Il ransomware non è più appannaggio esclusivo di hacker solitari che scrivono codice personalizzato. Nel 2025, gli attacchi ransomware segnalati pubblicamente sono aumentati del 47% fino a superare i 7.200 casi, e i ricercatori hanno individuato 124 gruppi distinti che operavano contemporaneamente. Il moltiplicatore di forza dietro questa esplosione è il ransomware as a service (RaaS), un modello di business che consente a chiunque disponga di criptovaluta e abbia intenzioni criminali di lanciare attacchi ransomware di livello aziendale. Questo articolo analizza il funzionamento del modello RaaS, chi sono i principali attori, quali gruppi dominano il panorama attuale e, cosa più importante, come i difensori possono rilevare l'attività degli affiliati prima che inizi la crittografia.
Il ransomware as a service (RaaS) è un modello di business criminale informatico in cui gli sviluppatori di ransomware, noti come operatori, creano, mantengono e affittano piattaforme ransomware ad altri criminali, noti come affiliati, che conducono gli attacchi effettivi, condividendo i ricavi attraverso abbonamenti, tariffe una tantum o divisioni dei profitti basate su percentuali.
Il modello rispecchia la distribuzione legittima del software come servizio (SaaS). Proprio come un'azienda può abbonarsi a una cloud e utilizzarla per gestire la propria attività, gli affiliati RaaS si abbonano a una piattaforma ransomware e la utilizzano per condurre attacchi. L'operatore gestisce il malware , l'infrastruttura, l'elaborazione dei pagamenti e persino l'assistenza clienti. L'affiliato si occupa della selezione degli obiettivi, dell'accesso iniziale e della distribuzione.
È proprio questa separazione dei compiti a rendere il RaaS così pericoloso. Il ransomware tradizionale richiedeva che un singolo attore o gruppo possedesse l'intera gamma di competenze necessarie, dallo malware allo sfruttamento della rete fino alla negoziazione del riscatto. Il RaaS elimina tale requisito, aumentando in modo esponenziale il numero di potenziali aggressori.
La portata del problema è significativa. Nel 2025, il volume degli attacchi è aumentato del 47% nel corso del 2024, con 124 gruppi distinti monitorati — un aumento del 46% rispetto all'anno precedente. Il ransomware rappresenta ora Il 20% di tutti gli incidenti di criminalità informatica, e il MITRE ATT&CK classifica la principale tecnica di impatto del ransomware sotto T1486 — Dati crittografati per garantire la massima efficacia.
Il ransomware tradizionale coinvolge un singolo autore della minaccia o un gruppo chiuso che sviluppa e distribuisce il malware alla fine. Il RaaS introduce una divisione del lavoro tra tre o più parti: operatori, affiliati e fornitori di servizi di supporto. Il risultato è un'impresa criminale scalabile che funziona più come un franchising che come un'operazione individuale, abbassando drasticamente la barriera all'ingresso e aumentando il volume degli attacchi che le organizzazioni devono affrontare oggi.
Le piattaforme RaaS operano con la stessa disciplina operativa delle aziende SaaS legittime. Comprendere questo modello è fondamentale per i difensori perché rivela dove esistono opportunità di rilevamento nel ciclo di vita dell'attacco.
La velocità di questo ciclo di vita si è ridotta drasticamente. Secondo IBM, il tempo medio che intercorre tra l'accesso iniziale e l'implementazione del ransomware è sceso a 3,84 giorni nel 2025, rispetto agli oltre 60 giorni del 2019. Questa accelerazione significa che i difensori hanno a disposizione una finestra di rilevamento più ristretta, ma comunque sfruttabile.
Gli operatori forniscono agli affiliati strumenti completi: generatori di payload con opzioni di personalizzazione, dashboard per il monitoraggio delle vittime, elaborazione automatizzata dei pagamenti e infrastruttura di comando e controllo. Alcune piattaforme offrono persino un "servizio di assistenza clienti" per aiutare gli affiliati a risolvere i problemi di implementazione e a negoziare con le vittime.
Il reclutamento avviene principalmente attraverso forum del dark web. Il forum RAMP è stato il principale mercato fino a quando l'FBI lo ha sequestrato nel gennaio 2026, con i suoi oltre 14.000 utenti che si sono dispersi su canali Telegram e reti di riferimento private. I requisiti di accesso variano da depositi di 0,05 BTC alla prova di precedenti attività di attacco.
Una volta entrati a far parte dell'organizzazione, gli affiliati operano in modo indipendente. Hanno accesso ai payload builder, conducono i propri attacchi e, in alcuni modelli, gestiscono le trattative con le vittime. Gli operatori mantengono i migliori affiliati grazie a payload migliorati, strumenti più efficaci e quote di guadagno più elevate.
Comprendere i prezzi del RaaS fornisce informazioni critiche sulle minacce ai difensori che valutano la portata e l'accessibilità della minaccia.
Il modello di affiliazione domina il panorama attuale. Allinea gli incentivi (gli operatori guadagnano solo quando gli affiliati hanno successo) ed elimina completamente la barriera finanziaria all'ingresso, motivo per cui il ransomware come servizio ha permesso l'aumento degli attacchi a un ritmo senza precedenti.
La catena di approvvigionamento RaaS va ben oltre il rapporto tra operatore e affiliato. Il modello è supportato da un intero ecosistema criminale, con servizi specializzati in ogni fase.
Un broker di accesso iniziale è un attore specializzato che compromette le reti aziendali e vende tale accesso agli affiliati RaaS. Gli IAB fungono da anello della catena di approvvigionamento che consente agli affiliati meno esperti di aggirare la fase tecnicamente più impegnativa di un attacco.
Gli IAB richiedono solitamente da 500 a 5.000 dollari per ogni accesso alla rete, con prezzi basati sulle dimensioni dell'organizzazione target, sul settore e sul livello di accesso ottenuto. Operano su forum del dark web e canali Telegram, pubblicizzando l'accesso a organizzazioni o settori specifici.
Un esempio degno di nota è TA584, che Proofpoint ha documentato nel 2026 utilizzando malware Tsundere Bot malware vendere l'accesso alle reti nordamericane, britanniche ed europee. L'ecosistema di supporto include anche servizi come Shanya, un packer-as-a-service che aiuta gli affiliati a eludere endpoint . Hosting a prova di proiettile, riciclaggio di criptovalute e servizi di negoziazione completano l'ecosistema del cybercrime as a service.
Questo è importante per i difensori perché l'ingegneria sociale e la ricognizione condotte dagli IAB possono avvenire settimane o mesi prima dell'effettivo dispiegamento del ransomware, creando opportunità di rilevamento precoce.
Tabella: Confronto tra responsabilità, quote di ricavi e profili di rischio dei tre ruoli principali dell'ecosistema RaaS.
Il panorama RaaS nel 2025-2026 è più frammentato che mai, con 124 gruppi monitorati e una rapida migrazione degli affiliati tra le piattaforme. Capire quali gruppi sono attualmente attivi e quali modelli utilizzano è essenziale per calibrare le difese.
Tabella: Gruppi attivi di ransomware as a service monitorati dal quarto trimestre del 2025 al primo trimestre del 2026, classificati in base alla quota di mercato.
L'ecosistema è in costante evoluzione. Black Basta all'inizio del 2025 dopo che alcune chat interne trapelate hanno rivelato le sue operazioni: il leader Oleg Nefedov è ora ricercato dall'INTERPOL con una segnalazione rossa e i membri si sono dispersi tra Chaos, INC, Lynx, Cactus e Nokoyawa. Anche RansomHub è crollato, causando solo un breve calo degli attacchi prima che gli affiliati migrassero verso piattaforme concorrenti.
Questa frammentazione crea rischi di violazione dei dati per le organizzazioni. Gli analisti prevedono che il 2026 sarà il primo anno in cui i nuovi attori ransomware al di fuori della Russia supereranno quelli all'interno del Paese, riflettendo la rapida globalizzazione dell'ecosistema e l'emergere di gruppi di lingua inglese come Scattered Spider le proprie piattaforme RaaS.
Le tattiche di estorsione si sono evolute dalla semplice crittografia a campagne di pressione su più livelli, anche se l'estorsione basata esclusivamente sui dati sta perdendo efficacia nel 2025-2026.
Il panorama attuale mostra un sorprendente ribaltamento di tendenza. Secondo Sophos, solo il 50% degli attacchi ha portato alla crittografia nel 2025, in calo rispetto al 70% del 2024, poiché molti gruppi sono passati a strategie basate esclusivamente sull'esfiltrazione dei dati. Tuttavia, i dati di Coveware relativi al quarto trimestre del 2025 rivelano che questo approccio sta perdendo terreno. I tassi di pagamento relativi alla sola esfiltrazione dei dati sono scesi a circa il 25% e i tassi di pagamento dei riscatti complessivi hanno toccato il minimo storico di circa il 20% nel quarto trimestre del 2025.
Questo calo dell'influenza suggerisce un potenziale ritorno agli attacchi incentrati sulla crittografia nel 2026, con gruppi come Akira e Qilin che stanno già dimostrando questo approccio. I difensori dovrebbero prepararsi per entrambi i vettori.
Gli attacchi RaaS sono aumentati del 47% nel 2025, raggiungendo i 7.200 incidenti segnalati pubblicamente, con un costo medio per le organizzazioni pari a 4,91 milioni di dollari per ogni violazione.
Il quadro finanziario mostra una dinamica complessa. Il totale dei pagamenti per ransomware è diminuito del 35% a 813,55 milioni di dollari nel 2024, nonostante l'aumento del volume degli attacchi, con il riscatto mediano sceso a 1 milione di dollari nel 2025. I principali vettori di attacco sono stati le vulnerabilità sfruttate (32%), le credenziali compromesse (23%) e phishing. Il settore manifatturiero ha registrato un aumento degli attacchi del 61% su base annua, pari al 14% di tutti gli attacchi, mentre il settore sanitario ha subito 445 attacchi nel 2025.
Scattered Spider hanno utilizzato il ransomware DragonForce per interrompere le attività commerciali di M&S per settimane, causando una perdita stimata di 300 milioni di sterline in termini di utili operativi.
Lezione: Il social engineering e la compromissione dell'identità rimangono efficaci anche contro programmi di sicurezza maturi. La segmentazione della rete e il rilevamento rapido dei movimenti laterali sono fondamentali per contenere l'attività degli affiliati dopo l'accesso iniziale.
Gli operatori di Qilin hanno chiesto un riscatto di 50 milioni di dollari dopo aver sottratto 400 GB di dati relativi a oltre 900.000 pazienti. Sono stati cancellati oltre 800 interventi chirurgici del Servizio Sanitario Nazionale britannico (NHS) e la violazione è stata confermata come fattore determinante nella morte di un paziente.
Lezione: le organizzazioni sanitarie sono soggette a un targeting sproporzionato a causa delle operazioni critiche per la vita. La valutazione della sicurezza dei fornitori terzi e la segmentazione della rete non sono opzionali.
Una singola credenziale VPN compromessa senza autenticazione a più fattori ha permesso agli affiliati di DarkSide di chiudere il più grande oleodotto degli Stati Uniti per sei giorni. Colonial ha pagato circa 5 milioni di dollari di riscatto, mentre sono stati rubati circa 100 GB di dati.
Lezione: le misure di sicurezza di base (autenticazione a più fattori su tutti gli accessi remoti, segmentazione della rete, gestione delle credenziali) prevengono la maggior parte dei vettori di accesso iniziali RaaS. Questo singolo incidente ha innescato una riflessione a livello nazionale sulla sicurezza delle infrastrutture critiche.
Una coalizione internazionale composta da 10 paesi ha sequestrato l'infrastruttura, il codice sorgente e le chiavi di decrittazione di LockBit. LockBit aveva mietuto oltre 2.000 vittime e estorto 120 milioni di dollari o più. Nella seconda metà del 2024, i pagamenti sono diminuiti del 79%.
Lezione: gli interventi delle forze dell'ordine interrompono in modo significativo le operazioni individuali, ma contribuiscono alla frammentazione dell'ecosistema. Gli affiliati migrano verso altre piattaforme: sono necessarie strategie di risposta agli incidenti continue e adattive, piuttosto che affidarsi a un singolo evento di interruzione.
Una finestra di rilevamento di 4-5 giorni tra l'accesso iniziale e la crittografia consente il rilevamento comportamentale dell'attività degli affiliati RaaS a livello di rete e di identità.
Con un tempo di permanenza mediano compreso tra quattro e cinque giorni e un tempo medio tra il movimento laterale e la crittografia pari a 17 ore, i difensori hanno una reale opportunità di fermare gli attacchi RaaS prima che il payload venga rilasciato. La chiave sta nel passare da strategie basate esclusivamente sulla prevenzione a strategie basate sul rilevamento del compromesso.
I principi fondamentali della prevenzione rimangono essenziali:
Ma la prevenzione da sola non è sufficiente. La guida #StopRansomware della CISA e il framework ransomware del NIST raccomandano entrambi difese a più livelli su tutte le funzioni di sicurezza.
Tabella: mappatura MITRE ATT&CK per le tattiche, le tecniche e le procedure comuni degli affiliati RaaS con approcci di rilevamento raccomandati.
Con un tempo di permanenza medio compreso tra quattro e cinque giorni, ogni ora che intercorre tra l'accesso iniziale e la crittografia rappresenta un'opportunità. Il rilevamento e la risposta della rete identificano i modelli di segnalazione C2, i movimenti laterali attraverso SMB e RDP e le operazioni di staging dei dati prima dell'inizio della crittografia.
Il rilevamento e la risposta alle minacce all'identità individuano modelli di abuso delle credenziali che gli strumenti basati su firme non riescono a rilevare: Kerberoasting , pass-the-hash, attacchi golden ticket e operazioni DCSync.
Il rilevamento comportamentale delle minacce è particolarmente importante quando endpoint vengono elusi. Gruppi come Reynolds sfruttano tecniche BYOVD (bring-your-own-vulnerable-driver) e servizi come Packer-as-a-Service di Shanya mirano specificamente all'elusione EDR. I team di ricerca delle minacce che si concentrano sulle anomalie di rete e di identità individuano ciò che le strategie endpoint non riescono a rilevare.
Il modello RaaS richiede una difesa approfondita lungo l'intera catena di attacco, non solo a livello di endpoint. Il settore sta passando da strategie basate esclusivamente sulla prevenzione a strategie di rilevamento delle compromissioni che sfruttano la finestra pre-crittografia.
Gli approcci moderni efficaci combinano il rilevamento e la risposta di rete con l'analisi comportamentale delle identità, le capacità di risposta automatizzata e l'automazione SOC per contenere gli attacchi durante la finestra di rilevamento. Il rilevamento delle minacce basato sull'intelligenza artificiale tiene il passo con le operazioni RaaS accelerate dall'intelligenza artificiale che comprimono i tempi di attacco da mesi a giorni.
La filosofia "assumere il compromesso" Vectra AI è perfettamente in linea con la finestra di rilevamento RaaS. Anziché affidarsi esclusivamente alla prevenzione dell'accesso iniziale, Attack Signal Intelligence sul rilevamento dei comportamenti degli aggressori (beaconing C2, movimento laterale, escalation dei privilegi e staging dei dati) in ambienti di rete, identità, cloud e SaaS. Questa osservabilità unificata fornisce la chiarezza dei segnali di cui i team di sicurezza hanno bisogno per fermare gli affiliati RaaS prima che inizi la crittografia.
Il ransomware come servizio ha trasformato il panorama delle minacce da singoli attori a un'industria criminale scalabile con ruoli specializzati, economia competitiva e rapida innovazione. Il panorama 2025-2026, con 124 gruppi attivi, tassi di pagamento in calo e modelli di cartello emergenti, segnala un ecosistema in transizione ma non in declino.
Per i difensori, la realtà operativa è chiara. Gli affiliati RaaS seguono modelli comportamentali prevedibili: ottengono l'accesso, si spostano lateralmente, aumentano i privilegi, preparano i dati e distribuiscono i payload. Il periodo di rilevamento di quattro-cinque giorni tra l'accesso iniziale e la crittografia non è una vulnerabilità. È un'opportunità.
Le organizzazioni che passano da strategie basate esclusivamente sulla prevenzione al rilevamento delle compromissioni, combinando analisi comportamentali della rete, rilevamento delle minacce all'identità e risposta automatizzata, si posizionano in modo da intercettare le attività degli affiliati prima che inizi la crittografia. Gli aggressori si sono industrializzati. La difesa deve evolversi di conseguenza.
Scopri come Vectra AI il comportamento degli affiliati ransomware in cloud di rete, identità e cloud .
Il ransomware as a service è un modello di business criminale in cui gli sviluppatori di ransomware (operatori) creano e gestiscono piattaforme ransomware che altri criminali (affiliati) possono utilizzare per sferrare attacchi. Il modello rispecchia le attività SaaS legittime, con gli affiliati che pagano tramite abbonamenti, tariffe una tantum o accordi di condivisione dei ricavi. Gli operatori si occupano malware , dell'infrastruttura, dell'elaborazione dei pagamenti e dell'assistenza. Gli affiliati si occupano della selezione degli obiettivi, dell'accesso iniziale e della distribuzione. Questa divisione del lavoro è il motivo per cui nel 2025 sono stati individuati 124 gruppi distinti: la barriera all'ingresso non è mai stata così bassa.
I prezzi del RaaS variano notevolmente in base al modello e alla qualità della piattaforma. Gli abbonamenti mensili partono da circa 40 dollari per l'accesso di base. Le licenze una tantum vanno da 500 a 84.000 dollari per i kit premium con funzionalità di evasione avanzate. I programmi di affiliazione non richiedono alcun costo iniziale, ma trattengono il 20-40% dei pagamenti dei riscatti. Alcuni programmi richiedono un deposito (ad esempio 0,05 BTC) per aderire. Comprendere questi prezzi aiuta i responsabili della sicurezza a comunicare agli stakeholder aziendali perché gli attacchi basati su RaaS sono così diffusi: la barriera finanziaria per lanciare un attacco è minima rispetto al potenziale ritorno economico.
No. La creazione, la distribuzione o l'utilizzo di ransomware è illegale praticamente in tutte le giurisdizioni. Gli operatori RaaS e i loro affiliati rischiano severe sanzioni penali, comprese lunghe pene detentive. Nel dicembre 2025, due professionisti della sicurezza informatica statunitensi si sono dichiarati colpevoli di aver distribuito il ransomware ALPHV/BlackCat, dimostrando che le forze dell'ordine perseguono attivamente tutti i partecipanti alla catena di fornitura RaaS. Operazioni internazionali come l'Operazione Cronos contro LockBit dimostrano una crescente cooperazione transfrontaliera nell'applicazione della legge.
Il ransomware tradizionale coinvolge un singolo attore o gruppo che sviluppa e distribuisce il malware fine. Il RaaS separa questi ruoli: gli operatori costruiscono e mantengono la piattaforma, mentre gli affiliati, che possono avere competenze tecniche limitate, conducono gli attacchi effettivi. Questa divisione del lavoro aumenta notevolmente il numero di potenziali aggressori. Mentre le campagne di ransomware tradizionali possono coinvolgere una manciata di operatori esperti, una singola piattaforma RaaS può consentire a centinaia di affiliati di eseguire campagne indipendenti contemporaneamente.
Un broker di accesso iniziale (IAB) è un attore specializzato che compromette le reti aziendali e vende tale accesso agli affiliati RaaS. Gli IAB richiedono in genere da 500 a 5.000 dollari per ogni accesso alla rete e operano su forum del dark web e canali Telegram. Essi fungono da anello della catena di approvvigionamento che consente agli affiliati meno esperti di aggirare completamente la fase iniziale di compromissione. Il forum RAMP era il principale mercato degli IAB fino al suo sequestro da parte dell'FBI nel gennaio 2026, dopodiché l'attività si è dispersa su canali privati e piattaforme di messaggistica crittografata.
Il RaaS ha abbassato la barriera di ingresso per i criminali informatici eliminando la necessità di competenze tecniche nello malware . Gli affiliati ricevono strumenti, infrastrutture e supporto già pronti, consentendo agli operatori con diversi livelli di competenza di condurre attacchi sofisticati. I vantaggi economici sono allettanti: i programmi di affiliazione non richiedono alcun investimento iniziale e offrono una quota di guadagno pari al 60-80%. In combinazione con gli IAB che vendono accessi di rete già pronti, l'intera catena di attacchi può essere assemblata senza competenze tecniche approfondite. Ciò ha contribuito a un aumento del 47% degli attacchi ransomware segnalati pubblicamente nel 2025.
La difesa richiede un approccio stratificato lungo l'intera catena di attacco. Implementare l'autenticazione a più fattori (MFA) su tutti gli accessi remoti e gli account privilegiati. Mantenere backup offline crittografati e testati regolarmente. Implementare la segmentazione della rete per limitare i movimenti laterali. Correggere tempestivamente le vulnerabilità note: le vulnerabilità sfruttate rappresentano il 32% delle cause principali del ransomware. Utilizzare strumenti di rilevamento comportamentale (NDR e ITDR) per identificare l'attività degli affiliati durante il periodo di quattro-cinque giorni tra l'accesso iniziale e la crittografia. Segnalare gli incidenti alle forze dell'ordine, il che consente di risparmiare circa 1 milione di dollari per ogni incidente. Seguire la guida CISA #StopRansomware per indicazioni complete.