Spesso parlando con miei clienti in merito a soluzioni di difesa e protezione dagli attacchi informatici, una delle obiezioni che mi sento fare - soprattutto dal management non tanto da chi lavora in ambito IT o Security - è "la mia azienda è piccola e sconosciuta, perché mai dovrebbero attaccarmi?"

E' una obiezione lecita, figlia principalmente di una mancanza di consapevolezza dello scenario attuale.

Ho così deciso di fare una breve analisi per capire se è vero che aziende "piccole", dove con questo termine si intende aziende con fatturati in linea con le PMI italiane e che non hanno un brand conosciuto, sono effettivamente oggetto delle gang di cybercriminali.

Fonte dei dati e modalità di analisi.

Per questa mini-indagine, che ovviamente non vuole essere esaustiva ma porta comunque ad una interessante conclusione, ho utilizzato i dati disponibili sull'applicazione Double Extortion realizzata da Luca Mella.

Double Extortion raccoglie i nomi delle aziende colpiti da un attacco ransomware per il quale i cybercriminali chiedono una doppia estorsione e quindi pubblicano sui loro siti web i nomi delle loro vittime.

La doppia estorsione (ne ho parlato qui) consiste nel richiedere un primo riscatto per riavere l'accesso ai dati che sono stati criptati (e prima sottratti alla vittima), ed un secondo per non pubblicarli in rete, ponendo quindi il malcapitato a rischi figli delle norme del GDPR, oltre che a danni di reputazione.

Due premesse importanti:

  1. I dati raccolti da Double Extortion sono figli di attività OSINT (Open Source Intelligence) e vanno quindi sempre verificati.
  2. Il campione analizzato riguarda quindi solo le vittime di questa tipologia di attacco (ransomware/doppia estorsione) e non tutte le altre casistiche. E' quindi un dato parziale e decisamente sottostimato.

Modalità di analisi.

Ho estrapolato il database da Double Extortion (aggiornato al 07/09/2021) con i dati delle vittime rilevate. Ho filtrato sul paese Italia e per ciascuna azienda ho cercato i dati di fatturato e numero di dipendenti, presi dall'ultimo bilancio pubblico disponibile.

I risultati.

Facciamo parlare i numeri.

  • Negli ultimi 12 mesi (circa) sono 81 le aziende italiane coinvolte (e pubblicate) da gang criminali che utilizzano la tecnica della doppia estorsione.
  • 10 sono Pubbliche Amministrazioni (comuni, associazioni, etc)
  • 15 non hanno dati disponibili relativi a fatturato e dipendenti.
  • La media del fatturato delle aziende colpite è di 76,4 ML di Euro.
  • La media del numero di dipendenti delle aziende colpite è di 332 dipendenti.

A prima vista può sembrare quindi che il target preferito dai cybercriminali sia di aziende medio/alte.

Questo però non corrisponde alla realtà, in quanto tra i bersagli ci sono realtà nazionali di primaria importanza, con fatturati superiori al mezzo miliardo di Euro.

Diventa quindi interessante aggregare i dati in fasce di fatturato: ecco il risultato.

Da qui emerge un dato: le fasce di aziende più colpite sono quelle con un fatturato tra i 3 e 10 milioni di Euro, poi tra 11 e 50 milioni. Anche la fascia sotto il milione di Euro non è esente da attacchi di questo tipo, anzi.

Conclusione.

Pur con un campione molto piccolo il risultato sconfessa chi pensa di non essere un potenziale bersaglio perché ha una realtà "piccola" e poco conosciuta.

Il motivo, d'altronde, è molto semplice: le realtà aziendali più "piccole" sono più facili da attaccare e molto più probabilmente - trovandosi impreparate - hanno una facilità nel pagare il riscatto più alta.

Anche perché ricordiamoci che le cifre richieste per i riscatti sono calcolate spesso sul fatturato della vittima, proprio per cercare di trovare un importo che possa essere pagato.

Se ti è piaciuto questo articolo e non sei ancora iscritto al mio blog, Cronache Digitali, registrati ora cliccando qui: basta la tua email e due click ;-) A presto!