Negli ultimi anni, il ransomware ha subito una rapida evoluzione, sia nelle tecniche di attacco che nelle strategie utilizzate dai cybercriminali per estorcere denaro alle loro vittime. Il rapporto “Sophos State of Ransomware 2024” mette in luce le principali tendenze emergenti e le modalità con cui gli attaccanti organizzano le loro richieste, massimizzando i profitti.
Aumento delle richieste di riscatto
Uno degli sviluppi più preoccupanti riguarda l’aumento significativo dell’importo medio delle richieste di riscatto. Secondo il rapporto, il pagamento medio del riscatto è aumentato da 812.380 dollari nel 2022 a oltre 1,5 milioni di dollari nel 2023. Questo incremento è legato a nuove tattiche mirate a colpire grandi organizzazioni con risorse finanziarie rilevanti, come quelle operanti nei settori della sanità, del manifatturiero e dell’istruzione. In questi casi, gli attaccanti spesso richiedono riscatti multimilionari, sapendo che le aziende sono disposte a pagare per evitare interruzioni operative e perdite di dati sensibili.
Nuove tecniche di estorsione
Oltre alla classica cifratura dei dati, gli aggressori hanno affinato le loro tecniche, adottando una doppia estorsione: non solo bloccano l’accesso ai dati, ma minacciano anche di pubblicarli o venderli se il riscatto non viene pagato. Questo approccio aumenta la pressione sulle vittime, che temono danni reputazionali e legali. Inoltre, alcune campagne di ransomware includono una terza estorsione, rivolta ai partner commerciali delle vittime.
Evoluzione delle negoziazioni
Le negoziazioni tra vittime e criminali stanno diventando sempre più sofisticate. Molti gruppi di ransomware iniziano con richieste molto elevate, prevedendo di negoziare verso il basso per ottenere comunque somme significative. In alcuni casi, utilizzano negoziatori professionisti per massimizzare il guadagno. Il rapporto Sophos evidenzia che il 70% degli attacchi ransomware nel 2024 ha coinvolto la cifratura dei dati, ma solo una minoranza delle vittime ha pagato l’intero importo richiesto inizialmente.
Metodi di pagamento e ruolo delle criptovalute
Le criptovalute restano il metodo preferito per i pagamenti dei riscatti, grazie all’anonimato che offrono. Tuttavia, con le autorità sempre più capaci di tracciare le transazioni, alcuni cybercriminali stanno esplorando alternative, come criptovalute meno note o pagamenti frammentati in più tranche. Alcuni gruppi di ransomware offrono persino piani di pagamento rateizzati, prolungando il controllo sulle vittime per aumentare le possibilità di guadagno.
La scelta del riscatto: pagare o no?
Nonostante le raccomandazioni degli esperti di sicurezza, molte organizzazioni scelgono ancora di pagare il riscatto per recuperare i propri dati. Tuttavia, questa pratica comporta rischi elevati: non vi è alcuna garanzia che gli aggressori forniscano le chiavi di decrittazione, né che i dati recuperati siano integri. Inoltre, chi paga il riscatto può diventare un obiettivo ricorrente per ulteriori attacchi.
Settori più colpiti: sanità e manifatturiero
L’impatto del ransomware varia in base al settore. La sanità è particolarmente vulnerabile, poiché le interruzioni dei servizi possono mettere a rischio la vita dei pazienti, oltre alla sicurezza dei dati sensibili. Anche il settore manifatturiero, fortemente dipendente da processi digitali e automazione, è soggetto a gravi conseguenze operative e finanziarie se non riesce a ripristinare rapidamente i propri sistemi.
Scarica il Report Sophos The State of Ransomware 2024
Prevenzione: l’importanza dei backup
Il modo più efficace per proteggersi dagli attacchi ransomware è mantenere backup regolari e sicuri dei dati. Le organizzazioni che utilizzano backup offline o separati dalla rete possono ripristinare i loro sistemi senza dover pagare il riscatto. Tuttavia, è essenziale proteggere i backup stessi, poiché molti attacchi mirano a rendere inutilizzabili anche questi.