Ransomware, un’azienda su 2 paga il riscatto (ma meno di quanto richiesto)

Sophos ha pubblicato la sesta edizione del report State of Ransomware, la ricerca annuale che coinvolge responsabili IT e della cybersicurezza di 17 Paesi per studiare l’impatto degli attacchi ransomware sulle aziende.

L’edizione di quest’anno ha rilevato come quasi il 50% delle aziende colpite abbia accettato di versare un riscatto per tornare in possesso dei propri dati: si tratta del secondo valore più alto registrato in questi sei anni.

Aziende sempre più abili a minimizzare gli impatti

Delle aziende che hanno pagato il riscatto, però, più della metà – il 53% – ha versato meno di quanto originariamente richiesto. Nel 71% di questi casi la riduzione è frutto di una negoziazione diretta o assistita da terzi. Nell’ultimo anno non solo la mediana delle cifre richieste inizialmente è scesa di un terzo, ma la mediana dei riscatti versati si è dimezzata, a dimostrazione della crescente abilità delle aziende nel minimizzare l’impatto del ransomware.

Complessivamente, il valore mediano dei riscatti versati è stato di un milione di dollari. La mediana delle richieste originali per le aziende con fatturati superiori al miliardo è stata di oltre cinque milioni, per quelle sotto i 250 milioni è stata mediamente di meno di 350.000 dollari.

Sempre più aziende bloccano gli attacchi in corso

Per il terzo anno consecutivo la causa tecnica primaria degli attacchi riguarda la presenza di vulnerabilità sfruttabili dai malintenzionati, mentre nel 40% dei casi la causa sono lacune di sicurezza di cui le aziende non erano consapevoli. Per il 63% delle aziende interpellate, tra i fattori che hanno permesso l’attacco c’è stata la carenza di risorse adeguate, ovvero competenze e personale.

Altri due dati molto interessanti. Sempre più aziende riescono a bloccare gli attacchi in corso: guardando ai dati globali, il 44% è riuscito a fermare gli attacchi ransomware prima che questi riuscissero a crittografare i dati, il valore più alto registrato in questi sei anni.

Inoltre diminuisce il ricorso ai backup: solo il 54% delle aziende coinvolte in questa indagine ha usato i backup per ripristinare i propri dati, il valore più basso in sei anni.

Aziende italiane, il 27% ha versato il riscatto

Le aziende italiane convolte nell’indagine sono 254. Lo sfruttamento delle vulnerabilità è stata la principale causa tecnica degli attacchi che le hanno colpite (35% dei casi). Seguono phishing (23%) e credenziali compromesse (16%).

La causa operativa principale invece è stata la carenza di competenze (45% degli intervistati italiani), seguita da lacune di sicurezza conosciute (37%) e punti deboli delle difese non precedentemente identificati (36%).

Il 55% degli attacchi ha causato la cifratura dei dati, un valore superiore alla media globale del 50% ma in discesa rispetto all’85% registrato in Italia nel 2024. Solamente nell’11% dei casi in cui i dati sono stati crittografati si è verificato anche il furto dei dati stessi, meno di un quarto rispetto al 45% dello scorso anno.

Il 99% delle aziende italiane che ha subìto la cifratura dei dati è riuscito a tornarne in possesso, un dato superiore rispetto alla media globale.

Il 27% delle aziende italiane ha versato il riscatto e ottenuto i propri dati, con una flessione significativa rispetto al 53% dell’anno precedente.

Il 58% delle aziende italiane si è avvalso dei backup per recuperare i dati cifrati, anche in questo caso un valore in discesa rispetto al 72% dell’anno prima.

Riscatti in Italia: richieste e pagamenti

La mediana degli importi richiesti per i riscatti lo scorso anno in Italia è stata di 4,12 milioni di dollari, con un considerevole incremento rispetto ai 3,19 milioni del 2024. Il 68% delle richieste di riscatto è stato superiore al milione di dollari, in flessione rispetto al 78% del 2024.

Per quanto riguarda le cifre effettivamente pagate in Italia lo scorso anno, la mediana è stata di 2,06 milioni di dollari contro i 2,20 milioni dell’anno precedente. Le aziende italiane versano generalmente il 97% del riscatto richiesto, mentre il dato medio è del’’85% dell’importo richiesto.

Il 62% ha pagato meno di quanto inizialmente richiesto (media globale: 53%). Il 14% ha pagato LO STESSO importo di quanto inizialmente richiesto (media globale: 29%). Il 24% ha pagato PIÙ di quanto inizialmente richiesto (media globale: 18%)

Le aziende italiane si riprendono sempre più velocemente

Escludendo i riscatti versati, la spesa mediamente sostenuta lo scorso anno dalle aziende italiane per tornare alla normalità a seguito di un attacco ransomware è stata pari a 3,55 milioni di dollari, con una riduzione sostanziale rispetto ai 5,38 milioni dell’anno precedente. Questa voce comprende le spese dovute all’interruzione operativa, il tempo delle persone, le opportunità perse, il costo dei dispositivi, i costi di rete ecc.

Le aziende italiane si riprendono sempre più velocemente dagli attacchi ransomware: il 46% di esse ha ripristinato completamente le attività entro una settimana, il doppio rispetto al 23% dell’anno prima. Il 26% ha invece impiegato da uno a sei mesi di tempo, con una notevole flessione rispetto al 50% dell’anno precedente.

Impatto umano del ransomware sui team IT

Nelle aziende in cui i dati sono stati crittografati:

il 39% ha apportato cambiamenti al team o alla struttura organizzativa.
Il 36% ha rilevato un incremento dei workload su base continuativa.
Il 35% ha riscontrato crescente ansia o stress nel timore di attacchi futuri.
Il 35% ha ammesso di sentirsi in colpa per non essere stato in grado di fermare l’attacco.
Il 32% ha rilevato un impatto negativo sui dipendenti: assenze da parte dello staff a causa di stress o malessere psicologico.

“Per molte aziende, la probabilità di finire vittime di ransomware è solo uno degli aspetti legati al fare business nel 2025. La maggior parte di esse lo considera un problema endemico e per questo deve mettere in conto di poter essere colpite prima o poi. La buona notizia è che, dal momento che il ransomware si è normalizzato, la maggioranza delle aziende si sta attrezzando con le risorse adatte a limitare i danni. Molte hanno capito di avere bisogno di aiuto e si sono quindi affidate a servizi MDR. Quelle che sfortunatamente vengono colpite fanno leva sulle polizze delle cyber assicurazioni e assumono professionisti specializzati che non solo possono ridurre gli importi dei riscatti versati, ma anche velocizzare il ritorno alla normalità e persino bloccare gli attacchi in corso. Naturalmente il ransomware può essere sempre ‘curato’ mediante strategie di sicurezza proattive come l’autenticazione multifattore e l’applicazione delle patch, la presenza di solidi team specializzati in sicurezza e, soprattutto, l’attenzione a non dare agli attaccanti ciò che essi desiderano – i soldi”, ha dichiarato Chester Wisniewski, director, field CISO di Sophos.

Come difendersi

Sophos consiglia le seguenti best practice:

– Eliminare le comuni cause tecniche e operative degli attacchi, come per esempio le vulnerabilità, utilizzando soluzioni che aiutino le aziende a comprendere il proprio profilo di rischio e minimizzare l’esposizione agli attacchi.

– Assicurarsi che tutti gli endpoint (server compresi) siano ben difesi mediante protezione anti-ransomware dedicata.

– Disporre di un collaudato piano di risposta agli incidenti da usare in caso di necessità. Mantenere backup affidabili e verificarne regolarmente il ripristino.

Le aziende hanno bisogno di capacità di monitoraggio e rilevamento attive 24 ore su 24. Se non possiedono le risorse necessarie al proprio interno, possono rivolgersi a un provider MDR di fiducia.