Il mercato Retail è il secondo settore economico per attacchi ransomware subiti, alle spalle del comparto Media, Tempo Libero ed Entertainment. A livello globale è stato colpito il 77% degli operatori Retail, un valore in aumento del 75% rispetto al 2020 e superiore dell'11% rispetto al 66% di media generale. Di pari passo è cresciuto anche l'importo medio dei riscatti pagati: nel 2021 la cifra media estorta è stata di 226.044 dollari, circa il 53% in più rispetto al 2020 (147.811 dollari). In ogni caso, il dato rappresenta meno di un terzo della media generale di tutti i settori presi in esame (812.000 dollari).

Il 92% degli operatori del retail colpiti da ransomware ha affermato che l'attacco ha avuto conseguenze sul proseguimento delle attività e l'89% ha registrato la perdita di business o fatturato. Inoltre, il costo complessivo sostenuto dal settore retail nel 2021 per riprendere l'attività in seguito agli attacchi ransomware è stato di 1,27 milioni di dollari, in calo rispetto agli 1,97 milioni del 2020. Infine, rispetto al 2020, la quantità di dati recuperati dopo il pagamento del riscatto è diminuita (dal 67% al 62%), così come la percentuale di operatori che hanno riavuto indietro tutti i loro dati (dal 9% al 5%).

I dati procengono dal report The State of Ransomware in Retail 2022 redatto da Sophos sulla base di interviste a 5.600 professionisti di aziende di media grandezza in 31 Paesi. Di questi, 422 lavorano nel settore Retail. L’opinione diffusa è che le aziende del Manufacturing, del Finance, dell’Health o della PA possano rappresentare dei bersagli molto più allettanti di una piccola catena di negozi di abbigliamento, tuttavia è da notare che le percentuali di aziende colpite per settore differiscono di poco. Sempre secondo le rilevazioni di Sophos, sono 5 i settori in cui più del 70% delle aziende ha dichiarato di essere stato colpito da ransomware. Ai primi due, infatti, si aggiungono Energy e Utilities, Logistica e Trasporti e un non meglio identificato comparto Business e Servizi Professionali.

Se poi osserviamo che la rilevazione ha considerato aziende con un numero di dipendenti compreso tra 100 e 5mila, i conti a livello globale tornano un po’ di più. Ma è anche vero che in Italia di aziende impegnate nel Manufacturing, nel Finance e nell’Health con un numero di dipendenti inferiore a 5mila ce ne sono diverse. Da considerare, inoltre, che determinati settori, e il Finance è uno di questi, sono certamente più restii a dichiarare di essere stati vittima di un attacco.

Perché proprio il Retail

Premesso ciò, rimangono i dati oggetti relativi al Retail. “I singoli punti vendita e le piccole catene sono i bersagli più probabili di questi attaccanti opportunisti” - ha dichiarato Chester Wisniewski, principal research scientist di Sophos.

Le motivazioni per cui sono cambiati gli obiettivi dei cybercriminali sono confermate da diverse analisi. In primo luogo, è cambiato il senso dell’attacco. Oggi l’obiettivo non è “fare male” ma, in un certo senso, “get big, fast”. Ovvero, parafrasando il motto della new economy degli anni Duemila: fare soldi e in fretta. Dunque, le (vere e proprie) bande di criminali informatici organizzano degli attacchi con l’unico scopo di guadagnare soldi nel più breve tempo possibile. E puntano al volume più che al valore che possono ricavare dal singolo attacco.

Se, infatti, riprendiamo il valore della cifra media estorta (266.044 dollari, quasi l’80% in più rispetto al 2020), la ricerca evidenzia che il dato relativo al Retail rappresenta meno di un terzo della media generale di tutti i settori presi in esame (812.000 dollari). A questo aggiungiamo che il 70% dei retailer che hanno pagato il riscatto per liberare i propri dati ha sborsato meno di 100mila dollari. Ciò (anche) perché la tipologia dei dati da estorcere, e rivendere, a un retailer a un valore meno alto di quelli, per esempio, di un’istituzione sanitaria.

Meglio la rete che la lenza

Dunque, più attacchi con obiettivi economici più contenuti. Altro elemento che influisce nella scelta dell’obiettivo è la dimensione dell’azienda. Questo perché si presume che un’azienda mediopiccola sia meno protetta. Infine, il Retail, insieme al comparto Media, Tempo Libero ed Entertainment, presentano un numero di end point più elevato rispetto ad altri comparti.

Per contro, da segnalare una maggiore sensibilizzazione del comparto. Le medie relative alla disponibilità dei metodi di recupero dei dati, infatti, sono pressoché equivalenti a quelle di tutti i settori. Con una sola (minima) differenza: il 49% di chi ha subìto un attacco ha pagato, contro la media generale del 46%. E, in ogni caso, solo il 62% dei dati è stato recuperato.

“Secondo la nostra esperienza, le aziende che si difendono con successo da questi attacchi non utilizzano solamente difese a strati, ma le potenziano anche con l'apporto di personale formato per monitorare le violazioni di sistema e neutralizzare attivamente le minacce che superano il perimetro prima che possano detonare trasformandosi in problemi ben più seri” ha dichiarato sempre Wisniewski.

Un’indicazione che, però, non sembra essere ancora percepita in determinati mercati. Se, infatti, aumentano le aziende che stipulano polizze contro i rischi informatici e che utilizzano strumenti di data restore, i dati ci dicono che la tendenza a pagare sia ancora troppo diffusa.