Il 58% delle aziende del settore retail ha versato un riscatto per riottenere i propri dati. È quanto emerge dal nuovo report Sophos State of Ransomware in Retail 2025, che mette in luce una tendenza preoccupante: le richieste di riscatto sono raddoppiate rispetto all’anno precedente, mentre i versamenti continuano ad aumentare.
Le falle sconosciute restano la porta d’ingresso principale
Secondo lo studio, quasi la metà degli attacchi ransomware (46%) è partita da vulnerabilità non ancora note, segno di una scarsa visibilità sulla superficie di attacco. Un ulteriore 30% ha sfruttato vulnerabilità già conosciute ma non risolte, a conferma della persistente difficoltà di gestione del patching.
Le cifre delineano un quadro preoccupante: il 58% delle vittime ha pagato il riscatto, mentre la cifratura dei dati si è verificata nel 48% dei casi, il valore più basso degli ultimi cinque anni. Tuttavia, la mediana dei riscatti richiesti è salita a 2 milioni di dollari, mentre il versamento medio ha raggiunto 1 milione di dollari, in crescita del 5% rispetto al 2024.
Sophos: “Scenario di minacce sempre più complesso”
Negli ultimi dodici mesi, il team Sophos X-Ops ha monitorato circa 90 gruppi criminali attivi contro il retail, tra cui Akira, Cl0p, Qilin, PLAY e Lynx. Dopo il ransomware, le forme più comuni di attacco riguardano la compromissione di account e i BEC (Business Email Compromise), che puntano a deviare pagamenti aziendali.
Come spiega Chester Wisniewski, Director e Global Field CISO di Sophos, “i retailer affrontano un panorama di minacce in rapida evoluzione, dove gli avversari sfruttano ogni vulnerabilità, in particolare quelle legate all’accesso remoto. Le richieste di riscatto toccano nuovi record e la necessità di strategie di sicurezza complete è più evidente che mai.”
Competenze carenti e lacune di copertura
Il report evidenzia come la carenza di competenze interne (45%) e la copertura di sicurezza incompleta (44%) restino tra i principali fattori che facilitano gli attacchi. Senza strumenti e risorse adeguate, molte aziende non riescono a rilevare tempestivamente le intrusioni.
Ciononostante, ci sono segnali positivi: la percentuale di attacchi fermati prima della cifratura dei dati è la più alta del quinquennio, a dimostrazione di un miglioramento nella capacità di rilevamento e risposta rapida.
Attacchi più sofisticati, ma costi di recovery in calo
I dati mostrano che i casi di cifratura dei dati sono in diminuzione, ma cresce la quota di attacchi puramente estorsivi, triplicata dal 2% del 2023 al 6% nel 2025. Solo il 62% dei retailer ha potuto ripristinare i dati tramite backup, il valore più basso degli ultimi quattro anni.
Sul fronte economico, se il riscatto medio pagato è aumentato, i costi di ripristino delle attività sono scesi del 40%, raggiungendo 1,65 milioni di dollari, il livello più basso dell’ultimo triennio. Inoltre, il 59% delle aziende ha pagato meno del riscatto richiesto, segno di una maggiore capacità negoziale e di supporto da parte di esperti esterni.
Conseguenze interne e pressione sui team IT
Quasi la metà dei team di sicurezza (47%) ha riportato un aumento significativo dello stress operativo dopo un attacco, e nel 26% dei casi si è verificato un cambio nella leadership. Il ransomware continua dunque a rappresentare una minaccia non solo economica, ma anche organizzativa.
Le raccomandazioni di Sophos
Sophos invita i retailer a rafforzare le difese e a prevenire le cause principali degli incidenti, intervenendo su punti deboli tecnici e operativi. Le buone pratiche suggerite includono:
- Eliminare le vulnerabilità note e sconosciute, anche tramite servizi di Managed Risk.
- Proteggere tutti gli endpoint con difese anti-ransomware dedicate.
- Pianificare e testare regolarmente piani di incident response e backup.
- Monitorare costantemente l’ambiente IT, ricorrendo a servizi di Managed Detection and Response (MDR) per garantire una sorveglianza 24/7.
Una minaccia in evoluzione
Il Sophos State of Ransomware in Retail 2025, basato su un’indagine condotta tra gennaio e marzo su 361 aziende di 16 Paesi, fotografa un settore ancora vulnerabile, ma più consapevole. La lotta contro il ransomware nel retail si gioca oggi sulla proattività, sulla gestione del rischio e sulla capacità di visibilità continua: elementi che, secondo Sophos, faranno la differenza tra chi subirà un attacco e chi saprà evitarlo.
