Ransomware: quasi un'azienda su due paga, spesso dopo una trattativa
Il fornitore di servizi di sicurezza informatica Sophos ha pubblicato il rapporto annuale "State of Ransomware 2025". L'indagine condotta su 3.400 responsabili IT e della sicurezza informatica in 17 Paesi ha rivelato un risultato particolarmente sorprendente: Quasi il 50% delle aziende attaccate ha pagato un riscatto ai criminali informatici per recuperare i propri dati. L'aspetto ancora più interessante è che oltre la metà di queste aziende ha apparentemente negoziato con i criminali informatici e ha pagato un importo inferiore rispetto alla richiesta iniziale.
Secondo il rapporto "State of Ransomware 2025" recentemente pubblicato da Sophos, quasi la metà delle aziende intervistate ha già pagato un riscatto. L'importo medio del riscatto è di circa 1 milione di dollari USA (869.591 euro). La novità è che il 53% delle aziende ha negoziato un importo inferiore alla richiesta iniziale. Tuttavia, si tratta del secondo tasso più alto di pagamento per le richieste di riscatto in sei anni (il massimo è stato il 56% nel rapporto 2024). Nell'ultimo rapporto, la disponibilità delle vittime in Germania (63%) e Svizzera (54%) a pagare era superiore alla media.
Le aziende negoziano il pagamento del riscatto
Nonostante l'alta percentuale di aziende che hanno pagato il riscatto, più della metà (53%) ha pagato meno di quanto richiesto inizialmente dai criminali informatici. Anche le aziende colpite in Germania (47%) e soprattutto in Svizzera (65%) hanno dimostrato di saper negoziare con i criminali informatici e hanno pagato somme inferiori a quelle richieste inizialmente.
La richiesta media di riscatto è diminuita di un terzo tra i rapporti degli ultimi due anni da una prospettiva internazionale. Allo stesso tempo, il pagamento medio del riscatto è diminuito del 50%. Questo sviluppo dimostra che le aziende riescono sempre più a minimizzare l'impatto degli attacchi ransomware.
Le richieste di riscatto e i pagamenti variano notevolmente da paese a paese.
A livello mondiale, la richiesta media di riscatto (mediana) è stata di 1.324.439 milioni di dollari (1.159.905 euro). A livello nazionale, tuttavia, le richieste mediane variano notevolmente; ecco alcuni esempi:
- 600 mila dollari (525 mila euro) in Germania
- 643 mila dollari (563 mila euro) in Francia
- 4,12 milioni di dollari (3,61 milioni di euro) in Italia
- 5,37 milioni di dollari (4,7 milioni di euro) nel Regno Unito
- 2,0 milioni di dollari (1,75 milioni di euro) negli USA
Gli importi dei riscatti pagati a livello regionale nei Paesi campione sono i seguenti:
- 412 mila dollari (361 mila euro) in Germania
- 232 mila dollari (203 mila euro) in Francia
- 2,06 milioni di dollari (1,8 milioni di euro) in Italia
- 5,20 milioni di dollari (4,55 milioni di euro) nel Regno Unito
- 1,50 milioni di dollari (1,53 milioni di euro) negli USA
Vulnerabilità e scarsità di risorse sono fattori di rischio significativi.
Per la terza volta consecutiva, le vulnerabilità sfruttate sono state la causa tecnica più comune degli attacchi. Il 40% di tutte le vittime di ransomware intervistate ha dichiarato che gli aggressori hanno sfruttato una vulnerabilità di cui non erano a conoscenza. In Germania e in Svizzera la situazione è ancora peggiore, rispettivamente 45% e 42%. Ciò illustra le difficoltà che le aziende incontrano nel riconoscere e proteggere la loro superficie di attacco.
Il 63% delle aziende intervistate in tutto il mondo conferma che i problemi di risorse sono stati un fattore che le ha rese vittime dell'attacco. Le aziende tedesche (67%) e svizzere (72%) sono addirittura al di sopra della media internazionale. A livello globale, la mancanza di competenze è stata indicata come la causa operativa più importante nelle aziende con più di 3.000 dipendenti. Le aziende con un numero di dipendenti compreso tra 251 e 500 hanno dovuto affrontare più spesso la mancanza di risorse umane o di capacità.
Le risorse interne ed esterne sono fondamentali
"Nel 2025, la maggior parte delle organizzazioni considera il rischio di cadere vittima di un attacco ransomware come parte dell'attività quotidiana. La buona notizia è che grazie a questa maggiore consapevolezza, molte organizzazioni si stanno dotando di risorse aggiuntive per limitare i danni. Tra queste, l'assunzione di specialisti in incident response che non solo possono ridurre i pagamenti per ransomware, ma anche accelerare il recupero da un attacco e persino fermare gli attacchi in corso", afferma Chester Wisniewski, Field CISO di Sophos. "Un vero e proprio cambiamento nella lotta contro il ransomware consiste nel concentrarsi sulle cause alla radice del potenziale di attacco. Queste includono, soprattutto, le vulnerabilità sfruttate, la mancanza di trasparenza sulla superficie di attacco in azienda e le risorse troppo scarse. Sempre più aziende si rendono conto di aver bisogno di aiuto e si rivolgono ai servizi MDR, ovvero Managed Detection and Response, per difendersi. Questo servizio di cybersecurity, unito a strategie di sicurezza proattive come l'autenticazione a più fattori e il patching, contribuisce in modo decisivo a prevenire il ransomware fin dall'inizio."
Le migliori pratiche per una protezione efficace contro il ransomware e altri attacchi informatici:
- adottare misure per eliminare le cause tecniche e operative comuni degli attacchi, come le vulnerabilità sfruttate. Strumenti come Sophos Managed Risk possono aiutare le aziende a determinare il proprio profilo di rischio e a minimizzarlo in modo mirato.
- Assicuratevi che tutti i dispositivi endpoint (compresi i server) siano dotati di una protezione anti-ransomware specializzata.
- Predisposizione e verifica di un piano di risposta agli incidenti. Un ruolo importante è svolto da buoni backup e dalla pratica regolare del ripristino dei dati.
- Monitoraggio e rilevamento 24/7. Se le aziende non dispongono delle risorse interne necessarie, i fornitori di Managed Detection and Response (MDR) di fiducia possono contribuire a soddisfare questi requisiti.
Fonte: Sophos
