Nonostante il numero degli attacchi ransomware sia leggermente diminuito quest’anno, con il 59% delle organizzazioni colpite, rispetto al 66% del 2023, il pagamento medio del riscatto è aumentato del 500% nell’ultimo anno. 

Le aziende che hanno pagato il riscatto hanno registrato un pagamento medio di 2 milioni di dollari, rispetto ai 400.000 dollari del 2023. È quanto emerge dalla nuova edizione del report annuale  “State of Ransomware 2024″ di Sophos, società di cybersicurezza.

I dati usati per il report The State of Ransomware 2024 sono tratti da un sondaggio indipendente dai vendor che ha coinvolto 5.000 responsabili IT e della cybersicurezza tra gennaio e febbraio 2024 in 14 Paesi di Americhe, EMEA e Asia-Pacifico. Le organizzazioni interpellate avevano tra i 100 e i 5.000 dipendenti con un fatturato compreso tra meno di 10 milioni e oltre 5 miliardi di dollari.

I riscatti sono solo una parte dei costi. A parte i riscatti, l’indagine ha rilevato che i costi di ripristino toccano mediamente la cifra di 2,73 milioni di dollari, con un aumento di quasi un milione di dollari rispetto agli 1,82 milioni di dollari registrati da Sophos nel 2023.

Sebbene la probabilità di essere attaccati aumenti con il fatturato, anche le organizzazioni più piccole (meno di 10 milioni di dollari di fatturato) sono regolarmente prese di mira, tanto che nell’anno trascorso è stata colpita dal ransomware poco meno della metà di esse (47%).

Il rapporto 2024 ha inoltre rilevato che:

•  il 63% delle richieste di riscatto è stato pari o superiore al milione di dollari
• il 30% delle richieste superiori a 5 milioni di dollari

L’aumento degli importi dei riscatti non riguarda solo le organizzazioni con i fatturati più consistenti. Nell’ultimo anno quasi la metà (46%) delle organizzazioni con un fatturato inferiore a 50 milioni di dollari ha ricevuto una richiesta di riscatto a sette cifre.

I Paesi che hanno registrato il tasso più alto di attacchi ransomware:

• Francia 74%
• Sud Africa 69%
• Italia 68%

I tassi di attacco più bassi sono stati registrati dagli intervistati in Brasile (44%), Giappone (51%) e Australia (54%).

Le cause degli attacchi

Per il secondo anno consecutivo, la causa principale degli attacchi più comunemente identificata è stata l’exploit della vulnerabilità, che ha riguardato il 32% delle aziende. Seguono le credenziali compromesse (29%) e le e-mail pericolose (23%).

Dove gli attacchi sono partiti sfruttando la vulnerabilità si è registrato l’impatto più grave sulle organizzazione, con una percentuale più elevata di backup compromessi (75%), dati crittografati (67%) e propensione al pagamento del riscatto (71%) rispetto ai casi in cui gli attacchi sono partiti da credenziali compromesse. Le aziende intervistate hanno subito anche un impatto finanziario e operativo superiore, con un costo medio di ripristino di 3,58 milioni di dollari rispetto ai 2,58 milioni di dollari degli attacchi basati sulle credenziali compromesse oltre a una percentuale maggiore di organizzazioni attaccate che hanno impiegato più di un mese per ritornare alla normalità.

Altri dati emersi dal report:

• Meno di un quarto (24%) delle aziende che hanno versato un riscatto ha pagato la somma originariamente richiesta, mentre il 44% ha affermato di aver pagato meno di quanto richiesto inizialmente
• I riscatti pagati sono stati mediamente pari al 94% della cifra richiesta all’inizio
• In più di quattro quinti dei casi (82%) i fondi utilizzati per pagare il riscatto sono stati recuperati da più fonti. Nel complesso, il 40% dei fondi è stato fornito dalle aziende stesse e il 23% dalle compagnie assicurative
• Il 94% delle aziende colpite da ransomware nello scorso anno ha affermato che i cybercriminali hanno cercato di compromettere i backup nel corso degli attacchi; tale proporzione sale al 99% nel caso degli enti pubblici. Nel 57% dei casi, i tentativi di colpire i backup hanno avuto successo
• Nel 32% degli incidenti che hanno provocato la cifratura dei dati, questi ultimi sono stati anche sottratti – un lieve aumento rispetto al 30% dell’anno precedente – aumentando la capacità degli autori dei cyber attacchi di estorcere denaro alle loro vittime