Secondo il quinto report dedicato al malware nel settore retail di Sophos, nel 2025 il 46% degli incidenti nel comparto è causato da falle sconosciute nella cybersicurezza aziendale. State of Ransomware in Retail è un’indagine indipendente dai vendor condotta annualmente intervistando responsabili IT e della cybersicurezza di 16 Paesi. I risultati di quest’anno sottolineano le costanti difficoltà per riuscire a ottenere visibilità sulla superficie di attacco tipica del retail. Inoltre il 58% delle vittime di attacchi ransomware ha versato un riscatto per poter recuperare i dati cifrati dagli autori dell’attacco. Si tratta della seconda percentuale più alta degli ultimi 5 anni.
Quanto impattano gli incidenti ransomware nelle aziende
Il 46% degli attacchi è iniziato grazie a una falla di sicurezza sconosciuta (principale fattore operativo).
Il 30% degli attacchi ha potuto sfruttare vulnerabilità note (principale causa tecnica primaria per il terzo anno consecutivo).
Il 58% delle vittime ha versato un riscatto per riottenere i propri dati. La cifratura dei dati è avvenuta nel 48% degli attacchi (valore più basso degli ultimi 5 anni).
La mediana dei riscatti richiesti è raddoppiata rispetto al 2024 arrivando a 2 milioni di dollari. Il versamento medio è aumentato del 5% toccando il milione di dollari.
Più attenzione a compromissione degli account e attacchi BEC
Durante lo scorso anno, Sophos X-Ops ha identificato circa 90 gruppi criminali impegnati a colpire uno o più retailer con ransomware o estorsioni su siti di leak. I gruppi più attivi tra quelli rilevati nelle attività MDR e di incident response sono stati Akira, Cl0p, Qilin, PLAY e Lynx. Dopo il ransomware, la compromissione di account è stata la seconda tipologia di incidente più frequentemente registrata nel comparto retail. Come molti altri settori, il retail è un costante obiettivo di gruppi specializzati in attacchi BEC (Business Email Compromise) che tentano di dirottare i pagamenti delle aziende a proprio favore. Si tratta del terzo tipo di incidente più comune.
Necessario investire su strategie di sicurezza complete
Chester Wisniewski, director, global field CISO di Sophos In tutto il mondo i retailer si confrontano con uno scenario di minacce più complesso e avversari costantemente alla ricerca di vulnerabilità da sfruttare. Specialmente nell’accesso remoto e negli apparati di rete collegati a Internet. Ora, con le richieste di riscatto che toccano nuovi record, la necessità di implementare strategie di sicurezza complete è più evidente che mai. In loro mancanza, i retailer rischiano infatti interruzioni operative e danni reputazionali a lungo termine che possono richiedere anni prima di essere riassorbiti. Per fortuna molte aziende stanno iniziando a rendersi conto di questa situazione. A essa rispondono investendo in cyberdifese capaci di bloccare gli attacchi prima che possano diffondersi e ripristinare la normalità operativa più velocemente.
Più competenze per contrastare gli attacchi ransomware
La disponibilità di competenze interne limitate è stato il secondo fattore operativo più comune (45%) ad aver favorito il successo degli attacchi. Seguono le falle nella copertura di sicurezza (44%). Senza le giuste competenze e l’opportuna copertura, i retailer non riescono a rilevare e neutralizzare gli attacchi. Nonostante lo scenario complesso, vi sono anche segnali incoraggianti. La percentuale di attacchi fermati prima della fase di cifratura dei dati è stata la più alta dell’ultimo quinquennio.
Gli operatori del retail
Questo indica come gli operatori del retail stiano migliorando le loro capacità di rilevare e neutralizzare rapidamente gli attacchi. Le percentuali di cifratura dei dati sono al minimo del quinquennio: solo il 48% degli attacchi ransomware ha successo. Se il riscatto medio è aumentato del 5% (un milione di dollari nel 2025 vs i 950.000 del 2024), esso è tuttavia metà della cifra media richiesta in origine. Questo perché i retailer stanno aumentando la resistenza a pretese eccessive e si rivolgono agli esperti per gestire le conseguenze degli attacchi.
Bisogna cambiare approccio
Chester Wisniewski In ultima analisi, i programmi di sicurezza di successo si focalizzano sulla gestione del rischio. Per valutare e gestire i rischi, i retailer devono disporre di visibilità sulle minacce che affrontano, sui loro asset e sulla loro postura di sicurezza. Le organizzazioni che uniscono una solida capacità di gestione e patching degli asset con servizi Managed Detection and Response e servizi di rischio gestito bloccano più minacce. E inoltre ritornano alla normalità in tempi più rapidi grazie all’approccio proattivo delle loro cyberdifese.
I principali insight dello State of Ransomware in Retail 2025
I casi di cifratura dei dati stanno diminuendo, ma i cybercriminali si stanno adattando.
Le percentuali di backup stanno scendendo.
I retailer resistono alle richieste di riscatto: solo il 29% dei retailer ha versato la cifra richiesta inizialmente; il 59% ha pagato di meno, l’11% di più.
I costi del recovery si stanno riducendo: il costo medio sostenuto per ritornare alla normalità operativa, escluso ogni riscatto eventualmente pagato, è sceso del 40%.
Gli attacchi ransomware hanno avuto un impatto diretto sui team coinvolti.
Rafforzamento delle difese a lungo termine. I consigli di Sophos
Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia alcune best practice per tutelarsi da ransomware e altre cyberminacce:
eliminare le cause primarie. Intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Risk possono aiutare a valutare il proprio grado di esposizione al rischio e ridurlo.
Difendere tutti gli endpoint. Accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
Pianificare e preparare. Definire e collaudare regolarmente un piano di incident response completo. Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
Monitorare costantemente. La visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la resilienza incaricando un Managed Detection and Response (MDR) di fiducia affinché effettui un monitoraggio 24/7 delle minacce. E quindi intervenga in modo appropriato in caso di necessità.
