News È il 2025 e metà di voi paga ancora i ransomware
3' 16''
01/07/2025

Sicurezza informatica: attacchi ai wallet crypto hardware, vulnerabilità nelle stampanti Brother, phishing su O365 senza takeover e altre minacce

È il 2025 e metà di voi paga ancora i ransomware
Le aziende sembrano aver sviluppato una strategia pragmatica nei confronti dei ransomware: accettarne il rischio come parte integrante del business moderno, ma negoziare attivamente per ridurre i danni economici. Secondo l'ultima ricerca di Sophos, che ha coinvolto 3.400 professionisti IT all'inizio del 2025, quasi la metà delle organizzazioni colpite continua a pagare i riscatti, ma con importi significativamente inferiori rispetto al passato. Questo approccio evidenzia come le aziende stiano imparando a gestire una minaccia ormai endemica nel panorama digitale contemporaneo.

Il paradosso dei pagamenti: più frequenti ma meno costosi

I dati raccolti da Sophos rivelano un trend apparentemente contraddittorio ma strategicamente sensato. Il 49% delle vittime ha deciso di pagare il riscatto richiesto, rappresentando il secondo tasso più alto degli ultimi sei anni, superato solo dal 56% registrato nel 2024. Tuttavia, gli importi versati ai criminali informatici sono diminuiti drasticamente: i riscatti richiesti si sono ridotti di un terzo rispetto all'anno precedente, mentre i pagamenti effettivi sono calati del 50%.

La capacità negoziale delle aziende sembra essere migliorata considerevolmente. Il 53% degli intervistati ha dichiarato di aver pagato meno dell'importo inizialmente richiesto, suggerendo che le organizzazioni stiano sviluppando competenze specifiche per minimizzare l'impatto finanziario degli attacchi ransomware. Chester Wisniewski, Field CISO di Sophos, osserva che "per molte organizzazioni, la possibilità di essere compromesse da attori ransomware è semplicemente parte del fare business nel 2025".

Vulnerabilità note e lacune di sicurezza persistenti

Nonostante la crescente consapevolezza del fenomeno, le modalità di attacco rimangono prevedibilmente legate a pratiche di sicurezza inadeguate. Il 32% degli incidenti ransomware deriva dallo sfruttamento di vulnerabilità già note e documentate, mentre il 40% delle vittime ammette che gli aggressori hanno approfittato di "lacune di sicurezza di cui non erano consapevoli".

Particolarmente preoccupante è il dato sull'utilizzo dei backup: solo il 54% delle aziende ha scelto di ripristinare i propri sistemi da copie di sicurezza, registrando il minimo degli ultimi sei anni. Questa tendenza suggerisce che molte organizzazioni preferiscono negoziare con i criminali piuttosto che affidarsi alle proprie infrastrutture di backup.

La minaccia ransomware è diventata parte integrante del business digitale moderno

MegaRAC: quando le vulnerabilità critiche tornano a colpire

La memoria corta nel mondo della cybersecurity può avere conseguenze devastanti. La vulnerabilità CVE-2024-54085 nel firmware AMI MegaRAC, classificata con il punteggio CVSS massimo di 10.0 e segnalata per la prima volta a marzo, è ora sotto sfruttamento attivo secondo gli avvisi CISA della scorsa settimana.

Questa falla consente agli attaccanti di aggirare completamente l'autenticazione tramite l'interfaccia Redfish Host, e i ricercatori di sicurezza avevano già identificato migliaia di sistemi esposti durante le indagini iniziali. Il fatto che molti sistemi vulnerabili non siano ancora stati aggiornati dimostra come la gestione delle patch rimanga un punto critico nella strategia di difesa aziendale.

Nuove frontiere del phishing: l'abuso di Microsoft Direct Send

I criminali informatici continuano a evolversi, sfruttando funzionalità legittime per scopi malevoli. Varonis ha identificato una campagna di phishing che abusa della funzione Direct Send di Microsoft 365, normalmente utilizzata da dispositivi come stampanti e scanner per inviare documenti via email senza autenticazione.

Questa tecnica ha permesso agli aggressori di colpire circa 70 organizzazioni senza compromettere nemmeno un account utente. I messaggi provenienti da dispositivi interni risultano più credibili e sollevano meno sospetti rispetto ai tradizionali attacchi di phishing esterni. La contromisura più efficace consiste nell'ispezionare attentamente gli header delle email e nel disabilitare Direct Send quando non strettamente necessario.

Hardware vulnerabile: dalle stampanti Brother ai wallet crypto

Il panorama delle vulnerabilità hardware si estende ben oltre i server aziendali. 689 modelli di stampanti multifunzione Brother presentano una falla di autenticazione incorreggibile (CVE-2024-51978, CVSS 9.8) che consente di rubare la password amministratore predefinita, generata in base al numero di serie del dispositivo. L'unica soluzione disponibile è la modifica manuale della password di default.

Anche il settore delle criptovalute non è immune da attacchi sofisticati. Trezor, produttore di wallet hardware, ha segnalato campagne di phishing che sfruttano il proprio modulo di contatto per inviare email fraudolente apparentemente provenienti dal supporto tecnico ufficiale, mirando a ottenere i codici di backup dei portafogli digitali degli utenti.

Condividi questo contenuto