Nuovo rapporto Sophos “The State of Ransomware 2023”: dati aziendali criptati nel 76% dei casi di attacchi ransomware. Pagare il riscatto richiesto aumenta i costi di ripristino di oltre il doppio
Sophos ha presentato la nuova edizione del suo “The State of Ransomware Report 2023” che evidenzia come i cybercriminali siano riusciti a cifrare i dati delle loro vittime nel 76% degli attacchi ransomware sferrati contro le aziende prese in esame. Si tratta della percentuale più elevata mai registrata da quando Sophos ha iniziato a pubblicare questo report nel 2020.
Dal Rapporto emerge anche come le aziende che hanno pagato il riscatto abbiano finito con il raddoppiare i costi del ripristino (750.000 dollari in costi di recupero contro i 375.000 dollari delle aziende che hanno ripristinato i dati tramite il loro backup). Inoltre, il pagamento del riscatto implica solitamente tempi di recupero più lunghi: il 45% delle realtà che hanno utilizzato i backup ha recuperato i dati entro una settimana, rispetto al 39% di quelle che hanno pagato il riscatto.
Nel complesso è stato colpito da ransomware il 66% delle aziende intervistate, la stessa percentuale dell'anno scorso. Questo suggerisce che il ritmo degli attacchi sia rimasto stabile nonostante la grande rilevanza di questo fenomeno possa suggerire il contrario.
“Le percentuali di cifratura sono tornate a livelli molto alti dopo una temporanea flessione in occasione della pandemia, il che è un dato preoccupante. Le gang responsabili del ransomware hanno perfezionato le loro metodologie accelerando gli attacchi per ridurre il tempo a disposizione delle loro vittime per cercare di neutralizzare i tentativi di attacco. Quando si accetta di pagare il riscatto per recuperare i dat, i costi salgono notevolmente e la maggior parte delle vittime non riesce a recuperare tutti i file con il semplice acquisto delle chiavi di decifratura, dovendo comunque ricostruire e ripristinare i dati anche dai backup. Pagare il riscatto non solo arricchisce i criminali, ma rallenta anche la reazione di fronte agli incidenti e aumenta i costi di una situazione già di per sé incredibilmente onerosa”, ha dichiarato Chester Wisniewski, field CTO di Sophos.
Analizzando la causa primaria degli attacchi ransomware, il caso più comune è il ricorso a una vulnerabilità (36% dei casi) seguito dalla violazione di credenziali (29% dei casi). Questi dati sono in linea con quelli recentemente emersi dall’analisi di Sophos Everything Everywhere All At Once: The 2023 Active Adversary Report for Business Leaders.
Ecco alcuni dei dati particolarmente interessanti emersi dal report “State of Ransomware 2023”:
• Nel 30% dei casi in cui i dati sono stati cifrati si è verificato anche il furto degli stessi, a indicare che il metodo del “doppio colpo” (cifratura dei dati ed esfiltrazione dei dati) sta diffondendosi sempre più
• Il settore dell’istruzione ha registrato il livello più alto di attacchi ransomware: è infatti stato colpito il 79% degli istituti di istruzione superiore e l'80% di quelli di grado inferiore all'interno del campione esaminato
• Il 46% delle aziende intervistate colpite da un attacco ransomware ha pagato il riscatto e le organizzazioni più grandi sono state quelle più disposte a pagare. Più della metà delle aziende con un fatturato di 500 milioni di dollari o più ha pagato il riscatto, con la percentuale più alta registrata da quelle con un fatturato di oltre 5 miliardi di dollari. Ciò potrebbe essere parzialmente dovuto al fatto che le aziende più grandi sono quelle più spesso coperte da una polizza di cyber-assicurazione che copre il pagamento di riscatti
“Due terzi delle aziende dichiarano di essere cadute vittime di ransomware per il secondo anno di fila, si può ipotizzare che si sia raggiunto il picco del fenomeno. Il segreto per ridurre questa proporzione è quello di investire al massimo nella riduzione del tempo di rilevamento e di risposta all’attacco. La “caccia” alle minacce con l'ausilio di risorse specializzate è estremamente efficace per fermare i criminali, ma occorre che gli allarmi vengano analizzati e che i cybercriminali siano estromessi dai sistemi nell'arco di ore o di giorni, non di settimane o mesi. Analisti esperti sono in grado di riconoscere i segnali di un'intrusione in pochi minuti ed entrare in azione. Questa è probabilmente la differenza tra il terzo di aziende che resta al sicuro e i due terzi che non lo sono. Al giorno d’oggi bisogna restare vigili su base 24x7 se si vuole disporre di difese efficaci”, conclude Wisniewski.