Sophos ha recentemente pubblicato un nuovo rapporto di indagine settoriale, “The State of Ransomware in State and Local Government 2022”, da cui è emerso che il 72% delle organizzazioni statali e locali attaccate da ransomware ha subito la crittografia dei propri dati, il 7% in più rispetto alla media del settore. Di fatto, solo il 20% delle organizzazioni governative statali e locali è stato in grado di bloccare l’attacco ransomware prima che i dati potessero essere criptati, una percentuale significativamente inferiore rispetto alla media intersettoriale del 31% (l’8% ha avuto i propri dati in mano per il riscatto ma non criptati). Allo stesso tempo, però, il settore governativo ha registrato uno dei tassi di attacco più bassi, con solo il 58% colpito da ransomware nel 2021.
“Tradizionalmente, le organizzazioni governative non sono state obiettivi primari per gli aggressori di ransomware, poiché non dispongono di denaro come le aziende tradizionali e i gruppi criminali sono reticenti ad attirare l’attenzione delle forze dell’ordine”, ha dichiarato Chester Wisniewski, principal research scientist di Sophos. Tuttavia, quando queste organizzazioni vengono colpite, hanno poca protezione perché non hanno il budget per un supporto aggiuntivo e approfondito alla cybersecurity, compresi i team di threat hunting o i centri operativi di sicurezza”. “E questo per un paio di motivi. Uno è che, pur raccogliendo una grande quantità di informazioni sensibili, hanno bisogno di mantenere queste informazioni facilmente accessibili”. “In secondo luogo, devono spendere la maggior parte del loro budget per il loro comune effettivo. “I contribuenti possono vedere se le strade sono pulite o se le scuole raggiungono i loro obiettivi educativi. Non possono “vedere” un cyberattacco o capire perché un fornitore di Managed Detection and Response (MDR) potrebbe essere necessario per sconfiggere il ransomware”. Oltre a registrare un tasso di crittografia elevato, il settore governativo ha registrato anche un calo significativo nella quantità di dati crittografati recuperati dopo il pagamento del riscatto rispetto al 2020; il 58% nel 2021 contro il 70% nel 2020; questo dato è stato anche inferiore alla media intersettoriale del 61%.
Tra gli altri risultati, il 2021 ha visto un aumento del 70% del numero di attacchi ransomware contro le organizzazioni governative locali, mentre il 58% è stato preso di mira rispetto al 34% del 2020. Inoltre, il costo per le organizzazioni governative per rimediare a un attacco è stato tre volte superiore al riscatto medio pagato dal settore. “Se guardiamo a quello che è successo alla città di Atlanta, in Georgia, nel 2018, alla fine hanno pagato 17 milioni di dollari per riprendersi da un attacco che chiedeva un riscatto di 50.000 dollari. Questo è spesso il caso delle organizzazioni governative locali e statali: spendono molto di più per il recupero e l’adeguamento alle pratiche di sicurezza attuali che per l’effettiva richiesta di riscatto, se decidono di pagarlo”. “Sebbene sia difficile ottenere il consenso iniziale, a lungo termine le misure di cybersecurity preventive sono un’alternativa di gran lunga migliore rispetto al rafforzamento delle difese dopo un attacco”. Alla luce dei risultati dell’indagine, gli esperti di Sophos raccomandano le seguenti best practice per tutte le organizzazioni di tutti i settori. Installare e mantenere difese di alta qualità in tutti i punti dell’ambiente. Rivedere regolarmente i controlli di sicurezza e assicurarsi che continuino a soddisfare le esigenze dell’organizzazione. Andare a caccia di minacce in modo proattivo per identificare e bloccare gli avversari prima che possano eseguire gli attacchi; se il team non ha il tempo o le competenze per farlo internamente, affidare l’incarico a un team di Managed Detection and Response (MDR). Rafforzare l’ambiente IT cercando e chiudendo le principali lacune di sicurezza: dispositivi non patchati, macchine non protette e porte RDP aperte, ad esempio. Le soluzioni di Extended Detection and Response (XDR) sono ideali per questo scopo. Preparatevi al peggio e disponete di un piano aggiornato per lo scenario peggiore. Eseguite dei backup ed esercitatevi a ripristinarli per ridurre al minimo le interruzioni e i tempi di ripristino.
