metodi e meccanismi di attacco avanzati. Per far fronte a questa situazione, è necessario che l’azienda sia ben protetta per resistere alla minaccia e, sempre più spesso, l’elemento più importante consiste nello sviluppo di forti capacità di rilevamento e di risposta rapida”.
Come sta evolvendo il rischio ransomware?
Secondo il report di Allianz Commercial, “Cyber security trends 2023: The latest threats and risk mitigation best practice – before, during and after a hack” (Trends della cyber security 2023: Le ultime minacce e le migliori pratiche di contenimento del rischio – prima, durante e dopo un attacco), la frequenza dei sinistri cyber si è stabilizzata nel 2022, grazie al miglioramento delle misure di sicurezza e di gestione del rischio da parte delle aziende assicurate. Si ritiene inoltre che il potenziamento delle forze dell’ordine che si occupano di cyber-criminali e il conflitto tra Ucraina e Russia abbiano contribuito a ridurre l’attività. Tuttavia, nella prima metà del 2023 i soli attacchi di ransomware sono aumentati del 50% rispetto all’anno precedente. I cosiddetti kit “Ransomware-as-a-Service (Raas)”, i cui prezzi partono da un minimo di 40 $, rimangono un fattore chiave nella frequenza delle aggressioni. Le bande di ransomware sono in grado di effettuare più attacchi in tempi più rapidi: il numero medio di giorni necessari per eseguirne uno è sceso da circa 60 nel 2019 a soli quattro.
“Gli episodi di doppia e tripla estorsione per ottenere denaro, che utilizzano una combinazione di crittografia, esfiltrazione dei dati e attacchi di tipo Distributed Denial of Service, non sono nuovi, ma ora sono più diffusi”, afferma Michael Daum, Global Head of Cyber Claims, Allianz Commercial. “La combinazione di diversi fattori rende la sottrazione dei dati più interessante per gli autori delle minacce. La portata e la quantità di informazioni personali raccolte sono in aumento, a fronte di normative sulla privacy e sulle violazioni dei dati che si intensificano a livello globale. In parallelo, l’incremento di attività in outsourcing e accesso da remoto offre agli hacker un maggior numero di interfacce da sfruttare.”
L’esfiltrazione dei dati può incidere notevolmente sui costi di un danno o di un risarcimento. La risoluzione di questi incidenti può richiedere più tempo e le indagini legali e informatiche possono essere estremamente costose. In caso di furto di dati, le aziende devono sapere esattamente quali dati sono stati sottratti e dovranno probabilmente informare i clienti, che potrebbero chiedere un risarcimento o minacciare un’azione legale.
Quest’anno si sono registrati anche diversi importanti attacchi ransomware di massa, dove gli hacker hanno sfruttato exploit nel software e debolezze nelle catene di fornitura digitali per raggiungere più aziende nello stesso momento. Ad esempio, l’attacco MOVEit, che ha sfruttato un prodotto software per il trasferimento di dati colpendo milioni di persone e migliaia di aziende, ha contribuito all’aumento nella frequenza dei sinistri dal 2023 a oggi, coinvolgendo più assicurati contemporaneamente.
“In futuro possiamo aspettarci altri attacchi informatici di massa”, afferma Daum. “Le aziende e i loro assicuratori devono comprendere meglio l’interconnettività e le dipendenze che esistono tra le organizzazioni e all’interno delle supply chain digitali.”
Un numero crescente di casi pubblici
In passato il numero di attacchi informatici che diventavano di dominio pubblico era basso. Oggi la situazione è diversa: con l’esfiltrazione dei dati, gli hacker minacciano di pubblicare online i dati sottratti. L’analisi di Allianz Commercial sui grandi sinistri cyber (1 milione di € e oltre) mostra che la percentuale di casi che diventano pubblici è aumentata da circa il 60% nel 2019 all’85% nel 2022 e nel 2023 sarà ancora più alta. “Oggi, in caso di perdita di dati, è probabile che questi vengano resi pubblici e ogni azienda deve essere preparata”, affermaRishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial.
Con conseguenze finanziarie e reputazionali potenzialmente costose, le aziende possono sentirsi spinte a pagare un riscatto in caso di furto di dati. Il numero di chi paga aumenta di anno in anno, da appena il 10% nel 2019 al 54% nel 2022, di nuovo sulla base di analisi dei grandi sinistri cyber (1 milione di € e oltre). Chi viene colpito è infatti due volte e mezzo più propenso a pagare un riscatto in caso di sottrazione dei dati.
Tuttavia, il pagamento di un riscatto non risolve sempre il problema. L’azienda potrebbe comunque andare incontro a cause legali da parte di terzi per la violazione dei dati, soprattutto negli Stati Uniti. In effetti, sono pochi i casi in cui un’azienda ritiene che non ci sia altra soluzione se non quella di pagare per poter accedere nuovamente ai propri sistemi o ai propri dati. Le parti coinvolte dovrebbero sempre informare e collaborare con le autorità.
L’importanza del rilevamento tempestivo e di una risposta rapida
Proteggere un’organizzazione dalle intrusioni è come il gioco del gatto con il topo, con i cyber-criminali in vantaggio. L’analisi di Allianz su oltre 3.000 sinistri degli ultimi cinque anni mostra che la manipolazione esterna dei sistemi è la causa di oltre l’80% di tutti gli incidenti. Gli autori delle minacce stanno studiando il modo per sfruttare l’intelligenza artificiale (AI) per automatizzare e accelerare gli attacchi, creando malware, phishing e simulazioni vocali sempre più efficaci. Insieme al boom dei dispositivi mobili connessi – Allianz Commercial ha riscontrato un numero crescente di incidenti causati da una scarsa sicurezza informatica in questo settore – le vie di aggressione sembrano destinate ad aumentare.
Prevenire un attacco cyber diventa sempre più difficile e la posta in gioco più alta. Ecco perché le capacità e gli strumenti di rilevamento e risposta precoce stanno diventando sempre più essenziali. Circa il 90% degli incidenti viene arginato tempestivamente. Tuttavia, se un attacco non viene bloccato nelle prime fasi, si riducono notevolmente le probabilità di evitare che si trasformi in qualcosa di più grave e molto costoso.
“La sicurezza informatica tradizionale si è concentrata sulla prevenzione con l’obiettivo di tenere gli aggressori fuori dalla rete”, afferma Baviskar. “Sebbene investire nella prevenzione riduca il numero di attacchi cyber efficaci, rimarrà sempre una ‘falla’ che non li fermerà. Ad esempio, è impossibile impedire a tutti i dipendenti di cliccare su e-mail di phishing sempre più sofisticate.”
Le aziende dovrebbero investire ulteriori risorse per la sicurezza informatica destinandole al miglioramento nel rilevamento e nell’intervento, anziché limitarsi ad aggiungere livelli di protezione e prevenzione. Solo un terzo delle imprese scopre una violazione dei dati attraverso i propri team. La tecnologia di rilevamento precoce è invece disponibile ed efficace.
“I sistemi di detezione sono in costante miglioramento e possono evitare molti problemi, riducendo i tempi di scoperta e di reazione. Questo è un aspetto che teniamo in considerazione nelle nostre valutazioni e sottoscrizioni del rischio cyber”, aggiunge Baviskar.
Il report evidenzia che le frodi informatiche non individuate e contenute tempestivamente possono essere fino a 1.000 volte più costose delle altre e l’analisi di Allianz Commercial dimostra che individuazione e risposta immediate possono impedire che una perdita di 20.000 € si trasformi in una di 20 milioni di €.
“Il grado di prevenzione influisce sulla frequenza degli attacchi e la risposta è in grado di determinare l’entità della perdita, sia che si tratti di un incidente IT minore o di una grave crisi aziendale”, afferma Daum. “Riteniamo che le imprese possano prepararsi in modo adeguato e che ci sia spazio per migliorare il modo in cui rispondono alle minacce. Le capacità di rilevamento precoce e di reazione saranno fondamentali per mitigare l’impatto degli attacchi informatici e garantire un mercato assicurativo cyber sostenibile.”