Gli attacchi ransomware complessivamente sono in lieve flessione, ma la loro complessità e l'impatto finanziario continuano a crescere.
Il ransomware continua a rappresentare una minaccia significativa per le organizzazioni di tutto il mondo. La quinta edizione dello studio annuale The State of Ransomware 2024 fornisce un'analisi approfondita del pericolo ransomware non solo per la numerica degli attacchi, ma anche per vittimologia, riscatti, danni arrecati e tempi di recupero. La ricerca, condotta da Vanson Bourne su commissione di Sophos, ha coinvolto 5.000 leader IT/cybersecurity di organizzazioni di 14 Paesi con un numero di dipendenti incluso fra 100 e 5.000 persone, raccogliendo dati sulle loro esperienze dell'anno precedente.
Nel complesso, la fotografia scattata dal report conferma (anche se non n’era bisogno) che la minaccia del ransomware, benché ormai nota e diffusa, è in continua evoluzione, con tattiche e tecniche sempre più sofisticate e costose. Infatti, nonostante una leggera diminuzione del numero complessivo di attacchi, la complessità e l'impatto finanziario degli attacchi continuano a crescere, rendendo essenziale una difesa di alto livello per limitare il più possibile i danni.
Alcuni dati sono particolarmente indicativi: nell’ultimo anno il 59% delle organizzazioni è stato colpito da ransomware (il dato è in calo rispetto al 66% degli anni precedenti), con la compromissione in media del 49% dei computer aziendali. Il riscatto medio richiesto è aumentato a oltre 2 milioni di dollari, con il 63% delle richieste superiori a 1 milione di dollari.
Preoccupa il dato sull’Italia, che risulta il terzo Paese per tasso di attacchi ransomware subiti (68%) dopo la Francia con il 74% e il Sud Africa con il 69%. Nel report l’Italia figura inoltre fra i cinque paesi che hanno riportato un tasso di attacco superiore rispetto al 2023, tutti nel Continente Europeo. Austria, Francia, Germania, Italia e Regno Unito. Secondo gli analisti, la causa potrebbe essere “un aumento del targeting delle organizzazioni europee, oppure una minore capacità di tali aziende di tenere il passo con l’evoluzione dei comportamenti degli attaccanti rispetto ad altre geografie”.
Il 94% delle organizzazioni colpite da ransomware conferma che gli attaccanti hanno tentato di compromettere i backup. I costi medi per il recupero sono aumentati a 2,73 milioni di dollari nel 2024, contro gli 1,82 milioni di dollari del 2023. Solo il 35% delle vittime è riuscita a recuperare tutti i propri dati in una settimana o meno (nel 2023 questo dato era del 47%) a causa di una crescente complessità degli attacchi.
Più sono alti i profitti, più l’azienda è interessante per i gruppi ransomware che, ricordiamo, agiscono sulla spinta di una motivazione economica. In particolare, dai sondaggi risulta che le aziende con entrate superiori a 5 miliardi di dollari sono quelle mediamente più soggette ad attacchi (il tasso di attacco risulta del 67%). Questo non significa che le realtà più piccole siano esenti da rischio: come sottolineato più volte, tutti sono potenziali vittime, e lo conferma il dato secondo cui è stato colpito circa metà (47%) delle organizzazioni con entrate inferiori a 10 milioni di dollari.
Ragionando per comparto industriale, i più gettonati dagli attacchi sono i settori governativo (68%) ed education (66%). È in calo invece la percentuale di attacchi contro le realtà locali (34%), forse per una minore capacità da parte di queste realtà di pagare i riscatti.
Le principali cause di attacco
Una informazione che segna un progresso nell’attenzione alla cybersecurity è che il 99% delle organizzazioni colpite da ransomware è stata in grado di identificare la causa principale dell'attacco. Purtroppo la prevenzione non è progredita altrettanto, considerato che il vettore più comune d’attacco è risultato essere ancora una volta lo sfruttamento delle vulnerabilità non chiuse (32%), seguito dagli attacchi basati su email (34%) con link o allegati dannosi.
Stando a quanto confermato dagli intervistati, il 70% degli attacchi ransomware ha portato alla crittografia dei dati (il dato è in lieve calo rispetto al 76% del 2023). Tuttavia, il tasso di crittografia varia notevolmente tra i settori, con il government che riporta il più alto tasso di crittografia (98%).
Inoltre, nel 32% degli incidenti in cui i dati sono stati crittografati, i dati sono stati anche rubati. I settori IT, tecnologia e telco sono stati i più colpiti dal furto di dati (53%), mentre l'education ha riportato il tasso più basso (18%).
Sta aumentando il tempo necessario per tornare all’operatività a seguito di un attacco ransomware. In dettaglio, solo il 35% delle vittime recupera completamente entro una settimana; il 34% impiega più di un mese (+24% rispetto all'anno passato). La compromissione dei backup prolunga significativamente i tempi di recupero. La buona notizia è che il 98% delle aziende che hanno subito la crittografia dei dati è riuscita a recuperarli, principalmente tramite backup (68%) o pagando il riscatto (56%).
I costi di recupero, tuttavia, sono elevati: esclusi i riscatti, mediamente si parla di 2,73 milioni di dollari (il dato è in forte crescita come evidenziato sopra). Quelle che hanno subìto l’aumento di costi di recupero più significativo sono le aziende con revenue comprese fra 250 e 500 milioni di dollari, che sono passate dalla media del 2023 di 885.018 dollari all’importo del 2024 di 2.885.296 dollari.
Ripristino dei dati: le percentuali tramite backup e pagamento del riscatto negli ultimi 5 anni
Abbiamo indicato che queste cifre sono al netto dei riscatti, ecco quindi questa voce: le richieste di riscatto sono aumentate a 4.321.880 dollari; l’importo mediano è di 2 milioni e il 30% delle richieste superava i 5 milioni di dollari. La contrattazione a volte riesce ad abbassare in parte le spese: solo il 24% delle organizzazioni ha pagato la somma inizialmente richiesta: il 44% ha negoziato per pagare meno e il 31% ha finito per pagare di più. Comunque, questa voce ha un costo molto elevato: il pagamento medio del riscatto è di 3.960.917 dollari.