Nel 2025 stiamo assistendo a un’evoluzione significativa nel modo in cui il ransomware opera, chi prende di mira e quali sono le conseguenze per chi ne è vittima. Non si tratta più solo di furto di dati, ma di perdita di fiducia, paralisi operativa e danni di lungo termine alla reputazione del brand. In questo blog analizziamo il panorama delle minacce ransomware in continua evoluzione nel 2025.

Uno sguardo al 2024

Il 2024 è stato uno degli anni più prolifici in assoluto per l’attività ransomware. Secondo i dati di Sophos, il 59% delle organizzazioni ha dichiarato di essere stata colpita da attacchi ransomware, con il 70% di questi incidenti che ha portato alla cifratura dei dati. Questo rappresenta un netto aumento nel tasso di successo degli attaccanti e dimostra che molte aziende non sono ancora preparate in modo adeguato per rispondere a questo tipo di minaccia. Le richieste di riscatto sono aumentate in media di cinque volte rispetto all’anno precedente, segnalando una crescente aggressività e sicurezza da parte degli attori delle minacce.

Uno dei dati più preoccupanti è che il 32% degli incidenti ransomware è stato causato da vulnerabilità non patchate. Ciò evidenzia un fallimento continuo in termini di igiene informatica, con molte organizzazioni che faticano ancora a gestire le patch all'interno di ambienti digitali complessi.

Il ransomware nel 2025: cosa è cambiato?

Nuove gang, nuove tecniche

Sebbene molti dei principali gruppi ransomware del 2024 siano ancora attivi, il 2025 ha visto emergere diversi nuovi attori che stanno cambiando le regole del gioco. Gruppi come Meow, KillSec, DragonForce e Cicada3301 sono entrati in scena con tattiche innovative e un approccio aggressivo alla distruzione. Queste gang sono più decentralizzate, difficili da tracciare e spesso mescolano attacchi a scopo di lucro con agende ideologiche. Alcuni operano sotto la bandiera dell’hacktivismo, prendendo di mira governi e aziende non solo per chiedere riscatti, ma anche per lanciare messaggi politici.

Questi nuovi gruppi portano anche innovazione. Utilizzano metodi di ingresso multi-vettore, inclusi exploit zero-day, exploit di configurazioni errate nel cloud e social engineering potenziato dall’intelligenza artificiale. I loro modelli di estorsione vanno oltre la semplice cifratura o il furto di dati, includendo minacce alla reputazione, rischi legali e persino campagne di disinformazione coordinate. Con un ecosistema ransomware sempre più “commercializzato”, è oggi più facile che mai per attori poco esperti lanciare attacchi devastanti utilizzando kit malware preconfezionati e strumenti di consegna automatizzati.

Nel 2024, le gang più attive includevano RansomHub, LockBit 3.0, Play, Akira e Hunters International, tutte impegnate in tecniche di estorsione avanzate come la doppia e tripla estorsione, supportate da affiliati e modelli di Ransomware-as-a-Service.

 

 TrendsPredictions 2025_webheader_landing-1

Le tecnologie operative sotto attacco

Nel 2025 ci si aspetta un aumento degli attacchi ransomware rivolti agli ambienti di tecnologia operativa (OT). Questi sistemi controllano processi fisici in settori come manifattura, energia, utility e sanità. Spesso basati su tecnologie legacy, sono privi di controlli di sicurezza robusti e non possono essere facilmente patchati o messi offline per manutenzione—rendendoli bersagli ideali.

Gli operatori ransomware sanno che interrompere linee di produzione, dispositivi medici salvavita o infrastrutture critiche genera una pressione enorme sulle vittime affinché paghino rapidamente. Anche brevi interruzioni possono comportare perdite milionarie o mettere a rischio la sicurezza delle persone. Questo trend ha portato a un’impennata di attacchi nei settori manifatturiero e sanitario, oggi i due più colpiti a livello globale.

L’aumento del ransomware hacktivista

Nel 2025, il ransomware è ormai entrato a pieno titolo nella sfera geopolitica. I gruppi affiliati a Stati-nazione, in particolare quelli legati a Russia e Iran, utilizzano sempre più il ransomware come strumento di destabilizzazione, disinformazione e sabotaggio.

Questi gruppi, che si definiscono “hacktivisti”, rivendicano spesso gli attacchi sotto pseudonimi collettivi. I loro obiettivi spaziano da enti governativi e appaltatori della difesa a media e università.

Ciò che rende queste minacce particolarmente pericolose è la fusione tra tattiche di cybercriminalità tradizionali e capacità da guerra cibernetica. Possono sfruttare zero-day, diffondere fake news per amplificare l’impatto dell’attacco o coordinare offensive multiple simultaneamente. I piani di cyber resilienza devono ora considerare anche la possibilità di ransomware a matrice politica e rafforzare le attività di threat intelligence.

 

ctem-1

 

Minacce alimentate dall’intelligenza artificiale

L’Intelligenza Artificiale sta rivoluzionando il ransomware. Nel 2025 vediamo l’AI integrata in ogni fase del ciclo di attacco: dalla ricognizione alla creazione del payload, fino al social engineering e ai movimenti laterali. Gli attaccanti la usano per creare email di phishing altamente personalizzate, imitare lo stile di scrittura dei dirigenti e persino generare deepfake audio e video credibili per ingannare i dipendenti.

Con l’adozione dell’AI da parte degli attaccanti, le organizzazioni devono andare oltre la rilevazione basata su firme e investire in analisi comportamentale, rilevamento di anomalie e difese alimentate a loro volta dall’intelligenza artificiale.

Dati sotto attacco

Nel 2025, il ransomware non si limita più a cifrare o rubare dati: li manipola. Alcuni attori minacciano di corrompere, alterare o modificare in modo impercettibile dati sensibili prima di chiedere un riscatto. In certi casi, viene paventato il rischio di modificare registri finanziari, dati sanitari o proprietà intellettuali, generando sfiducia nei sistemi dell’organizzazione.

Questo cambia tutto. Non è più sufficiente ripristinare i backup: ora è necessario verificarne anche l’integrità. Per settori dove l’accuratezza dei dati è vitale—come finanza, sanità e ambito legale—questa minaccia è particolarmente critica.

Gli attori delle minacce non cercano più solo guadagni economici. Vogliono generare disordine, minare la fiducia e destabilizzare servizi essenziali.

La resilienza è fondamentale

Le strategie di sicurezza devono oggi includere rilevamento precoce, risposta rapida, recupero e continuità operativa. È essenziale integrare filtri avanzati per email, analisi comportamentali, threat intelligence e monitoraggio in tempo reale. Allo stesso tempo, le organizzazioni devono rafforzare i fondamenti dell’igiene informatica: applicare patch, revisionare i controlli di accesso e formare regolarmente gli utenti sono ancora tra le difese più efficaci.

Le organizzazioni di maggior successo nel 2025 saranno quelle che superano un approccio reattivo alla sicurezza. Saranno quelle che trattano la cyber security come un fattore abilitante per il business: la inseriscono nelle discussioni del consiglio, le dedicano budget, e collaborano con esperti capaci di adattarsi al cambiamento.

Perché quando si parla di ransomware, restare fermi equivale a restare indietro.

CTA-Incident-Response

 

Vuoi scoprire come difendere i tuoi dati dal ransomware? Contatta i nostri esperti.

 

Contact Us