Il ransomware si è confermato, anche lo scorso anno, una delle minacce informatiche più costose e in rapida evoluzione: i dati raccolti da VDC Research e Kaspersky restituiscono un quadro preoccupante, con perdite potenziali che nel solo settore manifatturiero hanno sfiorato i 18 miliardi di dollari nei primi tre trimestri dell’anno.
Vediamo nel dettaglio.
Indice degli argomenti
Il costo economico del ransomware: miliardi in gioco nel 2025
Il costo economico del ransomware potrebbe rivelarsi sbalorditivo. VDC Research e Kaspersky hanno condotto una stima dalla quale emerge che, solo nel settore manifatturiero, le potenziali perdite derivanti da attacchi ransomware (qualora avessero avuto successo) avrebbero potuto superare i 18 miliardi di dollari nei primi tre trimestri del 2025.
A livello regionale, l’Asia-Pacifico risulta l’area più colpita, con 11,5 miliardi di dollari di potenziali perdite, a dimostrazione di come la rapida digitalizzazione delle economie emergenti stia ampliando in modo significativo la superficie di attacco.
RaaS e nuove tattiche: come si è evoluto il ransomware nel 2025
Nel 2025 il ransomware ha dimostrato resilienza, capacità di evoluzione e grande adattabilità. I modelli di Ransomware-as-a-Service (RaaS) hanno dominato il panorama delle minacce, abbassando le barriere di ingresso per i cybercriminali alle prime armi.
Questi modelli offrono malware pronti all’uso, programmi di affiliazione e persino servizi di intermediazione per l’accesso iniziale, con una ripartizione dei riscatti pari al 90/10 a favore degli operatori.
Piattaforme come RansomHub (ora dismessa) sono state rapidamente rimpiazzate da altri gruppi, tra cui Qilin, Akira, CI0p e Sinobi. Anche le tattiche hanno registrato un’evoluzione allarmante, in particolare quelle che sfruttano driver vulnerabili firmati, facendo ricorso alla tecnica Bring-Your-Own-Vulnerable-Driver (BYOVD), come osservato negli attacchi MedusaLocker.
La doppia e tripla estorsione — che combina la crittografia dei dati con la loro sottrazione e la minaccia di divulgazione a clienti, autorità di regolamentazione o concorrenti — è ormai diventata la norma.
IoT, intelligenza artificiale e attacchi a basso costo: i nuovi vettori del crimine informatico
Gli aggressori stanno inoltre aggirando le difese tradizionali prendendo di mira punti di accesso non convenzionali, come dispositivi IoT, elettrodomestici smart e persino webcam, come dimostrato dalle attività della banda Akira. L’integrazione dell’intelligenza artificiale, in particolare dei Large Language Models (LLM), ha accelerato ulteriormente questa tendenza. Gruppi come FunkSec, emersi alla fine del 2024, utilizzano codice generato dall’IA per condurre attacchi a basso costo e ad alto volume contro i settori governativo, finanziario ed educativo in regioni quali l’India e l’Europa.
Hacktivisti, Africa ed Europa: la distribuzione geografica degli attacchi
Anche gruppi di hacktivisti, come Head Mare e Twelve, hanno impiegato il ransomware come strumento offensivo contro il settore manifatturiero e altri obiettivi strategici. In Africa, sebbene la diffusione sia inferiore a causa di livelli di digitalizzazione ancora limitati, paesi come il Sudafrica e la Nigeria registrano un aumento degli incidenti, in particolare nel settore finanziario. L’Europa, supportata da normative come il GDPR, ha ottenuto risultati complessivamente migliori; tuttavia, episodi come l’attacco di RansomHub agli uffici di Kawasaki mettono in luce le persistenti vulnerabilità della supply chain.
Ransomware nel 2026: l’Agentic AI e gli scenari di rischio emergenti
Guardando al 2026, il ransomware non solo continuerà a esistere, ma è pronto a compiere un vero e proprio salto di qualità, potenziato dalla rapida integrazione dell’intelligenza artificiale nel crimine informatico. I sistemi di Agentic AI, capaci di ragionare in modo autonomo e di adattarsi in tempo reale, potrebbero automatizzare l’intera supply chain degli attacchi, dalla ricognizione iniziale fino alle richieste finali di estorsione, operando a velocità di gran lunga superiori a quelle degli operatori umani. Le piattaforme Ransomware-as-a-Service basate sull’IA potrebbero inoltre consentire anche agli hacker meno esperti di distribuire malware polimorfici in grado di mutare dinamicamente o di diffondere video deepfake per ricattare dirigenti aziendali. Il numero delle vittime potrebbe crescere in modo esponenziale, poiché gli aggressori intensificano operazioni su larga scala contro fornitori terzi. Le tattiche di estorsione potrebbero evolvere verso forme ancora più subdole, come la manipolazione dei dati e il sabotaggio della reputazione, minando la fiducia nei brand nel giro di pochissimo tempo.
Come difendersi: strategie e strumenti per aziende e organizzazioni
Per mantenere un vantaggio competitivo in termini di sicurezza, le organizzazioni dovrebbero investire nell’intelligence sulle minacce e nel rilevamento proattivo, oltre a implementare backup immutabili e isolati. È fondamentale condurre audit approfonditi della catena di approvvigionamento e adottare sistemi avanzati di autenticazione multifattoriale. Allo stesso modo, risulta essenziale implementare programmi di formazione mirata per contrastare schemi di phishing potenziati dall’intelligenza artificiale.
La furia del ransomware nel 2025, caratterizzata da un uso crescente dell’IA, attacchi sempre più mirati e costi in forte aumento, rappresenta un chiaro monito per il mondo degli affari. Nel 2026, le minacce autonome potrebbero sopraffare le organizzazioni impreparate; tuttavia, adottando modelli di protezione resilienti, le aziende non solo potranno sopravvivere, ma anche prosperare. La scelta è evidente: evolversi più rapidamente degli aggressori o rischiare di diventare la loro prossima vittima.
Soluzioni per le aziende non industriali
Per contrastare efficacemente il ransomware, è innanzitutto necessario abilitare una protezione dedicata su tutti gli endpoint. Per le aziende non industriali, è consigliabile implementare soluzioni anti-APT ed EDR, in grado di migliorare l’individuazione, il rilevamento e l’analisi delle minacce, nonché la gestione rapida degli incidenti. È inoltre fondamentale fornire ai team SOC informazioni aggiornate sulle minacce e garantire una formazione professionale continua, risorse oggi accessibili tramite piattaforme complete come Kaspersky Next, utili a costruire una strategia di difesa realmente resiliente.
Soluzioni per il settore industriale e le infrastrutture critiche
Per le organizzazioni operanti nel settore industriale, si raccomanda invece l’adozione di un ecosistema specializzato come Kaspersky Industrial CyberSecurity (KICS), che combina tecnologie di livello OT, competenze specialistiche e una piattaforma nativa di Extended Detection and Response (XDR) progettata su misura per le infrastrutture critiche. Questa soluzione offre funzionalità avanzate di analisi del traffico di rete, protezione degli endpoint e capacità di risposta agli incidenti, integrando la sicurezza IT tradizionale con misure specifiche per l’ambiente industriale, al fine di contrastare minacce sempre più sofisticate.
