Pagare il riscatto per avere le chiavi di decodifica dei dati dopo un attacco di ransomware non conviene. Così facendo, le aziende spendono fino al doppio in più per ripristinare l’attività di business. È questa la conclusione a cui sono giunti i ricercatori di Sophos nella ricerca "The State of Ransomware 2020". Il conto è presto fatto. Se l'azienda paga il riscatto, il costo medio per rimediare ai danni dell'attacco ransomware è pari a circa 1,4 milioni di dollari. Chi non paga riduce la spesa a circa 730.000 dollari.

La ricerca ha coinvolto 5.000 responsabili della sicurezza IT di 26 paesi in sei continenti, tra cui l'Europa. È emerso che il 51% delle aziende ha subito un attacco ransomware significativo nell'ultimo anno. Nel 73% dei casi i dati sono stati crittografati. Tenuto conto dei tempi di inattività del business, degli ordini persi e dei costi operativi, il costo medio dell'attacco ransomware è stato di 730.000 dollari. Se si aggiunge il pagamento del riscatto, il conto arriva a 1,4 milioni di dollari.
Il conteggio è stato possibile perché delle aziende intervistate, circa il 27% ha pagato il riscatto. Il 56% non l'ha fatto perché era in grado di recuperare i propri dati dai backup. Fra le aziende private, l'1% ha pagato il riscatto ma non è riuscita a recuperare i dati. In ambito pubblico questa percentuale è salita al 5%. Di fatto, il 13% delle organizzazioni del settore pubblico intervistate non è mai riuscito a ripristinare i propri dati.

Fortunatamente per loro, il settore pubblico è stato meno colpito dal ransomware: solo il 40% circa delle aziende in questa categoria fra quelle intervistate. Le più bersagliate sono state le attività dei media, del tempo libero e dell'intrattenimento, dove si è registrato il 60% degli attacchi.

Il panico e il pressing per il riscatto

Quando si verifica un attacco ransomware e le attività aziendali si bloccano, si scatena il panico. Le aziende sono sotto pressione e il pagamento del riscatto sembra la strada migliore per ridurre i danni e accorciare i tempi di inattività. In realtà è solo un'illusione. I dati rilevati da Sophos (ma anche da altre ricerche precedenti) mostrano che pagare il riscatto fa poca differenza in termini di tempo e costi. 
La prima incognita di cui tenere conto è che di solito non basta una sola chiave di decodifica per recuperare i dati. Spesso gli aggressori generano diverse chiavi e utilizzarle richiede tempo. Nel caso di Maze, oltre alla richiesta di riscatto c'è la minaccia aggiuntiva di divulgazione pubblica dei dati. Avere il backup non è più sufficiente per decidere di non pagare, ci sono altre considerazioni da fare. Riguardo al backup, inoltre, sta accadendo sempre più spesso che gli aggressori cancellino e sabotino i backup proprio per spingere le vittime a pagare. Per non trovarsi nei guai è quindi diventato necessario custodire le copie di backup offline.