Il ransomware è diventato un problema sistemico

Diciamo ransomware e tutti sappiamo di cosa si tratta. Ransom in inglese significa riscatto, e applicato al mondo IT il ransom è la somma di denaro richiesta dai cybercriminali in cambio della restituzione dei dati rubati o criptati. E siccome sono criminali, non ti chiedono di fare un bonifico, ma il pagamento viene richiesto in criptovalute per rendere più difficile il tracciamento.

Ma quale è l’impatto reale di questi attacchi? Davvero difficile capirlo, ma alcuni studi e report ci aiutano nell’impresa. Ho analizzato il Ransomware Insights Report 2025 di Barracuda, realizzato in collaborazione con Vanson Bourne, che raccoglie interviste a 2.000 IT Manager in aziende da 50 a 2.000 dipendenti, distribuite in 10 paesi nei 5 continenti. 

Un attacco su due va a segno

Il dato più allarmante emerso dal report è che il 57% delle organizzazioni intervistate ha subito almeno un attacco ransomware andato a buon fine nel 2024. Il 31% di queste è stato colpito più di una volta, ciò significa che la vulnerabilità è decisamente alta e le porte di ingresso che gli hacker usano sono diverse (applicazioni, network, email, dati).

I settori più colpiti? Sanità, pubblica amministrazione e retail. Lo studio indica che la dimensione aziendale non è un fattore determinante: le percentuali di attacchi riusciti sono simili tra piccole, medie e grandi imprese.

La correlazione tra violazioni di email e attacchi ransomware è evidente: il 71% delle organizzazioni che ha subito una violazione email è stata anche vittima di ransomware. Il che significa che l’email rimane il principale punto di ingresso, con il phishing e le sue varianti che fanno la parte del leone.

Troppi strumenti, poca integrazione

Lo studio evidenzia come le aziende colpite tendano ad avere un ecosistema di sicurezza frammentato, con troppi strumenti non integrati. Questo fenomeno, che in gergo si chiama security sprawl, rende difficile rilevare e mitigare le minacce in tempo utile. La soluzione? Una protezione efficace richiede un approccio integrato e multilivello (è decisamente finito il tempo in cui la mano sinistra non sa cosa fa la destra, anche in cybersecurity).

Pagare il riscatto? Una scelta rischiosa, molto rischiosa.

Il 32% delle vittime ha pagato il riscatto per recuperare i dati, ma il 41% di queste non li ha riavuti indietro. Insomma, pagare non garantisce il recupero e in alcuni casi le aziende che pagano sono più spesso bersaglio di nuovi attacchi, anche da parte degli stessi criminali. Del resto, se l’azienda ha pagato una volta, perché non dovrebbe farlo anche una seconda? (pensa l’hacker, e come dargli torto). Fortunatamente, il 65% delle vittime è riuscito a ripristinare i dati dai backup, evitando dunque l’estorsione.

Il ransomware non si limita più a criptare i dati. Secondo gli intervistati, gli attacchi moderni includono anche:

• Furto di dati (27%)
• Installazione di payload aggiuntivi (29%)
• Movimenti laterali nella rete (25%)
• Infezione di più endpoint (26%)
• Elevazione dei privilegi (16%)
• Backdoor e meccanismi di persistenza (21%)
• Cancellazione di backup e shadow copies (19%)

Le conseguenze: reputazione, clienti e opportunità perse

Oltre ai danni tecnici, ecco le principali ripercussioni evidenziate dal report:

• Danno reputazionale (41%)
• Interruzione operativa (38%)
• Costi di ripristino (36%)
• Perdita di dati sensibili (34%)
• Perdita di clienti e opportunità di business (25%)

E quindi come possiamo proteggerci?

Ho preparato un decalogo di consigli pratici e azioni concrete (in ordine sparso) per rafforzare la difesa contro il ransomware, tenendo conto che a mio giudizio la impenetrabilità totale non esiste.

1. Backup sicuri e testati: ricordiamo la regola del 3-2-1, tre copie di dati, su due supporti diversi, di cui una off site.
2. Autenticazione multifattore (MFA) e principio del minimo privilegio. Ogni utente deve avere accesso solo alle risorse strettamente necessarie per svolgere le proprie funzioni. 
3. Patch management: aggiornamenti costanti!
4. Formazione continua del personale. Ricordiamoci che noi umani siamo l’anello debole.
5. Segmentazione della rete. Indispensabile per limitare i movimenti laterali se gli hacker hanno trovato il modo di entrare.
6. Controllo delle configurazioni. Penso soprattutto agli ambienti cloud.

1. Email security avanzata. Non commettiamo l’errore di credere che, siccome abbiamo un antispam, allora siamo protetti.
2. Protezione delle applicazioni web e delle interfacce API. Penso soprattutto a chi ha siti di e-commerce.
3. Piani di risposta agli incidenti. Inanzitutto bisogna avere un piano. Ma se lo abbiamo, non può restare solo sulla carta. Deve essere testato regolarmente attraverso simulazioni ed esercitazioni.
4. Consulenza di esperti esterni. Se il dipartimento IT è troppo piccolo o non ha le competenze interne, affidiamoci ad un SOC esterno (Security Operation Center), attivo 24 ore al giorno (gli hacker colpiscono prevalentemente quando noi stiamo dormendo).

La sicurezza informatica non è mai statica. Sfortunatamente, le minacce evolvono e così devono fare anche le nostre difese. Se il nostro approccio rimane solo quello di reagire ad un attacco, probabilmente perderemo. Se invece siamo proattivi, abbracciamo una strategia integrata e diventiamo resilienti, saremo in grado di prevenire e contrastare anche gli attacchi più sofisticati