Sophos rende conto quanto emerso dalla quinta edizione del report Sophos State of Ransomware in Retail, un’indagine indipendente dai vendor condotta annualmente intervistando responsabili IT e della cybersicurezza di 16 Paesi.
I risultati di quest’anno rivelano come la causa primaria di quasi la metà degli incidenti ransomware registrati nel comparto retail sia riconducibile a falle sconosciute nella sicurezza delle aziende, a sottolineare le costanti difficoltà per riuscire a ottenere visibilità sulla superficie di attacco tipica del retail.
Il 58% delle vittime di attacchi ransomware ha versato un riscatto per poter recuperare i propri dati cifrati dagli autori dell’attacco: si tratta della seconda percentuale più alta degli ultimi cinque anni.
Il 46% degli attacchi è iniziato grazie a una falla di sicurezza sconosciuta. Il 30% degli attacchi ha potuto sfruttare vulnerabilità note. Il 58% delle vittime ha versato un riscatto per riottenere i propri dati. La cifratura dei dati è avvenuta nel 48% degli attacchi. La mediana dei riscatti richiesti è raddoppiata rispetto al 2024 arrivando a 2 milioni di dollari; il versamento medio è aumentato del 5% toccando il milione di dollari
Durante lo scorso anno, Sophos X-Ops ha identificato circa 90 gruppi criminali impegnati a colpire uno o più retailer con ransomware o estorsioni su siti di leak. I gruppi più attivi tra quelli rilevati nelle attività MDR e di incident response sono stati Akira, Cl0p, Qilin, PLAY e Lynx. Dopo il ransomware, la compromissione di account è stata la seconda tipologia di incidente più frequentemente registrata nel comparto retail. Come molti altri settori, il retail è un costante obiettivo di gruppi specializzati in attacchi BEC che tentano di dirottare i pagamenti delle aziende a proprio favore: si tratta del terzo tipo di incidente più comune.
“In tutto il mondo i retailer si confrontano con uno scenario di minacce più complesso e avversari costantemente alla ricerca di vulnerabilità da sfruttare, specialmente nell’accesso remoto e negli apparati di rete collegati a Internet. Ora, con le richieste di riscatto che toccano nuovi record, la necessità di implementare strategie di sicurezza complete è più evidente che mai. In loro mancanza, i retailer rischiano infatti interruzioni operative e danni reputazionali a lungo termine che possono richiedere anni prima di essere riassorbiti. Per fortuna molte aziende stanno iniziando a rendersi conto di questa situazione, a cui rispondono investendo in cyberdifese capaci di bloccare gli attacchi prima che possano diffondersi e ripristinare la normalità operativa più velocemente”, ha dichiarato Chester Wisniewski, director, global field CISO di Sophos.
La disponibilità di competenze interne limitate è stato il secondo fattore operativo più comune ad aver favorito il successo degli attacchi, seguito da falle nella copertura di sicurezza. Senza le giuste competenze e l’opportuna copertura, i retailer non riescono a rilevare e neutralizzare gli attacchi.
Nonostante lo scenario complesso, vi sono anche segnali incoraggianti. La percentuale di attacchi fermati prima della fase di cifratura dei dati è stata la più alta dell’ultimo quinquennio, a indicare come gli operatori del retail stiano migliorando le loro capacità di rilevare e neutralizzare rapidamente gli attacchi. Le percentuali di cifratura dei dati sono al minimo del quinquennio: solo il 48% degli attacchi ransomware ha successo.
Se il riscatto medio versato dagli operatori del retail è aumentato del 5%, esso è tuttavia metà della cifra media richiesta in origine: questo suggerisce che i retailer stiano aumentando la resistenza a pretese eccessive e si stiano rivolgendo a esperti specializzati per un aiuto nel gestire le conseguenze degli attacchi ransomware.
“In ultima analisi, i programmi di sicurezza di successo si focalizzano sulla gestione del rischio. Per valutare e gestire i rischi, i retailer devono disporre di visibilità sulle minacce che affrontano, sui loro asset e sulla loro postura di sicurezza. Le organizzazioni che uniscono una solida capacità di gestione e patching degli asset con servizi Managed Detection and Response e servizi di rischio gestito bloccano più minacce e ritornano alla normalità in tempi più rapidi grazie all’approccio proattivo delle loro cyberdifese”.
I casi di cifratura dei dati stanno diminuendo, ma i cybercriminali si stanno adattando: sebbene le percentuali dei casi di cifratura dei dati siano al livello più basso degli ultimi cinque anni, i malintenzionati si stanno adattando considerando come la proporzione di retailer colpiti solamente da estorsioni sia triplicata passando dal 2% del 2023 al 6% del 2025.
Le percentuali di backup stanno scendendo: ha ripristinato i propri dati usando i backup il 62% dei retailer colpiti da attacchi, la percentuale più bassa da quattro anni a questa parte.
I retailer resistono alle richieste di riscatto: analizzando le richieste di riscatto e i pagamenti effettivi, solo il 29% dei retailer ha versato la cifra richiesta inizialmente; il 59% ha pagato di meno, mentre l’11% ha pagato di più.
I costi del recovery si stanno riducendo: fortunatamente, nello scorso anno il costo medio sostenuto per ritornare alla normalità operativa a seguito di un attacco ransomware, escluso ogni riscatto eventualmente pagato, è sceso del 40% arrivando a 1,65 milioni di dollari, la cifra più bassa dell’ultimo triennio.
Gli attacchi ransomware hanno avuto un impatto diretto sui team coinvolti: nel settore del retail, quasi metà dei team IT/cybersicurezza ha sperimentato un aumento delle pressioni in conseguenza dell’avvenuta cifratura dei dati a seguito di attacco ransomware, mentre in un quarto dei casi l’incidente ha portato al rimpiazzo della relativa leadership.
