I gruppi ransomware preferiscono colpire in orario extra lavorativo, nei giorni festivi e nei fine settimana, quando le difese sono più deboli e il personale addetto alla security è ridotto.
Autore: Redazione SecurityOpenLab
I cyber criminali approfittano delle debolezze organizzative e dei momenti di vulnerabilità per attaccare le aziende. Per questo motivo i gruppi ransomware colpiscono preferibilmente in orario extra lavorativo, nei giorni festivi e nei fine settimana, quando le difese sono indebolite dalla riduzione del personale di sicurezza e da una maggiore distrazione dei dipendenti.
Il dato emerge dal Ransomware Holiday Risk Report 2024 condotto da Censuswide per conto di Semperis, secondo cui l'86% delle organizzazioni interpellate ha subìto attacchi proprio nei periodi critici indicati sopra. Le interviste sono state condotte nell’ultimo anno su un campione di 900 professionisti IT e della sicurezza impiegati in settori chiave come finanza, sanità, trasporti, telecomunicazioni e manifattura. Sebbene l'Italia non sia inclusa, i dati relativi agli altri Paesi europei forniscono indicazioni utili anche per le aziende italiane, anche alla luce della cronaca cyber quotidiana.
Una delle evidenze più significative è il comportamento delle organizzazioni nei periodi di festività: l'85% delle aziende intervistate riduce il personale dedicato alla sicurezza fino al 50%, nonostante l'elevato rischio rappresentato dagli attacchi ransomware, che sfruttano la vulnerabilità temporanea per massimizzare il danno. Negli Stati Uniti questa percentuale sale addirittura al 90%, a dimostrazione di quanto sia diffusa questa tattica fra gli attaccanti.
Un altro aspetto critico emerso è il collegamento tra attacchi ransomware ed eventi aziendali destabilizzanti, come fusioni, acquisizioni e IPO: ammonta al 63% la percentuale di aziende che ha subìto attacchi in concomitanza con questi eventi. Nel settore finanziario, la percentuale sale al 76%, nonostante l'esistenza di normative rigorose, a dimostrazione del fatto che i criminali informatici sfruttano qualsiasi finestra di maggiore esposizione aziendale per il proprio tornaconto.
Nel contesto europeo, il report evidenzia una preparazione insufficiente da parte delle organizzazioni nella protezione dei sistemi di identità, con particolare riferimento a Microsoft Active Directory. Si tratta di sistemi che, benché siano fondamentali per la gestione delle identità digitali, sono stati compromessi nel 90% degli attacchi ransomware analizzati. Nonostante questo, il 35% delle imprese non ha stanziato alcun budget specifico per la loro difesa e il 61% continua a non disporre di soluzioni di backup dedicate.
Fra le possibili spiegazioni di questo atteggiamento c’è il forte sospetto che le aziende stiano sovrastimando la propria capacità di difesa contro gli attacchi legati all'identità, come testimonia il fatto che l'81% degli intervistati ritiene di avere le competenze necessarie per proteggersi, anche se l'83% ha subìto attacchi ransomware che smentiscono questa certezza.
Per affrontare questo rischio Semperis consiglia di ridefinire le priorità di cybersecurity, investendo in tecnologie e processi che garantiscano continuità anche nei momenti più delicati. Un messaggio particolarmente rilevante considerata la stagionalità contingente.