Sophos ha diffuso i nuovi dati del report Sophos State of Ransomware in Manufacturing and Production 2025, che fotografa l’evoluzione delle minacce ransomware nel settore manifatturiero. Il quadro che emerge è articolato: da un lato le aziende industriali mostrano una maggiore capacità di intercettare e bloccare gli attacchi prima che i dati vengano cifrati; dall’altro, i gruppi criminali stanno adattando le proprie strategie, puntando sempre più sul furto di informazioni e sull’estorsione diretta.
Lo studio, basato su un’indagine indipendente che ha coinvolto 322 aziende manifatturiere colpite da ransomware nell’ultimo anno, evidenzia come la pressione sugli operatori industriali resti elevata. Nonostante i progressi sul fronte difensivo, oltre la metà delle organizzazioni che hanno subito un attacco ha comunque deciso di pagare un riscatto.
Uno dei segnali più rilevanti riguarda il calo delle percentuali di cifratura dei dati. Nel 2025 solo il 40% degli attacchi riusciti ha portato alla crittografia delle informazioni, il dato più basso degli ultimi cinque anni, con una riduzione del 74% rispetto all’anno precedente. Parallelamente, però, cresce il ricorso a tattiche di pura estorsione: i casi in cui gli attaccanti hanno rinunciato alla cifratura per concentrarsi sul furto dei dati sono saliti al 10%, contro il 3% del 2024.
Il data theft rimane infatti un problema centrale per il comparto industriale. Nel 39% degli attacchi andati a buon fine, alla cifratura si è affiancata la sottrazione di informazioni sensibili, una delle percentuali più elevate tra tutti i settori analizzati dal report.
Sul fronte della prevenzione, i numeri indicano un miglioramento significativo. Il 50% delle aziende manifatturiere è riuscito a fermare l’attacco ransomware prima che i dati venissero cifrati, più del doppio rispetto al 24% registrato dodici mesi fa. Un risultato che conferma l’efficacia di investimenti mirati in sicurezza, ma che non elimina le criticità strutturali.
Tra i fattori che continuano a favorire il successo degli attacchi emergono, infatti, la carenza di competenze interne, segnalata dal 42,5% degli intervistati, la presenza di vulnerabilità sconosciute (41,6%) e una protezione considerata inadeguata (41%). In media, le aziende colpite individuano almeno tre cause interne alla base degli incidenti.
Nonostante il miglioramento delle difese, il pagamento del riscatto resta una scelta diffusa. Il 51% delle realtà industriali che hanno subito la cifratura dei dati ha versato quanto richiesto dai criminali. La cifra mediana pagata si attesta a 1 milione di dollari, a fronte di una richiesta mediana pari a 1,2 milioni.
Si riducono, invece, tempi e costi di ripristino delle operazioni. Il costo medio per tornare alla normalità, escludendo i riscatti, è sceso del 24%, fermandosi a 1,3 milioni di dollari. Inoltre, il 58% delle aziende manifatturiere ha dichiarato di aver ripreso pienamente le attività entro una settimana dall’attacco, contro il 44% dell’anno precedente.
Il report mette infine in luce l’impatto organizzativo degli incidenti ransomware. Nel 47% dei casi si registra un aumento significativo dello stress nei team IT e di sicurezza, mentre il 44% delle aziende segnala una maggiore pressione da parte del top management. Nel 27% delle organizzazioni colpite, l’attacco ha portato anche a cambiamenti nelle posizioni di leadership, a conferma di quanto il ransomware continui a rappresentare una minaccia non solo tecnologica, ma anche gestionale e strategica per il settore industriale.
Rafforzamento delle difese a lungo termine
Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia le seguenti best practice per aiutare le aziende a tutelarsi dal ransomware e da altre cyberminacce:
- Eliminare le cause primarie: intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni — come la presenza di vulnerabilità sfruttabili — di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Riskpossono aiutare le aziende a valutare il proprio grado di esposizione al rischio e ridurlo in tutti i diversi ambienti.
- Difendere tutti gli endpoint: accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
- Pianificare e preparare: definire e collaudare regolarmente un piano di incident response Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
- Monitorare costantemente: la visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la loro resilienza incaricando un provider Managed Detection and Response (MDR) di fiducia affinché effettui un monitoraggio 24/7 delle minacce e intervenga in modo appropriato in caso di necessità.