Aumento del ransomware, escalation delle estorsioni: Report del 2025 di Threatlabz sui ransomware

Il ransomware rimane una delle minacce più persistenti per le aziende e le organizzazioni del settore pubblico. Le ultime ricerche di ThreatLabz confermano che gli attacchi non solo stanno aumentando in volume, ma si stanno anche orientando verso tattiche di estorsione più mirate e basate sui dati.

Il nuovo Report del 2025 di Threatlabz sui ransomware analizza l'aumento anno su anno dell'attività ransomware bloccata dal cloud Zscaler e un significativo incremento dei casi pubblici di estorsione. Insieme, questi risultati indicano una realtà critica: l'attuale panorama delle minacce ransomware richiede un nuovo livello di vigilanza operativa e un'architettura di sicurezza fondamentalmente diversa da quella offerta dai modelli tradizionali.

Questo articolo evidenzia alcune delle principali intuizioni del report. Per un'analisi completa, che include trend degli attacchi, profili degli attori delle minacce e linee guida di sicurezza, scarica il Report del 2025 di Threatlabz sui ransomware.

Le 5 scoperte principali sui ransomware

I ricercatori di ThreatLabz hanno analizzato l'attività ransomware da aprile 2024 ad aprile 2025, esaminando siti pubblici di leak di dati, l'intelligence proprietaria di Zscaler, campioni di ransomware, dati sugli attacchi e telemetria dallo Zscaler Zero Trust Exchange. Ecco cinque punti chiave del report di quest'anno:

1. Gli attacchi ransomware sono aumentati del 145,9% su base annua: questa crescita impressionante dimostra chiaramente che il volume delle campagne aumenta più velocemente che mai. Nell'ultimo anno, Zscaler ha bloccato un numero senza precedenti di attacchi.
2. I casi di estorsione pubblica sono aumentati del 70,1%: un numero molto più elevato di organizzazioni è comparso sui siti di leak dei ransomware rispetto all'anno precedente, e gli attaccanti intensificano le tattiche con cui mettono pressione alle vittime.
3. I volumi di esfiltrazione dei dati sono aumentati del 92,7%: ThreatLabz ha analizzato le 10 principali famiglie di ransomware e ha scoperto un totale di 238,5 TB di dati esfiltrati, a dimostrazione del fatto che il furto di dati sta alimentando le campagne di estorsione.
4. I settori critici continuano a essere obiettivi prioritari: Manifatturiero, Tecnologia e Sanità hanno registrato il maggior numero di attacchi ransomware, mentre comparti come Petrolio e gas (+935%) e Pubblica amministrazione (+235%) hanno visto notevoli aumenti dall'anno precedente.
   
5. I gruppi ransomware si stanno evolvendo rapidamente: famiglie consolidate come RansomHub, Clop e Akira sono rimaste dominanti, mentre sono emersi 34 nuovi gruppi identificati da ThreatLabz, tra cui rebranding o diramazioni di gruppi ormai inattivi e nuovi attori pronti a colmare i vuoti lasciati da arresti o altre interruzioni. Nel complesso, riflettono un ecosistema ransomware dinamico e in rapida evoluzione, in cui gli aggressori sono in grado di adattarsi continuamente.
    

In tendenza: estorsione rispetto alla sola cifratura, uso della GenAI e obiettivi strategici

Il Report del 2025 di Threatlabz sui ransomware affronta diversi trend che definiscono il modo in cui oggi vengono eseguiti gli attacchi ransomware:

• In molti casi, l'estorsione dei dati è la priorità. Alcuni aggressori saltano del tutto la cifratura dei file, scegliendo invece di rubare dati sensibili e usare la minaccia della pubblicazione sui siti di leak. Queste campagne sfruttano il rischio di danni reputazionali, violazioni delle normative e perdita di proprietà intellettuale per indurre le vittime a pagare, anche quando i loro dati non sono cifrati.
• L'AI generativa sta accelerando le operazioni ransomware. ThreatLabz ha scoperto che un noto gruppo di criminali informatici ha utilizzato ChatGPT per supportare l'esecuzione dei propri attacchi. La GenAI consente agli aggressori di automatizzare le attività principali e scrivere codice per ottimizzare le operazioni e aumentare l'efficacia degli attacchi.
• Il targeting è più mirato. Gli operatori di ransomware si sono in gran parte allontanati dalle tradizionali campagne di spam su larga scala, preferendo attacchi più mirati che impersonano i team IT per colpire i dipendenti che dispongono di un accesso con privilegi.

Leggi il report completo per ulteriori approfondimenti su queste tendenze. 

I gruppi ransomware dietro l'aumento

Il report offre anche uno sguardo dettagliato ai gruppi di minaccia responsabili della recente escalation degli attacchi. Tra i più prolifici dell'ultimo anno figurano RansomHub, Clop e Akira, responsabili di una grande quota delle vittime sui siti di leak.

I ricercatori di ThreatLabz hanno inoltre identificato i cinque principali gruppi ransomware da monitorare nel prossimo anno, ovvero famiglie che esemplificano come il ransomware stia diventando più scalabile e orientato ai risultati dell'estorsione.

Le tattiche variano notevolmente da un gruppo all'altro. ThreatLabz ha osservato strategie come:

• Furto silenzioso dei dati che evita di interrompere la continuità operativa 
• Campagne di Ransomware as a Service basate su affiliati che utilizzano infrastrutture, strumenti e servizi condivisi.
• Richieste di riscatto che sfruttano le violazioni delle normative per aumentare la pressione sulle vittime

Le vulnerabilità restano la via più semplice di ingresso

Un tema costante e determinante negli attacchi ransomware è il ruolo delle vulnerabilità come percorsi diretti al compromesso iniziale. Tecnologie aziendali ampiamente utilizzate quali VPN, applicazioni di trasferimento file, strumenti di accesso remoto, software di virtualizzazione e piattaforme di backup continuano a essere sfruttate dagli operatori ransomware.

Il report illustra esempi di diverse importanti vulnerabilità sfruttate nelle campagne ransomware dell'ultimo anno. Nella maggior parte dei casi, gli aggressori hanno ottenuto l'accesso iniziale tramite semplici scansioni ed exploit automatici di sistemi connessi a internet. Questo rafforza una dura verità: le difese tradizionali come firewall e VPN lasciano troppo esposti, creando le condizioni ideali per il movimento laterale, il furto di dati e la distribuzione di ransomware.

Zero trust: lo standard per fermare il ransomware 

Man mano che i gruppi ransomware continuano a evolvere le proprie strategie, prendendo di mira dati sensibili e sfruttando la leva della pressione normativa e reputazionale per rafforzare l'estorsione, difendersi da questi attacchi richiede un approccio completo e proattivo. Questo è esattamente ciò che offre un'architettura zero trust, eliminando le stesse condizioni su cui fanno affidamento gli attori ransomware: infrastrutture individuabili, accessi eccessivamente permissivi e flussi di dati non ispezionati.

Zscaler Zero Trust Exchange offre protezione in ogni fase della catena di attacco ransomware, aiutando le organizzazioni a:

• Minimizzare l'esposizione: Zero Trust Exchange rende utenti, dispositivi e applicazioni invisibili da internet: nessun IP pubblico, nessuna rete esposta. Questo elimina la superficie d'attacco nella fase iniziale di ricognizione e riduce drasticamente il rischio.
• Prevenire la compromissione iniziale: l'ispezione inline di tutto il traffico, incluso quello cifrato con TLS/SSL su larga scala, blocca le minacce prima che possano causare danni. L'isolamento del browser basato su AI e il cloud sandboxing alimentati dall'intelligence avanzata di ThreatLabz aggiungono più livelli di difesa per neutralizzare minacce avanzate e zero-day.
• Eliminare il movimento laterale: la segmentazione da app ad app e da utente ad app impone l'accesso con privilegi minimi ed elimina la necessità di accedere alla rete, rimuovendo i percorsi utilizzati dagli operatori di ransomware per diffondersi. La tecnologia di deception integrata interrompe ulteriormente gli attacchi con esche e percorsi utente falsi.
• Bloccare l'esfiltrazione dei dati: poiché i gruppi ransomware di oggi si concentrano tanto sul furto di dati sensibili quanto sulla loro cifratura (se non di più), l'ispezione avanzata di Zscaler, la classificazione dei dati basata su AI, la prevenzione della perdita di dati (DLP) inline e l'isolamento del browser sono essenziali per impedire trasferimenti non autorizzati e garantire che i dati sensibili non lascino mai l'organizzazione.

Con un'architettura zero trust in atto, le organizzazioni possono controllare cosa gli utenti accedono, come si muovono i dati e come vengono protette le risorse, bloccando di fatto i percorsi di cui il ransomware ha bisogno e riducendo i rischi in ogni fase di un attacco.   

Scarica il report : resta informato e preparato

Il Report del 2025 di Threatlabz sui ransomware offre una visione aggiornata e basata sui dati sull'evoluzione del panorama ransomware. Oltre ai risultati trattati in questo articolo, il report completo esplora i paesi più colpiti, fornisce intelligence operativa sugli altri sviluppi rilevanti degli attori delle minacce e spiega come ThreatLabz stia supportando sforzi più ampi per invertire la tendenza contro i ransomware. Include anche linee guida più dettagliate per rafforzare le difese e costruire resilienza contro le minacce ransomware di oggi.

• Ottieni oggi stesso una copia del report completo per rimanere al corrente delle ultime ricerche sulle minacce ransomware.
• Partecipa al nostro webinar giovedì 31 luglio (AMS) e martedì 5 agosto (EMEA, APAC) per un'analisi approfondita ed esperienze dirette: Report del 2025 di Threatlabz sui ransomware: cosa c'è dietro l'ultima ondata di attacchi..