Quanto costa realmente pagare un riscatto dopo un attacco ransomware

Gli attacchi ransomware sono sempre più diffusi. Si prendono di mira determinate aziende (o istituzioni), si violano i loro sistemi informatici (spesso privi di protezioni forti per difendersi), si bloccano in server e si tengono in ostaggio insieme a migliaia di gigabyte di dati rubati. Poi gli hacker avanzano la richiesta di riscatto (che prevede, spesso, una trattativa) dietro la minaccia di pubblicazione – spesso sul dark web – di quanto in loro possesso. Dinamiche sempre più comuni che mettono in pericolo la sicurezza online. Spesso e volentieri, però, il tema trattato è solamente quello dei soldi chiesti “in cambio” della restituzione del maltolto. Ma i costi sono molto più elevati rispetto a quelli percepiti.

LEGGI ANCHE > Arriva in Italia Black Basta, il ransomware presumibilmente lanciato da una gang sudafricana

I ricercatori di Check Point Research – gli stessi che, nei loro rapporti trimestrali, hanno evidenziato la crescita globale degli attacchi ransomware in tutto il mondo – hanno posto l’accento sulle altre facce della medaglia che restano silenzi (e lontane dalle analisi) quando si raccontano quegli attacchi informatici e quelle richieste di riscatto. Ci si ferma, spesso, alla mera richiesta iniziale dei pirati informatici, ma dietro a questo specchio c’è un mondo che moltiplica quelle cifre (e non solo in caso di pagamento) di almeno sette volte.

Attacchi ransomware, quanto costano veramente i riscatti

I ricercatori dell’istituto californiano hanno utilizzato, come metodo di analisi, alcuni episodi di attacchi ransomware avvenuti nel corso degli ultimi anni. In particolare, l’attenzione si è concentrata sul comportamento del gruppo ransomware Conti, tra i più attivi a livello mondiale nel furto di dati e nella richiesta estorsiva di un riscatto. E da questi dati è emerso quel sommerso di cui spesso non si parla e non vi è traccia, se non nei bilanci delle aziende vittime di queste offensive:

«La durata di un attacco ransomware (dall’attacco iniziale alla ripresa della normale attività) è scesa a una media di 9,9 giorni nel 2021 dopo essere salita costantemente tra il 2017 e il 2020 fino a una media massima di 15 giorni. Inoltre, dimostriamo che il costo dell’estorsione è marginale rispetto ad altre perdite subite dalla vittima […] L’anno 2020 ha mostrato che il costo totale medio di un attacco ransomware era più di sette volte superiore al riscatto medio pagato».

Come si arriva a quel moltiplicatore “per sette“? A prescindere dal pagamento o meno del riscatto richiesto (che ha un costo marginale, come vedremo), il blocco dei sistemi informatici ha dei costi molto elevati. Perché hanno un prezzo sia le risposte per la eventuale contrattazione, sia le spese per il ripristino dei sistemi. A tutto ciò vanno sommate le spese legali, i nuovi sistemi di sicurezza da utilizzare all’interno del proprio sistema informatico (che sia un cloud, un sito o una banca dati) e tutte le attività di monitoraggio successive. E per ultimo, ma non per importanza, l’eventuale pagamento di un rimborso nei confronti delle vittime. E la doppia piramide che mostra il “peso” di questi costi mostra questo quadro.

Costi silenziosi o che non hanno lo stesso clamore delle richieste di riscatto. Ma si tratta di aspetti fondamentali che devono spingere le aziende e le istituzioni ad ampliare i propri strumenti di difesa informatica. Perché l’estorsione, di per sé, ha dei costi relativamente contenuti.

Il prezzo e il costo

Come spiegano i ricercatori californiani, infatti, i gruppi hacker che conducono attacchi ransomware non fanno richieste esorbitanti. Si parla di cifre che vanno dallo 0,7% al 5% delle entrate, per una media di poco inferiore al 3%. Certamente si tratta di molti soldi, ma pensando al potenziale si potrebbe pensare a richieste molto più elevate. E, invece, la strategia è chiara: si chiede alla vittima il pagamento di una cifra ridotta per ridurre le tempistiche della trattativa e convincerli a un pagamento molto più repentino. A pesare maggiormente nel bilancio, dunque, sono tutte le altre spese “accessorie” e nascoste. Da questo calcolo, dunque, si desume che il costo reale di un’attacco ransomware è sette volte superiore alla richiesta di riscatto. A prescindere dal pagamento.