Ransomware: il riscatto viene pagato da oltre metà (58%) delle aziende colpite in ambito retail

redazione

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, rende conto quanto emerso dalla quinta edizione del report Sophos State of Ransomware in Retail, un’indagine indipendente dai vendor condotta annualmente intervistando responsabili IT e della cybersicurezza di 16 Paesi.

I risultati di quest’anno rivelano come la causa primaria di quasi la metà (46%) degli incidenti ransomware registrati nel comparto retail sia riconducibile a falle sconosciute nella sicurezza delle aziende, a sottolineare le costanti difficoltà per riuscire a ottenere visibilità sulla superficie di attacco tipica del retail.

Il 58% delle vittime di attacchi ransomware ha versato un riscatto per poter recuperare i propri dati cifrati dagli autori dell’attacco: si tratta della seconda percentuale più alta degli ultimi cinque anni.

Principali risultati del report

  • Il 46% degli attacchi è iniziato grazie a una falla di sicurezza sconosciuta (principale fattore operativo)
  • Il 30% degli attacchi ha potuto sfruttare vulnerabilità note (principale causa tecnica primaria per il terzo anno consecutivo)
  • Il 58% delle vittime ha versato un riscatto per riottenere i propri dati. La cifratura dei dati è avvenuta nel 48% degli attacchi (valore più basso degli ultimi cinque anni)
  • La mediana dei riscatti richiesti è raddoppiata rispetto al 2024 arrivando a 2 milioni di dollari; il versamento medio è aumentato del 5% toccando il milione di dollari

Osservazioni di Sophos nel settore retail

Durante lo scorso anno, Sophos X-Ops ha identificato circa 90 gruppi criminali impegnati a colpire uno o più retailer con ransomware o estorsioni su siti di leak. I gruppi più attivi tra quelli rilevati nelle attività MDR e di incident response sono stati Akira, Cl0p, Qilin, PLAY e Lynx. Dopo il ransomware, la compromissione di account è stata la seconda tipologia di incidente più frequentemente registrata nel comparto retail. Come molti altri settori, il retail è un costante obiettivo di gruppi specializzati in attacchi BEC (Business Email Compromise) che tentano di dirottare i pagamenti delle aziende a proprio favore: si tratta del terzo tipo di incidente più comune.

“In tutto il mondo i retailer si confrontano con uno scenario di minacce più complesso e avversari costantemente alla ricerca di vulnerabilità da sfruttare, specialmente nell’accesso remoto e negli apparati di rete collegati a Internet. Ora, con le richieste di riscatto che toccano nuovi record, la necessità di implementare strategie di sicurezza complete è più evidente che mai. In loro mancanza, i retailer rischiano infatti interruzioni operative e danni reputazionali a lungo termine che possono richiedere anni prima di essere riassorbiti. Per fortuna molte aziende stanno iniziando a rendersi conto di questa situazione, a cui rispondono investendo in cyberdifese capaci di bloccare gli attacchi prima che possano diffondersi e ripristinare la normalità operativa più velocemente”, ha dichiarato Chester Wisniewski, director, global field CISO di Sophos.

La disponibilità di competenze interne limitate è stato il secondo fattore operativo più comune (45%) ad aver favorito il successo degli attacchi, seguito da falle nella copertura di sicurezza (44%). Senza le giuste competenze e l’opportuna copertura, i retailer non riescono a rilevare e neutralizzare gli attacchi.

Nonostante lo scenario complesso, vi sono anche segnali incoraggianti. La percentuale di attacchi fermati prima della fase di cifratura dei dati è stata la più alta dell’ultimo quinquennio, a indicare come gli operatori del retail stiano migliorando le loro capacità di rilevare e neutralizzare rapidamente gli attacchi. Le percentuali di cifratura dei dati sono al minimo del quinquennio: solo il 48% degli attacchi ransomware ha successo.

Se il riscatto medio versato dagli operatori del retail è aumentato del 5% (1 milione di dollari nel 2025 contro i 950.000 dollari del 2024), esso è tuttavia metà della cifra media richiesta in origine: questo suggerisce che i retailer stiano aumentando la resistenza a pretese eccessive e si stiano rivolgendo a esperti specializzati per un aiuto nel gestire le conseguenze degli attacchi ransomware.

“In ultima analisi, i programmi di sicurezza di successo si focalizzano sulla gestione del rischio. Per valutare e gestire i rischi, i retailer devono disporre di visibilità sulle minacce che affrontano, sui loro asset e sulla loro postura di sicurezza. Le organizzazioni che uniscono una solida capacità di gestione e patching degli asset con servizi Managed Detection and Response e servizi di rischio gestito bloccano più minacce e ritornano alla normalità in tempi più rapidi grazie all’approccio proattivo delle loro cyberdifese”.

Secondo il report State of Ransomware in Retail 2025:

  • I casi di cifratura dei dati stanno diminuendo, ma i cybercriminali si stanno adattando: sebbene le percentuali dei casi di cifratura dei dati siano al livello più basso degli ultimi cinque anni, i malintenzionati si stanno adattando considerando come la proporzione di retailer colpiti solamente da estorsioni sia triplicata passando dal 2% del 2023 al 6% del 2025.
  • Le percentuali di backup stanno scendendo: ha ripristinato i propri dati usando i backup il 62% dei retailer colpiti da attacchi, la percentuale più bassa da quattro anni a questa parte.
  • I retailer resistono alle richieste di riscatto: analizzando le richieste di riscatto e i pagamenti effettivi, solo il 29% dei retailer ha versato la cifra richiesta inizialmente; il 59% ha pagato di meno, mentre l’11% ha pagato di più.
  • I costi del recovery si stanno riducendo: fortunatamente, nello scorso anno il costo medio sostenuto per ritornare alla normalità operativa a seguito di un attacco ransomware, escluso ogni riscatto eventualmente pagato, è sceso del 40% arrivando a 1,65 milioni di dollari, la cifra più bassa dell’ultimo triennio.
  • Gli attacchi ransomware hanno avuto un impatto diretto sui team coinvolti: nel settore del retail, quasi metà (47%) dei team IT/cybersicurezza ha sperimentato un aumento delle pressioni in conseguenza dell’avvenuta cifratura dei dati a seguito di attacco ransomware, mentre in un quarto dei casi (26%) l’incidente ha portato al rimpiazzo della relativa leadership.

Rafforzamento delle difese a lungo termine

Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia le seguenti best practice per aiutare le aziende a tutelarsi dal ransomware e da altre cyberminacce:

  • Eliminare le cause primarie: intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni — come la presenza di vulnerabilità sfruttabili — di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Risk possono aiutare le aziende a valutare il proprio grado di esposizione al rischio e ridurlo in tutti i diversi ambienti.
  • Difendere tutti gli endpoint: accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
  • Pianificare e preparare: definire e collaudare regolarmente un piano di incident response completo. Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
  • Monitorare costantemente: la visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la loro resilienza incaricando un Managed Detection and Response (MDR) di fiducia affinché effettui un monitoraggio 24/7 delle minacce e intervenga in modo appropriato in caso di necessità.

ARTICOLI CORRELATIMORE FROM AUTHOR