Secondo il report di Sophos il settore industriale nel 2025 è riuscito a bloccare preventivamente più attacchi ransomware, con i criminali che hanno preferito focalizzarsi su estorsioni e furti di dati. Il report Sophos State of Ransomware in Manufacturing and Production 2025si basa su un sondaggio indipendente al quale hanno partecipato 322 aziende manifatturiere colpite da ransomware nel corso dell’ultimo anno.
Gli attaccanti stanno cambiando tattica
Nel 40% dei casi i dati delle realtà industriali colpite da attacchi sono stati crittografati con successo dai malintenzionati. Ovvero la percentuale più bassa degli ultimi 5 anni, che corrisponde a un -74% rispetto all’anno precedente. Di contro, le estorsioni sono salite al 10% (nel 2024 erano state solo il 3%) poiché i malintenzionati si stanno spostando verso il furto di dati. La cifratura dei dati è stata accompagnata dalla sottrazione delle informazioni stesse nel 39% degli attacchi andati a buon fine. Si tratta di una delle percentuali più elevate riscontrate tra tutti i diversi settori analizzati.
Bloccare gli attacchi ransomware prima che vengano crittografati i dati
il 50% delle aziende industriali è riuscito a fermare gli attacchi prima che i dati potessero essere cifrati. Questa percentuale è più che doppia rispetto al 24% dello scorso anno. La carenza di competenze e protezione inadeguata favoriscono tuttavia gli attacchi. Infatti l’indisponibilità di competenze è stata sottolineata dal 42,5% degli intervistati. Mentre le vulnerabilità sconosciute sono state indicate dal 41,6% e la mancanza di protezione dal 41%. Gli intervistati hanno identificato in media 3 fattori interni quali cause degli attacchi.
Migliorano tempi e costi di ritorno alla normalità
I riscatti sono stati versati da più di metà (51%) delle realtà industriali colpite dalla cifratura dei dati. La cifra mediana versata è stata pari a un milione di dollari contro una richiesta mediana di 1,2 milioni. Il costo medio sostenuto per ripristinare le operazioni a seguito di un attacco ransomware, escludendo i riscatti versati, è sceso del 24% totalizzando 1,3 milioni di dollari. Il 58% delle società industriali è riuscito a tornare alla completa normalità entro una settimana rispetto al 44% dello scorso anno. Da segnalare anche che il 47% dei produttori industriali ha rilevato maggiori livelli di stress nei team chiamati ad affrontare l’avvenuta cifratura crittografica dei dati. Il 44% ha riportato superiori pressioni da parte del senior management, nel 27% delle aziende colpite si sono verificati ricambi nelle posizioni di leadership.
Nonostante il calo i riscatti pesano ancora sul budget aziendale
Alexandra Rose, Director of Threat Research della Counter Threat Unit di Sophos La produzione manifatturiera dipende da sistemi interconnessi nei quali anche una breve interruzione operativa è in grado di bloccare il processo. Il tutto con conseguenze attraverso le varie supply chain. I malintenzionati sfruttano questa pressione: nonostante i casi di cifratura dei dati siano scesi al 40%, il valore mediano dei riscatti pagati è stato ancora pari a un milione di dollari.
Anche se metà degli operatori industriali intervistati ha bloccato gli attacchi prima che potessero cifrare alcunché, i costi di recovery sono stati mediamente di 1,3 milioni di dollari. Per non parlare degli elevati livelli di stress sostenuti dai responsabili coinvolti. Difese stratificate, visibilità continua e piani di risposta ben collaudati sono essenziali per ridurre impatto operativo e rischio finanziario.
Ransomware: le osservazioni di Sophos nel settore industriale
Negli ultimi 12 mesi, Sophos X-Ops ha osservato attività ransomware sui siti di leak rilevando 99 differenti gruppi criminali attivi contro il settore industriale. Tra essi, i principali sono GOLD SAHARA (Akira), GOLD FEATHER (Qilin) e GOLD ENCORE (PLAY). Rispecchiando le tendenze evidenziate nel report, in oltre la metà degli incidenti ransomware gestiti da Sophos Emergency Incident Response gli attaccanti hanno sia sottratto che crittografato i dati. Sottolineando il ricorso a una doppia tattica di estorsione nella quale i dati vengono cifrati in attesa di un riscatto con la minaccia di diffonderli in caso contrario su qualche sito di leak.
Rafforzamento delle difese a lungo termine
Sulla base della propria esperienza nella protezione di realtà retail di tutto il mondo, Sophos consiglia alcune best practice per aiutare le aziende a tutelarsi da ransomware e altre cyberminacce:
Eliminare le cause primarie. Intraprendere azioni proattive per affrontare i punti deboli tecnici e operativi comuni — come la presenza di vulnerabilità sfruttabili — di cui i malintenzionati approfittano frequentemente. Soluzioni come Sophos Managed Risk possono aiutare le aziende a valutare il proprio grado di esposizione al rischio e ridurlo in tutti i diversi ambienti.
Difendere tutti gli endpoint. Accertarsi che tutti gli endpoint, server compresi, risultino protetti con difese anti-ransomware dedicate per evitare che gli attacchi possano prendere piede nell’ambiente aziendale.
Pianificare e preparare. Definire e collaudare regolarmente un piano di incident response completo. Mantenere backup affidabili e praticare periodicamente i ripristini per minimizzare le interruzioni operative in caso di attacco.
Monitorare costantemente. La visibilità continua è essenziale. Le organizzazioni prive di risorse interne possono rafforzare la loro resilienza incaricando un provider Managed Detection and Response (MDR) di fiducia. E questo affinché il provider effettui un monitoraggio 24/7 delle minacce e intervenga in caso di necessità.
