Il nuovo report Sophos State of Ransomware in Manufacturing and Production 2025 evidenzia come il settore industriale sia stato in grado di bloccare un maggior numero di attacchi ransomware prima che questi potessero crittografare i dati delle aziende colpite. Tuttavia, i malintenzionati continuano a tenere sotto pressione le loro vittime sottraendo dati e utilizzando tattiche di pura estorsione. La conseguenza è che più di metà delle realtà industriali colpite ha versato un riscatto nonostante i passi avanti compiuti nel rafforzamento delle proprie difese. Il report in questione si basa su un sondaggio indipendente al quale hanno partecipato 322 aziende manifatturiere colpite da ransomware nel corso dell’ultimo anno.
Cambiano le strategie di attacco
Lo studio, in particolare, ha evidenziato come:
- Le percentuali di cifratura sono in calo, ma gli attaccanti stanno cambiando tattiche: i dati delle realtà industriali colpite da attacchi sono stati crittografati con successo dai malintenzionati nel 40% dei casi. Si tratta della percentuale più bassa degli ultimi cinque anni e corrisponde a una riduzione del 74% rispetto all’anno precedente. Di contro, le estorsioni sono salite al 10% (nel 2024 erano state solo il 3%) poiché i malintenzionati si stanno spostando verso il furto di dati.
- Il furto di dati resta un problema significativo: la cifratura dei dati è stata accompagnata dalla sottrazione delle informazioni stesse nel 39% degli attacchi andati a buon fine. Si tratta di una delle percentuali più elevate riscontrate tra tutti i diversi settori analizzati.
- Aumenta la capacità di fermare gli attacchi ransomware prima che possano crittografare i dati: il 50% delle aziende industriali è riuscito a bloccare gli attacchi prima che i dati potessero essere cifrati. Questa percentuale è più che doppia rispetto al 24% dello scorso anno.
- Carenza di competenze e protezione inadeguata favoriscono gli attacchi: l’indisponibilità di competenze è stata sottolineata dal 42,5% degli intervistati, le vulnerabilità sconosciute sono state indicate dal 41,6% e la mancanza di protezione dal 41%. Gli intervistati hanno identificato in media tre fattori interni quali cause degli attacchi.
- I riscatti sono stati versati da più di metà delle realtà industriali colpite dalla cifratura dei dati: il 51% delle aziende colpite ha pagato il riscatto. La cifra mediana versata è stata pari a 1 milione di dollari contro una richiesta mediana di 1,2 milioni.
- Migliorano tempi e costi di ritorno alla normalità: il costo medio sostenuto per ripristinare le operazioni a seguito di un attacco ransomware, escludendo i riscatti versati, è sceso del 24% totalizzando 1,3 milioni di dollari. Il 58% delle società industriali è riuscito a tornare alla completa normalità entro una settimana rispetto al 44% dello scorso anno.
- Gli incidenti ransomware hanno un impatto sui team IT e della sicurezza: il 47% dei produttori industriali ha rilevato maggiori livelli di stress nei team chiamati ad affrontare l’avvenuta cifratura crittografica dei dati. Il 44% ha riportato superiori pressioni da parte del senior management, mentre nel 27% delle aziende colpite si sono verificati ricambi nelle posizioni di leadership.
I sistemi interconnessi piacciono ai ransomware
“La produzione manifatturiera dipende da sistemi interconnessi nei quali anche una breve interruzione operativa è in grado di bloccare il processo con conseguenze attraverso le varie supply chain”, ha dichiarato Alexandra Rose, Director of Threat Research della Counter Threat Unit di Sophos. “I malintenzionati sfruttano questa pressione: nonostante i casi di cifratura dei dati siano scesi al 40%, il valore mediano dei riscatti pagati è stato ancora pari a un milione di dollari. Anche se metà degli operatori industriali intervistati ha bloccato gli attacchi prima che potessero cifrare alcunché, i costi di recovery sono stati mediamente di 1,3 milioni di dollari, per non parlare degli elevati livelli di stress sostenuti dai responsabili coinvolti. Difese stratificate, visibilità continua e piani di risposta ben collaudati sono essenziali per ridurre l’impatto operativo e il rischio finanziario”.
Negli ultimi dodici mesi, Sophos X-Ops ha osservato attività ransomware sui siti di leak rilevando 99 differenti gruppi criminali attivi contro il settore industriale; tra essi, i principali sono GOLD SAHARA (Akira), GOLD FEATHER (Qilin) e GOLD ENCORE (PLAY). Rispecchiando le tendenze evidenziate nel report, in oltre la metà degli incidenti ransomware gestiti da Sophos Emergency Incident Response gli attaccanti hanno sia sottratto che crittografato i dati, sottolineando il ricorso a una doppia tattica di estorsione nella quale i dati vengono cifrati in attesa di un riscatto con la minaccia di diffonderli in caso contrario su qualche sito di leak.
Più difese a lungo termine
Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia le seguenti best practice per aiutare le aziende a tutelarsi dal ransomware e da altre cyberminacce:
- Eliminare le cause primarie: intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni — come la presenza di vulnerabilità sfruttabili — di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Risk possono aiutare le aziende a valutare il proprio grado di esposizione al rischio e ridurlo in tutti i diversi ambienti.
- Difendere tutti gli endpoint: accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
- Pianificare e preparare: definire e collaudare regolarmente un piano di incident response completo. Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
Monitorare costantemente: la visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la loro resilienza incaricando un provider Managed Detection and Response (MDR) di fiducia affinché effettui un monitoraggio 24/7 delle minacce e intervenga in modo appropriato in caso di necessità.
