Ransomware? Torna online in un attimo

Quando il ransomware colpisce, paralizzando i sistemi, è il momento di rivolgersi agli esperti. Rickey Gevers e Joeri Blokhuis, partner di Bureau Veritas Cybersecurity per l'incident response, di solito riportano le aziende online rapidamente.

... > Incident Response PRO > Ransomware? Torna online in un attimo

Ransomware? Torna online in un attimo

La sua azienda è stata violata, i criminali del ransomware chiedono migliaia di dollari e i sistemi importanti sono fuori uso. Cosa fare? Chiama un esperto di incident response come Rickey Gevers e Joeri Blokhuis. Sono i partner di Bureau Veritas Cybersecurity per l'incident response. 'Negoziare con i gruppi di ransomware è qualcosa in cui siamo diventati molto bravi'.

'Il 99% delle chiamate che riceviamo riguarda il Ransomware', dice Gevers. Ci chiamano tutti i tipi di aziende: dal barbiere all'angolo alle più grandi aziende dei Paesi Bassi. Siamo conosciuti sul mercato per la nostra rapidità di risposta e per la nostra affidabilità. A volte siamo davvero in grado di risolvere un caso di Ransomware entro due ore'.

Negli ultimi 13 anni, Rickey Gevers e il suo socio Joeri Blokhuis hanno aiutato decine di aziende colpite da ransomware, con la loro società Responders.NU. Dall'estate del 2023, Responders.NU è il partner di Bureau Veritas Cybersecurity per l'incident response.

Il tempo è denaro

Gevers e Blokhuis hanno impostato la loro infrastruttura per gestire un attacco ransomware il più rapidamente possibile. Perché, dice Gevers, 'il tempo è denaro'. Supponiamo che la sua azienda coltivi cavolfiori. Subisce un riscatto e non riesce a portare il cavolfiore al negozio. Subisce una perdita, è così semplice. Possiamo stimare rapidamente se sarà in grado di tornare in affari".

Image in image block

Joeri Blokhuis (a destra) e Rickey Gevers di Responders.NU

Enormemente stressato

Ogni attacco Ransomware è diverso, perché nessuna azienda è uguale all'altra. Ma Gevers vede situazioni simili in ogni attacco. 'Quando qualcuno ci chiama, prima di tutto ascoltiamo. Di solito le persone hanno bisogno di liberarsi di questo carico; sono molto stressate. Cerchiamo di trasmettere una certa calma".

Per esempio, una volta mi ha chiamato un uomo con un'azienda molto grande nel settore manifatturiero. Mi ha detto: 'Vogliono 20.000 euro' e io gli ho risposto: 'Oh, non è poi così male'. Questo è stato il fattore scatenante che gli ha fatto pensare: "Sì, non è poi così male". Dopo di che, si è rilassato. Gli incidenti tendono ad andare più lisci quando le persone sono calme".

Ci sono dei rinforzi?

Dopo la prima telefonata, Gevers e Blokhuis rafforzano la loro posizione di intelligence. 'Controlliamo: quale gruppo di Ransomware c'è dietro? Come si comporta la parte colpita? Per esempio, quali sistemi sono inaccessibili? Che cosa significa per l'azienda? Ma la domanda più importante è: ci sono dei backup? E quanto tempo ci vorrà prima di poterli ripristinare?

'Circa tre anni fa abbiamo incontrato ancora molte aziende che non avevano backup', dice Blokhuis. Questo significava che si doveva pagare; non c'era altra scelta. Ma siamo felici di vedere che oggi questo accade meno spesso; i backup stanno migliorando".

Responders Blokhuis 1

Joeri Blokhuis

Specialista in incident response

Risponditori.NU

Circa tre anni fa vedevamo ancora molte aziende senza backup. Siamo lieti di vedere che oggi è meno frequente; i backup stanno migliorando.

Negoziare con i gruppi di Ransomware

Quando, e solo quando, Gevers e Blokhuis hanno rafforzato la loro posizione informativa, aprono una chat con il gruppo di Ransomware dietro l'attacco. Il loro obiettivo è ridurre la somma di denaro richiesta dal gruppo. 'Negoziare con i gruppi di ransomware è qualcosa in cui siamo diventati molto bravi', dice Gevers.

Per essere chiari: Blokhuis preferisce non pagare un riscatto ai criminali. 'Ma in pratica scopriamo che pagare il riscatto è spesso la via più veloce per il recupero. Per noi, si tratta di soppesare i costi rispetto ai benefici". Si consulta sempre con la direzione di un'organizzazione su questo compromesso durante un attacco.

Il discorso si svolge in questo modo: 'Supponiamo che siate inattivi per un giorno perché avete bisogno di un giorno per il ripristino, per ripristinare i backup. Questo significa perdere 2 milioni di euro - si tratta di numeri casuali, tra l'altro. Ma: se paghiamo il riscatto, costa 200.000 euro. Con pochi clic possiamo trasferire quel denaro, ottenere il decriptatore e tornare online in 4 ore. Poi paghiamo. Questi sono i tipi di calcoli che vengono fatti".

Image in image block

Joeri Blokhuis (l) e Rickey Gevers

Pagare o non pagare

Pagare o non pagare in caso di Ransomware è una questione delicata. Il Governo olandese non paga mai. 'A volte questo fa davvero male', dice Gevers. Un gruppo di ransomware potrebbe chiedere 10.000 euro. Il partito governativo poi decide: 'Non pagheremo'. E il danno potrebbe essere di milioni".

Gevers vede che la disponibilità a pagare un riscatto varia a seconda del Paese: 'Nel Regno Unito, pagare un riscatto non si fa. Quasi nessuno paga. La disponibilità a pagare è limitata anche nei Paesi Bassi, anche se la soglia per pagare un riscatto è più bassa oggi rispetto a qualche anno fa. In Germania, invece, le aziende spesso pagano. Credo che questo sia dovuto al fatto che la Germania è più attenta alla privacy".

Molto spesso un pagamento si rivela inaspettatamente positivo. Nel 2022, Gevers e Blokhuis sono riusciti a ritirare il pagamento del riscatto dopo aver ricevuto il decriptatore: 'Un trucco. Quindi, in quel caso particolare, non abbiamo mai pagato". Hanno condiviso questa informazione con le forze dell'ordine, consentendo alla polizia di estrarre oltre 155 chiavi da quello specifico gruppo di Ransomware.

Soddisfazione

Quando un incarico ha successo? 'Quando il cliente è soddisfatto. Mi piace anche quando le cose vanno molto velocemente. Quando risolviamo i problemi in poche ore e il cliente dice: "Aspetti, è già finita?".

Anche il lavoro gli dà una certa soddisfazione. Qualche tempo fa abbiamo ricevuto una chiamata da un'azienda che lavorava con molte persone vulnerabili. Ci hanno detto: se i dati di queste persone vengono messi online, causeranno molti problemi seri. Dati molto sensibili, in altre parole. Abbiamo finito per lavorarci a lungo, ma è andata bene".

Incident response

Related image

Incident response 24/7

Siete stati hackerati - i vostri sistemi sono fuori uso. È importante limitare i danni e tornare al lavoro il prima possibile. Bureau Veritas Cybersecurity può aiutarla.

 Related image

Incident Response PRO

Incident Response PRO di Bureau Veritas Cybersecurity la aiuta a prepararsi agli incidenti informatici e le garantisce un aiuto esperto durante un potenziale incidente.

 Related image

Tabletop Crisis Management

Chi sono i primi punti di contatto in caso di incidente informatico? Quali sono le responsabilità di ciascuno? Eserciti la gestione delle crisi informatiche in questo workshop.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.