Nel 2025 il panorama dei ransomware ha raggiunto livelli di diffusione e sofisticazione senza precedenti. Con 85 gruppi di ransomware attivi che operano simultaneamente e danni stimati in 57 miliardi di dollari a livello globale, le organizzazioni si trovano ad affrontare un ambiente di minacce che richiede sia competenze tecniche approfondite che chiarezza strategica. Questa guida fornisce ai professionisti della sicurezza informazioni aggiornate su come funzionano i ransomware, quali attori rappresentano il rischio maggiore e quali misure difensive riducono effettivamente l'esposizione.
Che si tratti di sviluppare capacità di rilevamento, perfezionare le procedure di risposta agli incidenti o informare la dirigenza sui rischi organizzativi, le informazioni qui riportate riflettono le ultime ricerche sulle minacce e le migliori pratiche difensive provenienti da fonti autorevoli quali FBI, CISA e MITRE ATT&CK.
Il ransomware è un tipo di software dannoso che crittografa i file sul dispositivo o sulla rete della vittima e richiede il pagamento di un riscatto, solitamente in criptovaluta, per ripristinare l'accesso. Secondo la FBI, il ransomware impedisce l'accesso ai file, ai sistemi o alle reti del computer fino al pagamento del riscatto.
La CISA definisce il ransomware come "una forma di malware in continua evoluzione malware progettato per crittografare i file su un dispositivo, rendendo inutilizzabili qualsiasi file e i sistemi che ne dipendono". Questa definizione coglie la realtà operativa che i team di sicurezza devono affrontare: il ransomware non si limita a bloccare i dati, ma interrompe i processi aziendali che dipendono da tali dati.
L'impatto finanziario del ransomware nel 2025 è sbalorditivo. Secondo Cybersecurity Ventures, quest'anno i danni causati dal ransomware a livello globale hanno raggiunto i 57 miliardi di dollari, circa 156 milioni di dollari al giorno. Questi costi vanno ben oltre il pagamento dei riscatti e includono interruzioni dell'attività, spese di ripristino, danni alla reputazione e sanzioni normative.
Ciò che rende il ransomware particolarmente preoccupante è la sua evoluzione da semplice fastidio a sofisticata attività criminale. Gli operatori di ransomware moderni conducono ricognizioni, stabiliscono la persistenza ed esfiltrano dati sensibili prima ancora di implementare la crittografia. Ciò trasforma ogni incidente di ransomware in una potenziale violazione dei dati con conseguenze a lungo termine per le organizzazioni colpite.
Il ransomware appartiene alla categoria più ampia dei malware software dannosi progettati per danneggiare i sistemi informatici o i loro utenti. Tuttavia, il ransomware possiede caratteristiche uniche che lo distinguono dagli altri malware .
A differenza dei virus che si diffondono e danneggiano i file, dei trojan che forniscono accesso backdoor o degli spyware che sottraggono informazioni in modo silenzioso, il ransomware si annuncia. L'attacco informatico diventa visibile alle vittime attraverso richieste di riscatto che esigono un pagamento. Questa visibilità soddisfa la motivazione finanziaria degli aggressori: le vittime non possono pagare per qualcosa di cui non sono a conoscenza.
Anche la motivazione finanziaria contribuisce alla rapida evoluzione del ransomware. Gli aggressori perfezionano continuamente le loro tecniche per massimizzare i tassi di pagamento e ridurre al minimo il rischio di essere scoperti, creando una corsa agli armamenti tra innovazione offensiva e capacità difensive.
I moderni attacchi ransomware seguono una sequenza prevedibile che i difensori possono interrompere in più fasi. Comprendere questa catena di attacchi consente ai team di sicurezza di implementare difese a più livelli e rilevare le intrusioni prima che avvenga la crittografia.
Il tipico attacco ransomware si svolge in cinque fasi:
Ogni fase offre opportunità di rilevamento e interruzione. Le organizzazioni che si concentrano esclusivamente sulla prevenzione dell'accesso iniziale perdono l'occasione di intercettare gli aggressori durante il periodo spesso lungo che intercorre tra la compromissione e la crittografia.
I punti di accesso utilizzati dagli operatori di ransomware sono cambiati in modo significativo. Secondo l'HIPAA Journal, le credenziali VPN compromesse hanno rappresentato il 48% degli attacchi ransomware nel terzo trimestre del 2025, in aumento rispetto al 38% del secondo trimestre. Ciò rappresenta un cambiamento fondamentale rispetto agli anni precedenti, quando phishing l'accesso iniziale.
Il passaggio all'accesso iniziale basato sulle credenziali riflette sia la diffusa disponibilità di credenziali rubate sui mercati criminali sia l'efficacia dei broker di accesso iniziale, ovvero specialisti che compromettono i sistemi e vendono l'accesso agli operatori di ransomware. Questi broker utilizzano spesso infostealer per raccogliere credenziali su larga scala.
Lo sfruttamento dei servizi esterni rimane significativo, con recenti campagne mirate alle vulnerabilità dei dispositivi VPN (CVE-2024-40766 in SonicWall), dei dispositivi Citrix NetScaler (CVE-2025-5777) e dei software aziendali come Oracle E-Business Suite (CVE-2025-61882).
Una volta entrati in una rete, gli operatori ransomware agiscono rapidamente. Secondo Vectra AI sul movimento laterale, il movimento laterale medio avviene entro 48 minuti dalla compromissione iniziale. I casi più rapidi osservati mostrano che gli aggressori riescono a propagarsi completamente nella rete in soli 18 minuti.
Questa velocità crea una finestra ristretta per il rilevamento e la risposta. Gli aggressori utilizzano strumenti amministrativi e credenziali legittimi per muoversi lateralmente, rendendo difficile distinguere la loro attività dalle normali operazioni di rete senza un'analisi comportamentale.
L'esfiltrazione dei dati è diventata quasi universale negli attacchi ransomware. Secondo Deepstrike, il 76% degli attacchi ransomware del 2025 ha comportato l'esfiltrazione dei dati prima della crittografia. Ciò consente una doppia estorsione: anche se le vittime ripristinano i dati dai backup, gli aggressori minacciano di pubblicare i dati rubati.
Gli strumenti comunemente utilizzati nella fase di esfiltrazione includono:
Il MITRE ATT&CK Il framework fornisce un vocabolario standardizzato per descrivere le tecniche utilizzate dal ransomware. La tecnica principale utilizzata dal ransomware è T1486 - Dati crittografati per garantire la massima efficacia, classificato nella categoria Tattica di impatto.
Il framework ATT&CK documenta oltre 70 famiglie di ransomware con le relative tecniche associate. I team di sicurezza possono utilizzare questa mappatura per convalidare la copertura di rilevamento e identificare le lacune nelle loro capacità difensive attraverso la ricerca proattiva delle minacce.
Il ransomware si è evoluto da semplici strumenti di crittografia a sofisticate minacce multifattoriali. Comprendere le principali varianti aiuta i difensori ad anticipare i modelli di attacco e a preparare risposte adeguate.
La distinzione fondamentale tra i tipi di ransomware è quella tra crypto-ransomware e locker ransomware.
Il crypto-ransomware (chiamato anche ransomware crittografico) crittografa singoli file e dati sui dispositivi infetti. Secondo Keeper Security, le vittime possono continuare a utilizzare i propri dispositivi, ma non possono accedere ai file crittografati senza la chiave di decrittografia. Il moderno crypto-ransomware utilizza algoritmi di crittografia avanzati, tra cui AES-256, ChaCha20 e RSA-2048, che sono computazionalmente impossibili da violare.
Il ransomware locker (screen locker) adotta un approccio diverso: blocca l'accesso degli utenti all'intero sistema anziché crittografare singoli file. Secondo Check Point, le varianti locker impediscono qualsiasi accesso al dispositivo fino al pagamento del riscatto. Sebbene il ransomware locker fosse più comune agli albori del ransomware, oggi domina il crypto-ransomware grazie al suo maggiore impatto e al percorso di ripristino più difficile.
Il ransomware moderno si è evoluto oltre la semplice crittografia, trasformandosi in schemi di estorsione a più livelli.
Il ransomware a doppia estorsione combina la crittografia dei dati con il furto di dati. Gli aggressori prima sottraggono informazioni sensibili, poi crittografano i sistemi. Se le vittime ripristinano i dati dai backup senza pagare, gli aggressori minacciano di pubblicare o vendere i dati rubati. Secondo Arctic Wolf, il 96% dei casi di risposta agli incidenti ransomware nel 2025 ha comportato la sottrazione di dati, rendendo la doppia estorsione la norma piuttosto che l'eccezione.
Il ransomware a tripla estorsione aggiunge ulteriori tattiche di pressione oltre alla crittografia e al furto di dati. Queste possono includere:
Questa evoluzione significa che gli attacchi ransomware ora causano danni multipli e sovrapposti: interruzione operativa dovuta alla crittografia, obblighi di notifica della violazione dei dati dovuti all'esfiltrazione e danni alla reputazione dovuti alle minacce di divulgazione pubblica.
L'industrializzazione del ransomware lo ha trasformato da reato tecnico a modello di business accessibile. Secondo IBM, il ransomware-as-a-service (RaaS) è un modello di business in cui gli sviluppatori di ransomware vendono o concedono in leasing malware loro malware affiliati che conducono gli attacchi effettivi.
Gli operatori RaaS forniscono agli affiliati:
In cambio, gli affiliati condividono i proventi dei riscatti con gli operatori RaaS. Secondo Flashpoint, le quote di guadagno tipiche degli affiliati variano dal 70 all'85% dei pagamenti dei riscatti, con Qilin che offre una quota dell'85%, leader nel settore, per attirare gli affiliati.
Questo modello riduce drasticamente le barriere all'ingresso. Criminali tecnicamente poco esperti possono condurre attacchi sofisticati utilizzando strumenti di livello professionale, ampliando il panorama delle minacce e aumentando il volume degli attacchi.
L'ecosistema ransomware del 2025 è caratterizzato da frammentazione, sofisticazione e volumi di attacchi record. I team di sicurezza hanno bisogno di informazioni aggiornate sugli autori delle minacce attive e sulle loro tattiche per stabilire in modo efficace le priorità delle difese.
Secondo Check Point Research, nel terzo trimestre del 2025 si è registrato un numero record di 85 gruppi di ransomware attivi contemporaneamente, il numero più alto mai osservato. Questa frammentazione è conseguenza dell'azione delle forze dell'ordine contro i gruppi più importanti e riflette la facilità con cui nuovi gruppi possono nascere utilizzando l'infrastruttura RaaS.
Il volume degli attacchi è aumentato in modo sostanziale, con 4.701 incidenti ransomware registrati a livello globale tra gennaio e settembre 2025, pari a un aumento del 46% rispetto allo stesso periodo del 2024.
Qilin è emerso come il gruppo ransomware dominante nel 2025, con oltre 75 vittime al mese nel terzo trimestre. La quota di affiliazione dell'85% del gruppo, superiore a quella dei concorrenti, ha attirato affiliati qualificati provenienti da operazioni sciolte. In particolare, gli autori delle minacce nordcoreani hanno distribuito i payload di Qilin nel marzo 2025, indicando una collaborazione tra lo Stato e le operazioni criminali di ransomware.
Secondo le segnalazioni della CISA, alla fine di settembre 2025 Akira aveva accumulato 244,17 milioni di dollari di proventi. Il gruppo prende di mira le PMI e le infrastrutture critiche nei settori manifatturiero, dell'istruzione, dell'IT, della sanità e dei servizi finanziari.
LockBit è riapparso con la versione 5.0 nel settembre 2025, nonostante la forte pressione delle forze dell'ordine, tra cui l'operazione Cronos. Sebbene in calo rispetto al suo picco massimo, la tenacia del gruppo dimostra la resilienza delle operazioni RaaS consolidate.
Change Healthcare (2024-2025): l'attacco ALPHV/BlackCat a Change Healthcare rappresenta la più grande violazione dei dati sanitari nella storia degli Stati Uniti. Secondo l'AHA, sono state colpite circa 192,7 milioni di persone, con costi totali stimati in 3 miliardi di dollari. La causa principale è stata la compromissione delle credenziali di un server Citrix senza autenticazione a più fattori: un errore di base nella sicurezza con conseguenze catastrofiche.
Campagna "Korean Leaks" di Qilin (settembre 2025): secondo The Hacker News, Qilin ha compromesso un singolo fornitore di servizi gestiti (GJTec) e ha utilizzato tale accesso per attaccare 28 organizzazioni a valle, tra cui 24 nel settore finanziario della Corea del Sud. Sono stati sottratti oltre 1 milione di file e 2 TB di dati. Questo attacco alla catena di approvvigionamento dimostra come le compromissioni degli MSP possano amplificare in modo esponenziale l'impatto del ransomware.
Campagna Clop Oracle EBS (novembre 2025): Secondo Z2Data, il gruppo ransomware Clop ha sfruttato la vulnerabilità CVE-2025-61882 (CVSS 9.8) in Oracle E-Business Suite per compromettere oltre 100 aziende, tra cui Broadcom, Estee Lauder, Mazda, Canon, Allianz UK e il Washington Post. La campagna ha dimostrato il continuo ricorso da parte di Clop allo sfruttamento di massa, sulla scia di attacchi simili a MOVEit nel 2023.
Gli obiettivi dei ransomware variano notevolmente a seconda del settore. Secondo Industrial Cyber, i settori delle infrastrutture critiche hanno rappresentato la metà di tutti gli attacchi ransomware del 2025.
Le PMI subiscono un impatto sproporzionato. Secondo l'analisi DBIR di Verizon, l'88% delle violazioni dei dati nelle PMI coinvolge ransomware (rispetto al 39% delle grandi organizzazioni) e il 60% delle piccole imprese attaccate chiude entro sei mesi. La mancanza di risorse di sicurezza dedicate e di capacità di risposta agli incidenti rende le organizzazioni più piccole particolarmente vulnerabili.
Una difesa efficace contro il ransomware richiede controlli multilivello che comprendano prevenzione, rilevamento e risposta. Sebbene la prevenzione rimanga l'approccio più conveniente in termini di costi, le organizzazioni devono anche prepararsi a rilevare gli attacchi in corso e a rispondere in modo efficace quando le difese falliscono.
La guida #StopRansomware della CISA fornisce indicazioni autorevoli sulla prevenzione che i team di sicurezza dovrebbero implementare come controlli di base:
Azioni prioritarie (da attuare immediatamente):
Controlli tecnici aggiuntivi:
Considerando che il 48% degli attacchi del 2025 ha utilizzato credenziali VPN compromesse, le organizzazioni dovrebbero verificare le configurazioni VPN, implementare l'autenticazione a più fattori (MFA) su tutti gli accessi remoti e prendere in considerazione alternative di accesso alla rete zero-trust.
La moderna regola di backup 3-2-1-1-0, descritta in dettaglio da Veeam, garantisce una protezione dei dati resistente al ransomware:
L'archiviazione immutabile converte i backup in formatoWORM(write-once, read-many), che non può essere sovrascritto, modificato o eliminato, nemmeno dagli amministratori con credenziali complete. Ciò protegge dai ransomware che prendono di mira specificatamente i sistemi di backup.
È fondamentale eseguire regolarmente dei test di backup. Le organizzazioni dovrebbero verificare le procedure di ripristino almeno una volta al trimestre e documentare obiettivi di tempo di ripristino realistici basati sui risultati effettivi dei test.
Le opportunità di rilevamento esistono lungo tutta la catena dell'attacco ransomware. Le soluzioni di rilevamento e risposta di rete forniscono visibilità sui comportamenti degli aggressori che endpoint potrebbero non rilevare.
malware precursore malware monitorare:
Indicatori di rete dell'attività ransomware:
Le linee guida comportamentali consentono di rilevare eventuali anomalie. Quando gli utenti o i sistemi si discostano dai modelli stabiliti (ad esempio accedendo a risorse insolite, effettuando autenticazioni in orari insoliti o trasferendo volumi di dati insoliti), tali deviazioni richiedono un'indagine.
Se la tua organizzazione è stata colpita da un ransomware, la CISA fornisce una guida per una risposta immediata:
Attivare tempestivamente il piano di risposta agli incidenti migliora i risultati. Le organizzazioni che dispongono di procedure di risposta collaudate si riprendono più rapidamente e riducono al minimo i danni.
I tempi di ripristino sono migliorati in modo significativo. Secondo Sophos, nel 2025 il 56% delle organizzazioni ha effettuato il ripristino entro una settimana, rispetto al 33% del 2024. Questo miglioramento riflette migliori pratiche di backup e capacità di risposta agli incidenti più mature in tutto il settore.
L'FBI e la CISA sconsigliano il pagamento dei riscatti. I dati confermano questa posizione:
Il comportamento delle vittime riflette queste indicazioni. Secondo Sophos, nel 2025 il 63% delle vittime di ransomware si è rifiutato di pagare, rispetto al 59% del 2024. Nel frattempo, il 97% delle organizzazioni è riuscito a recuperare i propri dati tramite backup o altri mezzi, dimostrando che il pagamento non è necessario per il recupero.
Se state valutando la possibilità di effettuare un pagamento, prima di prendere qualsiasi decisione è opportuno consultare un legale e coinvolgere le forze dell'ordine. Alcuni pagamenti potrebbero violare le norme sulle sanzioni e le autorità potrebbero disporre di informazioni su specifici soggetti che rappresentano una minaccia e che potrebbero influenzare la decisione.
I quadri normativi impongono sempre più spesso controlli specifici per il ransomware e requisiti di segnalazione. I team di sicurezza devono comprendere gli obblighi di conformità e mappare i controlli esistenti ai requisiti del quadro normativo.
NIST IR 8374 - Profilo di gestione dei rischi legati al ransomware: questa pubblicazione del NIST applica le cinque funzioni fondamentali del Cybersecurity Framework (Identificare, Proteggere, Rilevare, Rispondere, Recuperare) specificamente ai rischi legati al ransomware. Aggiornata per CSF 2.0 nel gennaio 2025, fornisce linee guida pratiche in linea con ISO/IEC 27001:2013 e NIST SP 800-53 Rev. 5.
MITRE ATT&CK : la versione 18 di ATT&CK (ottobre 2025) documenta oltre 70 famiglie di ransomware e le loro tecniche. Le organizzazioni possono utilizzare ATT&CK per convalidare la copertura di rilevamento rispetto ai comportamenti noti dei ransomware e identificare le lacune nelle capacità.
Direttiva NIS2 (UE): la direttiva NIS2 impone alle entità essenziali e importanti in 18 settori critici di implementare controlli specifici contro il ransomware. I requisiti principali includono un sistema di allerta precoce attivo 24 ore su 24 per incidenti significativi e sanzioni fino a 10 milioni di euro o al 2% del fatturato globale in caso dinon conformità.
Il ransomware ha un impatto significativo sui mercati delle assicurazioni informatiche. Secondo Resilience, nel 2025 il risarcimento medio per i danni causati dal ransomware ha raggiunto 1,18 milioni di dollari, con un aumento del 17% rispetto all'anno precedente. Il ransomware rappresenta il 76% delle perdite subite, nonostante costituisca solo il 56% delle richieste di risarcimento.
Le sfide relative alla copertura assicurativa stanno aumentando. Secondo l'HIPAA Journal, circa il 40% delle richieste di risarcimento relative alla sicurezza informatica sono state respinte nel 2024, spesso a causa di esclusioni per "mancata manutenzione della sicurezza". Gli assicuratori stanno esaminando attentamente le pratiche di gestione delle vulnerabilità, l'implementazione dell'autenticazione a più fattori (MFA) e le procedure di backup durante la valutazione delle richieste di risarcimento.
Una preoccupazione emergente: è stato osservato che il gruppo di ransomware Interlock ruba le polizze assicurative informatiche delle vittime per confrontare le richieste di riscatto con i limiti di copertura. Questo approccio basato sull'intelligence alla determinazione del prezzo del riscatto rende una copertura adeguata una potenziale responsabilità senza corrispondenti miglioramenti della sicurezza.
Il panorama dei ransomware richiede una continua evoluzione delle strategie difensive. Man mano che gli aggressori sviluppano nuove tecniche (EDR killer, minacce cloud come lo sfruttamento AWS SSE-C di Codefinger e la collaborazione tra Stati nazionali), i difensori devono adattare di conseguenza le proprie capacità di rilevamento e risposta.
Il rilevamento basato sulla rete è diventato fondamentale poiché gli aggressori eludono sempre più spesso endpoint . Le soluzioni NDR forniscono visibilità sui movimenti laterali, sull'esfiltrazione dei dati e sulle comunicazioni di comando e controllo che endpoint non sono in grado di rilevare.
Le piattaforme XDR (Extended Detection and Response ) mettono in correlazione i segnali provenienti da endpoint, rete, cloud e fonti di dati relativi alle identità. Questa visibilità cross-layer riduce i falsi positivi e accelera le indagini collegando le attività correlate nell'intero ambiente.
L'adozione Zero trust continua a crescere poiché le organizzazioni riconoscono che la sicurezza basata sul perimetro non è in grado di proteggere dagli attacchi basati sulle credenziali. Quando il 48% degli incidenti ransomware ha inizio con credenziali compromesse, è essenziale presumere che la rete sia già compromessa e convalidare ogni richiesta di accesso.
Vectra AI la difesa dai ransomware attraverso Attack Signal Intelligence concentrandosi sul rilevamento dei comportamenti degli aggressori lungo l'intera catena di attacco, piuttosto che affidarsi esclusivamente alle firme o agli indicatori noti. Analizzando il traffico di rete, cloud e i segnali di identità, la piattaforma identifica i movimenti laterali, l'escalation dei privilegi e i modelli di esfiltrazione dei dati che precedono l'implementazione dei ransomware.
La filosofia "Assume Compromise" riconosce che gli aggressori determinati finiranno per aggirare i controlli preventivi. La capacità fondamentale è quella di individuare gli aggressori nel lasso di tempo che intercorre tra l'accesso iniziale e la crittografia, spesso non superiore a 18 minuti, ma in genere sufficiente per consentire al rilevamento comportamentale delle minacce di identificare attività dannose.
Le funzionalità di sicurezza dell'IA consentono di rilevare nuovi comportamenti dei ransomware senza conoscere in anticipo le varianti specifiche. Quando gli aggressori sviluppano nuove tecniche di evasione, l'analisi comportamentale continua a identificare i modelli di attacco sottostanti (abuso di credenziali, accesso insolito ai dati, tentativi di connessione laterale) che rimangono costanti in tutte le campagne.
Nel 2025 il ransomware rappresenta una minaccia matura, sofisticata e altamente frammentata che nessuna organizzazione può permettersi di ignorare. Con 85 gruppi attivi, 57 miliardi di dollari di danni a livello globale e attacchi che combinano regolarmente la crittografia con il furto di dati, la posta in gioco non è mai stata così alta.
I dati dimostrano che la prevenzione e la preparazione funzionano. Le organizzazioni che implementano l'autenticazione a più fattori (MFA), mantengono backup testati e immutabili e segmentano le loro reti si riprendono più rapidamente ed evitano di pagare riscatti. Quelle che investono in capacità di rilevamento, in particolare nell'analisi comportamentale basata sulla rete, intercettano gli aggressori prima che inizi la crittografia.
Il percorso da seguire richiede una continua evoluzione. Man mano che gli operatori di ransomware sviluppano nuove tecniche e sfruttano nuove vulnerabilità, i difensori devono adattarsi. Test regolari della copertura di rilevamento rispetto al MITRE ATT&CK , formazione continua sulla consapevolezza della sicurezza e test trimestrali di ripristino dei backup costituiscono le basi per operazioni resilienti.
Per le organizzazioni che desiderano rafforzare le proprie difese contro il ransomware, l'approccio Vectra AI Attack Signal Intelligence un rilevamento lungo l'intera catena di attacco, identificando i comportamenti che precedono l'implementazione del ransomware indipendentemente dalle specifiche malware o dalle tecniche di evasione.
Il ransomware è un software dannoso che blocca i file crittografandoli e poi richiede un pagamento, solitamente in criptovaluta, per sbloccarli. Secondo l'FBI, è una delle forme di attacco informatico più dannose dal punto di vista finanziario, con un costo medio per le organizzazioni di 5,5-6 milioni di dollari per incidente nel 2025. Gli aggressori forniscono una richiesta di riscatto con le istruzioni di pagamento e una scadenza. Se si paga, promettono di fornire una chiave di decrittazione, anche se il recupero non è garantito. I ransomware moderni rubano anche i dati prima di crittografarli, minacciando di pubblicare informazioni sensibili se non si paga anche dopo il ripristino dai backup.
Il ransomware entra tipicamente attraverso diversi percorsi comuni. Nel terzo trimestre del 2025, secondo l'HIPAA Journal, le credenziali VPN compromesse hanno rappresentato il 48% degli attacchi ransomware. Phishing Le e-mail con allegati o link dannosi rimangono un vettore primario. Lo sfruttamento delle vulnerabilità non corrette nei sistemi connessi a Internet, in particolare dispositivi VPN, dispositivi Citrix e software aziendali, fornisce un altro punto di accesso. Gli attacchi alla catena di fornitura attraverso fornitori di servizi gestiti o fornitori di software possono compromettere più organizzazioni contemporaneamente. Una volta ottenuto l'accesso iniziale, gli aggressori impiegano in genere giorni o settimane per muoversi attraverso la rete e rubare dati prima di implementare la crittografia.
L'FBI e la CISA sconsigliano il pagamento dei riscatti. Le statistiche confermano questa raccomandazione: solo il 46% delle organizzazioni che pagano riesce a recuperare i propri dati, mentre l'80% di coloro che pagano subisce ulteriori attacchi. Nel 2025, il 63% delle vittime di ransomware ha rifiutato di pagare e il 97% delle organizzazioni ha recuperato i propri dati tramite backup o altri mezzi. Il pagamento dei riscatti finanzia le organizzazioni criminali e incentiva attacchi futuri. Se state valutando il pagamento, consultate prima un legale e coinvolgete le forze dell'ordine. Alcuni pagamenti potrebbero violare le normative sulle sanzioni e le autorità potrebbero disporre di informazioni che potrebbero influenzare la vostra decisione.
Isolate immediatamente i sistemi colpiti scollegandoli dalla rete per impedire un'ulteriore diffusione. Non riavviate né riavviate i sistemi, poiché ciò potrebbe causare ulteriori danni o distruggere le prove forensi. Proteggete e scollegate i sistemi di backup per proteggerli dalla crittografia. Documentate tutto acquisendo screenshot delle richieste di riscatto e conservando lo stato del sistema. Valutate la portata dell'attacco per capire quali sistemi sono stati colpiti. Contattare l'FBI, la CISA o le forze dell'ordine locali. Prima di prendere in considerazione il pagamento, controllare il progetto No More Ransom per strumenti di decrittografia gratuiti: sono disponibili decrittatori per oltre 100 famiglie di ransomware.
Le protezioni chiave iniziano con l'abilitazione dell'autenticazione multifattoriale (MFA) phishing su tutti i servizi esterni e i punti di accesso remoto. Mantenete backup offline e immutabili seguendo la regola 3-2-1-1-0 descritta da Veeam. Correggete tempestivamente le vulnerabilità note sfruttate, dando priorità alle voci presenti nel catalogo delle vulnerabilità note sfruttate della CISA. Implementate la segmentazione della rete per limitare i movimenti laterali. Implementate soluzioni EDR, NDR o XDR con capacità di rilevamento in tempo reale. Separare gli account amministrativi dagli account di uso quotidiano e imporre password di almeno 15 caratteri. Considerare l'accesso zero trust come alternativa alla VPN tradizionale, dato che le credenziali VPN compromesse rappresentano il 48% degli attacchi.
Il ransomware a doppia estorsione combina la tradizionale crittografia dei file con il furto di dati. Gli aggressori prima sottraggono i dati sensibili dalla rete, poi crittografano i sistemi e chiedono un riscatto. Se le vittime ripristinano i dati dai backup senza pagare, gli aggressori minacciano di pubblicare o vendere i dati rubati su siti di leak. Secondo Arctic Wolf, il 96% dei casi di risposta agli incidenti ransomware nel 2025 ha comportato l'esfiltrazione di dati, rendendo la doppia estorsione il modello operativo standard. Questa evoluzione significa che anche le organizzazioni con eccellenti pratiche di backup subiscono una pressione significativa a pagare, poiché l'esposizione dei dati può causare sanzioni normative, danni alla reputazione e danni competitivi.
Il ransomware moderno è principalmente gestito da gruppi criminali informatici organizzati che operano su piattaforme ransomware-as-a-service (RaaS). Secondo Check Point Research, nel terzo trimestre del 2025 erano attivi 85 gruppi ransomware distinti. Tra i gruppi più attivi figurano Qilin (oltre 75 vittime al mese, 85% di quota di affiliazione), Akira (244 milioni di dollari di proventi), Medusa oltre 300 vittime in infrastrutture critiche) e DragonForce (in crescita grazie ai bassi requisiti di quota di profitto). Alcuni gruppi hanno legami con Stati nazionali: gli hacker nordcoreani hanno distribuito il ransomware Qilin nel marzo 2025, indicando una collaborazione tra attori statali e organizzazioni criminali. Gli initial access broker sono specializzati nella violazione dei sistemi e nella vendita dell'accesso agli operatori di ransomware, industrializzando ulteriormente l'ecosistema.