Riepilogo del Blog del Rapporto sulle Tendenze del Ransomware di Veeam
SBVeeam ha recentemente pubblicato il suo rapporto annuale sui ransomware per aumentare la consapevolezza della crisi moderna dei ransomware e condividere conoscenze su come gli attori delle minacce prendono di mira le loro vittime. Questo ultimo rapporto evidenzia le 6 principali tendenze dei ransomware osservate quest'anno e offre approfondimenti sulla sua evoluzione prevista.
In questo rapporto, Veeam ha intervistato leader IT, Chief Information Security Officers (CISO) e professionisti della sicurezza in 1.300 organizzazioni in tutto il mondo per vedere come si sono ripresi dagli attacchi informatici.
Lo scopo di questo blog è riassumere il rapporto di 18 pagine di Veeam in un'analisi breve di ciascuna delle sei tendenze evidenziate, i fattori chiave di successo per come le organizzazioni si sono riprese con successo dalle minacce informatiche e gli impatti positivi del passaggio a una postura di cybersecurity proattiva.
Le 6 principali tendenze dei ransomware nel 2025
#1: Le forze dell'ordine costringono gli attori delle minacce ad adattarsi
Nel 2024, le agenzie di enforcement hanno smantellato con successo diversi gruppi di ransomware di alto profilo, tra cui LockBit, BlackCat e Black Basta. Sebbene questi smantellamenti siano stati un passo significativo in avanti nella difesa informatica, hanno provocato un cambiamento nei ransomware, molto simile a un virus che si adatta per superare nuovi vaccini.
Attori delle minacce più piccoli e criminali informatici indipendenti sono proliferati, prendendo di mira sempre più le piccole e medie imprese (PMI) con difese più deboli. Inoltre, alcuni gruppi si sono allontanati da attacchi a infrastrutture critiche di alto profilo per evitare il controllo delle forze dell'ordine, adattando le loro strategie per continuare a operare.
#2: Gli attacchi di esfiltrazione dei dati crescono
Gli attori dei ransomware danno priorità all'esfiltrazione dei dati come tattica principale, con un numero crescente di vittime che paga riscatti senza che si verifichi alcuna crittografia. Questo spostamento verso attacchi "smash and grab" sfrutta spesso applicazioni e infrastrutture cloud poco sicure ed è accompagnato da un aumento della doppia estorsione, in cui i dati rubati vengono sia bloccati che minacciati di pubblicazione.
Allo stesso tempo, gli attaccanti hanno ridotto drasticamente il tempo di permanenza—il periodo tra la compromissione iniziale e l'esecuzione dell'attacco—con alcuni dei principali gruppi di ransomware che operano entro 24 ore dalla violazione di una rete. Sfruttando il movimento laterale e prendendo di mira infrastrutture critiche come gli hypervisor VMware ESXi, questi gruppi costringono le vittime a pagare, in particolare quando le difese di cybersecurity deboli rendono più difficile la rilevazione e la contenimento.
#3: I pagamenti per i ransomware stanno diminuendo
I pagamenti per i ransomware sono diminuiti dal 2023 al 2024, segnando un cambiamento positivo nella resilienza informatica. Oltre un terzo delle organizzazioni colpite ha rifiutato di pagare (36%), e il 25% ha recuperato i propri dati senza un riscatto. Coloro che hanno pagato spesso hanno negoziato importi inferiori, con il 60% che ha pagato meno della metà della richiesta iniziale. Ed è opportuno menzionare che il 17% dei rispondenti ha comunque pagato il riscatto ma non ha mai recuperato i propri dati.
Gli esperti di risposta agli incidenti sono contributori chiave a questi fatti—le aziende che lavorano con Coveware by Veeam erano significativamente meno propense a pagare, rafforzando il valore delle misure di cybersecurity proattive.
Le organizzazioni stanno resistendo alle richieste di riscatto a causa della mancanza di convinzione di poter riavere i propri dati—gli hacker spesso non rilasciano i dati anche dopo il pagamento. Per contrastare questo, molti hanno rafforzato le loro strategie di risposta agli incidenti, trovando fornitori che offrono backup immutabili per garantire la protezione e il recupero dei dati senza pagare un riscatto.
#4: Conseguenze legali emergenti dei pagamenti di riscatto
La crescente pressione normativa e l'applicazione coordinata tra le giurisdizioni hanno anche contribuito alla diminuzione dei pagamenti di riscatto. L'Iniziativa Internazionale contro i Ransomware (CRI) ha unito 68 paesi nel disturbare le operazioni di ransomware, con 40 membri che si sono impegnati a scoraggiare le organizzazioni dal pagare riscatti.
“Il 69% delle organizzazioni che hanno pagato un riscatto sono state attaccate più di una volta.”
—Tendenze sui Ransomware 2025 & Strategie Proattive
Alcuni governi, tra cui il Regno Unito e due stati americani, hanno emanato o proposto leggi che vietano i pagamenti di riscatto nel settore pubblico. Inoltre, l'FBI avverte contro il pagamento dei riscatti, e il Tesoro degli Stati Uniti ha dichiarato i potenziali rischi di sanzioni, rafforzando la necessità per le organizzazioni di valutare le ripercussioni legali del pagamento del riscatto in caso di crisi.
#5: La collaborazione rafforza la resilienza contro i ransomware
I team di sicurezza sono sotto pressione a causa di molteplici vettori di attacco. Migliorare la collaborazione tra le operazioni IT e i team di sicurezza aiuta le organizzazioni a rafforzare le loro difese poiché il cambiamento a livello aziendale non si realizza mai in un silos. Tuttavia, il 52% afferma che sono necessari cambiamenti significativi per allineare questi gruppi.
Nel frattempo, i fornitori di tecnologia stanno collaborando per condividere approfondimenti sui ransomware e offrire soluzioni di sicurezza. Segnalare gli attacchi informatici alle forze dell'ordine e alle reti di settore aiuta anche le organizzazioni a rimanere un passo avanti rispetto alle minacce.
#6: I budget per la sicurezza e il recupero aumentano, ma serve di più
Tra le organizzazioni intervistate, il 94% ha aumentato il proprio budget per il recupero per il 2025 e il 95% ha aumentato il proprio budget per la prevenzione. Nonostante l'aumento dei budget per la cybersecurity e il recupero, le organizzazioni affrontano ancora significative lacune nelle difese contro i ransomware; la necessità di più risorse supera il budget che le supporta. Veeam ha osservato che le organizzazioni tendono a dare priorità alla sicurezza rispetto al recupero—anche se dovrebbe essere trovato un equilibrio, l'investimento insufficiente in uno dei due può rappresentare una potenziale vulnerabilità per gli attori delle minacce.
Fattori chiave di successo
Riprendersi da un attacco ransomware richiede azioni rapide e un approccio strutturato. Le organizzazioni possono rafforzare il loro recupero agendo rapidamente per contenere la violazione, dando priorità al ripristino dei dati rispetto ai pagamenti di riscatto e migliorando la sicurezza per prevenire futuri incidenti. Un recupero efficace dipende anche dal coordinamento tra i team e dalla formazione continua dei dipendenti per migliorare la consapevolezza informatica.
Al centro di una strategia resiliente c'è la capacità di massimizzare il recupero di dati e sistemi: ad esempio puntando al ripristino di oltre l'80% dei server e del 90% dei dati interessati. Equamente critico è migliorare la preparazione attraverso esercizi rigorosi di cybersecurity, strategie di backup validate e test frequenti, specialmente poiché le organizzazioni spesso sovrastimano la loro prontezza, con la fiducia che diminuisce in media del 20% dopo un attacco. Enfasi sulla Proattività.
Veeam esorta tutti i lettori a passare da una posizione reattiva a una proattiva sulla resilienza informatica e sul recupero. Metti insieme un piano prima che i ransomware colpiscano poiché è una questione di quando, non di se. Presso Object First, seguiamo una mentalità di “Assumere una Violazione” che accetta che individui, dispositivi e servizi che tentano di accedere alle risorse aziendali siano compromessi e non debbano essere considerati affidabili. Il modo migliore per pianificare un recupero resiliente e di successo è proteggere i repository di dati con backup immutabili e verifica dei backup in modo che gli attaccanti non possano modificare o eliminare i file di recupero.
Veeam riporta che solo il 32% dei rispondenti ha utilizzato repository immutabili, nonostante l'89% delle organizzazioni riporti che gli attaccanti hanno preso di mira i loro backup. Data questa minaccia persistente, garantire i backup con immutabilità è fondamentale. La tua vera ultima linea di difesa non è AV, IAM, IDS, EDR o XDR—è una soluzione sicura, backup immutabile e i criminali informatici lo sanno.
