Il paradosso dei pagamenti: più frequenti ma meno costosi
I dati raccolti da Sophos rivelano un trend apparentemente contraddittorio ma strategicamente sensato. Il 49% delle vittime ha deciso di pagare il riscatto richiesto, rappresentando il secondo tasso più alto degli ultimi sei anni, superato solo dal 56% registrato nel 2024. Tuttavia, gli importi versati ai criminali informatici sono diminuiti drasticamente: i riscatti richiesti si sono ridotti di un terzo rispetto all'anno precedente, mentre i pagamenti effettivi sono calati del 50%.
La capacità negoziale delle aziende sembra essere migliorata considerevolmente. Il 53% degli intervistati ha dichiarato di aver pagato meno dell'importo inizialmente richiesto, suggerendo che le organizzazioni stiano sviluppando competenze specifiche per minimizzare l'impatto finanziario degli attacchi ransomware. Chester Wisniewski, Field CISO di Sophos, osserva che "per molte organizzazioni, la possibilità di essere compromesse da attori ransomware è semplicemente parte del fare business nel 2025".
Vulnerabilità note e lacune di sicurezza persistenti
Nonostante la crescente consapevolezza del fenomeno, le modalità di attacco rimangono prevedibilmente legate a pratiche di sicurezza inadeguate. Il 32% degli incidenti ransomware deriva dallo sfruttamento di vulnerabilità già note e documentate, mentre il 40% delle vittime ammette che gli aggressori hanno approfittato di "lacune di sicurezza di cui non erano consapevoli".
Particolarmente preoccupante è il dato sull'utilizzo dei backup: solo il 54% delle aziende ha scelto di ripristinare i propri sistemi da copie di sicurezza, registrando il minimo degli ultimi sei anni. Questa tendenza suggerisce che molte organizzazioni preferiscono negoziare con i criminali piuttosto che affidarsi alle proprie infrastrutture di backup.
MegaRAC: quando le vulnerabilità critiche tornano a colpire
La memoria corta nel mondo della cybersecurity può avere conseguenze devastanti. La vulnerabilità CVE-2024-54085 nel firmware AMI MegaRAC, classificata con il punteggio CVSS massimo di 10.0 e segnalata per la prima volta a marzo, è ora sotto sfruttamento attivo secondo gli avvisi CISA della scorsa settimana.
Questa falla consente agli attaccanti di aggirare completamente l'autenticazione tramite l'interfaccia Redfish Host, e i ricercatori di sicurezza avevano già identificato migliaia di sistemi esposti durante le indagini iniziali. Il fatto che molti sistemi vulnerabili non siano ancora stati aggiornati dimostra come la gestione delle patch rimanga un punto critico nella strategia di difesa aziendale.
Nuove frontiere del phishing: l'abuso di Microsoft Direct Send
I criminali informatici continuano a evolversi, sfruttando funzionalità legittime per scopi malevoli. Varonis ha identificato una campagna di phishing che abusa della funzione Direct Send di Microsoft 365, normalmente utilizzata da dispositivi come stampanti e scanner per inviare documenti via email senza autenticazione.
Questa tecnica ha permesso agli aggressori di colpire circa 70 organizzazioni senza compromettere nemmeno un account utente. I messaggi provenienti da dispositivi interni risultano più credibili e sollevano meno sospetti rispetto ai tradizionali attacchi di phishing esterni. La contromisura più efficace consiste nell'ispezionare attentamente gli header delle email e nel disabilitare Direct Send quando non strettamente necessario.
Hardware vulnerabile: dalle stampanti Brother ai wallet crypto
Il panorama delle vulnerabilità hardware si estende ben oltre i server aziendali. 689 modelli di stampanti multifunzione Brother presentano una falla di autenticazione incorreggibile (CVE-2024-51978, CVSS 9.8) che consente di rubare la password amministratore predefinita, generata in base al numero di serie del dispositivo. L'unica soluzione disponibile è la modifica manuale della password di default.
Anche il settore delle criptovalute non è immune da attacchi sofisticati. Trezor, produttore di wallet hardware, ha segnalato campagne di phishing che sfruttano il proprio modulo di contatto per inviare email fraudolente apparentemente provenienti dal supporto tecnico ufficiale, mirando a ottenere i codici di backup dei portafogli digitali degli utenti.