Ransomware ancora una piaga, ma nel 2023 calano i pagamenti dei riscatti

Il numero di vittime di attacchi ransomware che ha scelto di pagare il riscatto è stato del 29% nel quarto trimestre del 2023, facendo segnare un nuovo minimo storico. E' la società Coveware, che si occupa di assistere vittime di ransomware ed ha quindi una visione esclusiva sul panorama, a stilare il resoconto evidenziando una tendenza interessante, in corso dalla metà del 2021: allora le vittime che decidevano di pagare sono scese al 46%, rispetto all'85% dell'inizio del 2019.

Le ragioni dietro a questa tendenza sono varie, ma per tutte si può cogliere una nota di positività: le organizzazioni sono ora più preparate a far fronte alla minaccia ransomware, le vittime non hanno fiducia che il pagamento del riscatto sia garanzia di non vedere i propri dati pubblicati online e, infine, il fatto che in alcune zone del mondo il pagamento di un riscatto è ritenuto illegale.

Anche quando i dati vengono rubati e non solo crittografati, il tasso di pagamento è stato del 26% nel corso dell'ultimo trimestre. E, in generale, sono diminuiti non solo il numero di vittime che ha scelto di pagare il riscatto, ma anche l'importo in dollari dei pagamenti effettuati.

Coveware ha rilevato che nel quarto trimestre del 2023 i pagamenti di riscatto hanno avuto un importo medio di poco più di 568 mila dollari, con un calo del 33% rispetto al trimestre precedente, mentre il pagamento mediano è stato di 200 mila dollari.

Un altro dato che registra una diminuzione è quello della dimensione media delle organizzazioni vittime di attacchi ransomware, segnando un'inversione di tendenza rispetto a quanto verificatosi dal secondo trimestre del 2022, quando gli attori di minaccia hanno deciso di mettere nel mirino le aziende di grandi dimensioni e avere la possibilità di richiedere riscatti ingenti, a compensazione di un previsto calo dei tassi di pagamento.

Coveware esprime inoltre una riflessione sull'argomento dei divieti al pagamento del riscatto, osservando che si tratta di una misura che può sembrare condivisibile in linea teorica, ma nella realtà dei fatti rischia di essere più dannosa che altro. Nel momento in cui viene imposto un divieto è infatti probabile che le aziende siano meno incoraggiate a denunciare gli eventuali incidenti, preferendo risolvere la situazione rivolgendosi ad intermediari di dubbia affidabilità. In aggiunta, in uno scenario di questo tipo, risulterebbe difficile alle autorità e agli esperti di sicurezza promuovere un ambiente collaborativo con le vittime.

Invece dei divieti trasversali, Coveware suggerisce di adottare una serie di iniziative che insieme consentono di ridurre la possibilità di trarre profitto dagli attacchi ransomware, con l'obiettivo di lungo periodo di scoraggiare gli attori di miniaccia nel perpetrare i loro crimini. Tra queste, l'imposizione di sanzioni significative per la mancata divulgazione di incidenti di sicurezza, evitando però la responsabilità personale dei CISO e, ancora, l'adozione di misure strategiche che riducano l'attrattiva e la facilità dei pagamenti di riscatto, riducendo l'efficacia dei ransomware come attività redditizia per i criminali.

Nel corso del 2024 i ransomware rappresenteranno ancora una delle sfide principali per la sicurezza informatica, ma il calo dei pagamenti è una tendenza positiva che dimostra come gli sforzi costruiti nel corso degli anni per affrontare il problema stiano portando nella giusta direzione.