Uno studio condotto dall’agente di polizia olandese Tom Meurs, presentato nella sua tesi di dottorato all’inizio del 2024 e citato dal governo dei Paesi Bassi, ha confermato un fenomeno tanto preoccupante quanto ormai sistematico nel mondo del cybercrimine: i gruppi di ransomware aumentano sensibilmente la cifra richiesta alle vittime se scoprono che l’azienda colpita dispone di una polizza di cyber-assicurazione. Secondo i dati raccolti da Meurs su 453 attacchi avvenuti tra il 2019 e il 2021, i criminali moltiplicano mediamente per 2,8 la loro richiesta di riscatto nel momento in cui rilevano che la vittima ha stipulato una copertura assicurativa specifica contro gli attacchi informatici.

La prima mossa degli attaccanti, una volta penetrati nella rete di un’azienda, è infatti cercare nei file documenti che contengano parole chiave come “insurance” o “policy”. Questa operazione, a quanto pare, è divenuta una prassi consolidata perché consente ai criminali di adeguare in tempo reale le loro richieste, confidando nel fatto che, proprio grazie alla polizza assicurativa, la vittima possa effettivamente disporre dei fondi per pagare, magari considerandolo il male minore rispetto ai danni derivanti da una paralisi operativa o dalla pubblicazione dei dati trafugati.

Il fenomeno si fa ancora più evidente nei cosiddetti attacchi di doppia estorsione, in cui oltre a bloccare i sistemi informatici con il ransomware, i criminali minacciano di divulgare i dati sottratti se il riscatto non viene pagato. In questi casi, la somma richiesta alle aziende assicurate è in media 5,5 volte superiore rispetto a quella chiesta alle aziende non coperte da assicurazione.

Meurs sottolinea che la presenza di una polizza induce spesso i criminali a calibrare con attenzione la richiesta, puntando a una cifra elevata ma comunque “pagabile”, nella convinzione che la compagnia assicurativa preferisca coprire il riscatto piuttosto che far fronte alle spese molto più ingenti che deriverebbero dal ripristino dei sistemi, dalla gestione della crisi e da eventuali cause legali. Questa dinamica, però, alimenta un circolo vizioso; pagare il riscatto incentiva ulteriori attacchi ed è proprio per questo motivo che enti governativi come quelli di Stati Uniti e Regno Unito da tempo sconsigliano ufficialmente di cedere al ricatto.

Il quadro delineato dallo studio olandese è ulteriormente aggravato dal dato sulle probabilità di pagamento: le aziende dotate di assicurazione pagano nel 44% dei casi, contro il 24% delle aziende non assicurate. Inoltre, l’entità delle somme versate varia drasticamente, con le aziende assicurate che pagano in media circa 708.000 euro e quelle non assicurate che si fermano a 133.000 euro. Questo scarto riflette sia la capacità di spesa delle aziende con polizze, sia la tendenza dei criminali a gonfiare i riscatti sapendo di trattare con soggetti coperti.

attacchi PA

Crediti: Shutterstock

Lo studio analizza anche le modalità di infezione più comuni. L’origine di un terzo degli attacchi risiede in email di phishing, mentre lo spam rappresenta l’8% delle infezioni. Circa il 13% è invece riconducibile a applicazioni mobili malevole, mentre circa un attacco su dieci è dovuto a software o sistemi operativi non aggiornati, vulnerabili per mancanza di patch.

Dal punto di vista settoriale, i comparti più colpiti risultano il commercio al dettaglio e all’ingrosso, che rappresentano circa un terzo degli attacchi, ma con riscatti medi relativamente contenuti, attorno ai 112.000 euro. Molto più redditizio, seppur meno frequente, è il settore ICT. Sebbene solo il 14,7% degli attacchi colpisca questo ambito, le cifre pagate in media superano infatti i 268.000 euro per singolo attacco e ciò deriva dal fatto che le aziende ICT spesso forniscono servizi a cascata a molte altre imprese, moltiplicando l’impatto dell’attacco e, di conseguenza, la pressione a pagare per ridurre i danni a catena.

Un altro dato interessante emerso dallo studio riguarda la scarsa propensione delle vittime a denunciare gli attacchi. Secondo Meurs, solo il 40% degli episodi di ransomware viene effettivamente segnalato alle autorità, un dato comunque più alto rispetto a quello delle truffe online, per cui le segnalazioni si aggirano tra l’11,5 e il 14%.

Nonostante questo quadro sconfortante, Meurs individua una soluzione efficace e relativamente semplice per ridurre drasticamente la probabilità di dover cedere al ricatto: disporre di un solido sistema di backup. Le aziende dotate di backup funzionanti risultano ben 27 volte meno inclini a pagare un riscatto, proprio perché possono ripristinare i dati in autonomia e quindi sottrarsi al ricatto. Tuttavia, nonostante la teoria sembri semplice, la pratica è molto meno rosea. Meurs cita infatti dati secondo cui l’85% dei sistemi di backup fallisce nel momento in cui servono davvero, spesso perché i criminali, una volta entrati nella rete, compromettono deliberatamente anche le copie di sicurezza.

Curiosamente, dalle sue analisi emerge anche che le aziende senza backup pagano riscatti mediamente inferiori rispetto a quelle che dispongono di backup non ripristinabili. Questo perché, ragionevolmente, chi protegge i propri dati con backup investe anche in altre misure di sicurezza e gestisce informazioni più sensibili e preziose, elementi che aumentano il valore del riscatto richiesto.

Infine, Meurs conclude osservando che la strategia della doppia estorsione rappresenta probabilmente il futuro del ransomware, perché permette ai criminali di massimizzare i guadagni aggiungendo un rischio minimo alla loro attività. Anche se nei Paesi Bassi i pagamenti sembrano in lieve calo, Meurs ritiene che nuove tecniche e strategie criminali potrebbero presto invertire questa tendenza.