Nel primo trimestre del 2022, a livello globale ogni settimana una azienda su 53 è stata colpita da ransomware. Tenuto conto che la stessa media nel primo trimestre del 2021 era di 1 azienda su 66, gli attacchi hanno subìto una crescita del 24% anno su anno. La media settimanale è ancora peggiore se si restringe il campo alla regione EMEA, dove gli attacchi registrati sono stati 1 su 45 (+37% rispetto all'anno precedente), mentre è lievemente migliore in Europa, dove il dato medio settimanale è di 1 azienda su 68 (+16%).

Sono alcuni dei dati pubblicati da Check Point Research (CPR) alla luce dell’ennesima analisi condotta sui leak del gruppo Conti e diversi data set relativi alle vittime di ransomware. Un lavoro certosino, che ha portato a formulare nuove statistiche sull'economia legata ai ransomware.

Costi nascosti

Il dato più interessante fra quelli estrapolati da CPR riguarda i costi. Spesso le vittime giustificano la decisione di pagare adducendo ragioni finanziarie: pagare sembra apparentemente meno dispendioso che affrontare i costi legati al mancato pagamento. Gli esperti sfatano questo mito: la spesa causata da un attacco ransomware, in realtà è 7 volte superiore al calcolo iniziale.

Gli importi dei riscatti, infatti, non sono uguali per tutte le vittime. Calcoli alla mano, i criminali informatici chiedono una somma coerente con le entrate annuali della vittima, pari a una percentuale compresa fra lo 0,7% e il 5% del fatturato. Mentre più alte sono le entrate annuali della vittima, più bassa è la percentuale delle entrate che verrà richiesta, poiché tale percentuale rappresenta un valore numerico maggiore in dollari.

La contrattazione è una parte fondamentale. I gruppi ransomware rispettano chiare regole per avere successo nella negoziazione con le vittime, influenzando il processo e le dinamiche. Prima di tutto conducono una stima accurata dello stato finanziario della vittima. A concorrere al calcolo del riscatto non è solo il fatturato, ma anche la qualità dei dati esfiltrati durante l’attacco, l’esistenza di un’assicurazione che copra dai danni cyber. Quindi entrano in campo l'approccio e gli interessi dei negoziatori delle vittime, e in ultimo la reputazione del gruppo ransomware: uno famoso e temuto può permettersi di puntare più in alto di un gruppo sconosciuto.

In sostanza, quindi, il riscatto pagato, che è il dato di cui si occupa la maggior parte delle ricerche, non è un dato chiave, non è un importo fisso e nulla è lasciato al caso, a partire dalla contrattazione. Per risparmiare, quindi, più che prendere decisioni in emergenza, è necessario predisporre adeguate difese informatiche, in particolare un piano di risposta ben definito.

Non ultimo, è emerso anche un dato interessante sulla durata degli attacchi, il cosiddetto Dwell Time. Analogamente a quanto rilevato qualche giorno fa da Mandiant, è sceso in maniera significativa nel 2022 rispetto al 2021. Rispettivamente, sono stati conteggiati 9 giorni, in confronto ai 15 giorni dell’anno passato.