Aumento del ransomware, escalation delle estorsioni: Report del 2025 di Threatlabz sui ransomware

Il ransomware rimane una delle minacce più persistenti per le aziende e le organizzazioni del settore pubblico. Le ultime ricerche di ThreatLabz confermano che gli attacchi non solo stanno aumentando in volume, ma si stanno anche orientando verso tattiche di estorsione più mirate e basate sui dati.

Il nuovo Report del 2025 di Threatlabz sui ransomware analizza l'aumento anno su anno dell'attività ransomware bloccata dal cloud Zscaler e un significativo incremento dei casi pubblici di estorsione. Insieme, questi risultati indicano una realtà critica: l'attuale panorama delle minacce ransomware richiede un nuovo livello di vigilanza operativa e un'architettura di sicurezza fondamentalmente diversa da quella offerta dai modelli tradizionali.

Questo articolo evidenzia alcune delle principali intuizioni del report. Per un'analisi completa, che include trend degli attacchi, profili degli attori delle minacce e linee guida di sicurezza, scarica il Report del 2025 di Threatlabz sui ransomware.

Le 5 scoperte principali sui ransomware

I ricercatori di ThreatLabz hanno analizzato l'attività ransomware da aprile 2024 ad aprile 2025, esaminando siti pubblici di leak di dati, l'intelligence proprietaria di Zscaler, campioni di ransomware, dati sugli attacchi e telemetria dallo Zscaler Zero Trust Exchange. Ecco cinque punti chiave del report di quest'anno:

1. Gli attacchi ransomware sono aumentati del 145,9% su base annua: questa crescita impressionante dimostra chiaramente che gli attaccanti stanno scalando le campagne più velocemente che mai, con Zscaler che ha bloccato un numero senza precedenti di attacchi ransomware nell'ultimo anno.
2. I casi di estorsione pubblica sono aumentati del 70,1%: molte più organizzazioni sono state elencate sui siti di leak ransomware anno dopo anno, poiché gli attaccanti intensificano le tattiche di pressione.
3. I volumi di esfiltrazione di dati sono aumentati del 92,7%: ThreatLabz ha analizzato 10 principali famiglie di ransomware, scoprendo un totale di 238,5 TB di dati esfiltrati, a dimostrazione del fatto che il furto di dati sta alimentando le campagne di estorsione.
4. I settori critici continuano a essere i principali obiettivi: Manifatturiero, Tecnologia e Sanità hanno registrato il maggior numero di attacchi ransomware, mentre settori come Petrolio e gas (+935%) e Pubblica Amministrazione (+235%) hanno visto notevoli aumenti anno su anno.
   
5. I gruppi ransomware si stanno evolvendo rapidamente: famiglie consolidate come RansomHub, Clop e Akira sono rimaste dominanti, mentre sono emersi 34 nuovi gruppi identificati da ThreatLabz, tra cui rebranding o diramazioni di gruppi ormai inattivi e nuovi attori pronti a colmare i vuoti lasciati da arresti o altre interruzioni. Nel complesso, riflettono un ecosistema ransomware dinamico e in rapida evoluzione, in cui gli attori delle minacce si adattano continuamente.
    

In tendenza: estorsione rispetto alla sola cifratura, uso della GenAI e obiettivi strategici

Il Report del 2025 di Threatlabz sui ransomware affronta diversi trend che definiscono il modo in cui oggi vengono eseguiti gli attacchi ransomware:

• In molti casi, l'estorsione dei dati è la priorità. Alcuni aggressori saltano del tutto la cifratura dei file, scegliendo invece di rubare dati sensibili e usare la minaccia della pubblicazione sui siti di leak. Queste campagne sfruttano il rischio di danni reputazionali, violazioni normative e perdita di proprietà intellettuale per fare pressione sulle vittime a pagare, anche quando i loro dati non sono cifrati.
• L'AI generativa sta accelerando le operazioni ransomware. ThreatLabz ha trovato prove di come un noto gruppo di cybercriminali abbia utilizzato ChatGPT per supportare l'esecuzione dei propri attacchi. La GenAI consente agli aggressori di automatizzare attività chiave e scrivere codice per ottimizzare le operazioni e aumentare l'efficacia degli attacchi.
• Il targeting è più personalizzato. Gli attori ransomware si sono in gran parte allontanati dalle tradizionali campagne di spam su larga scala e opportunistiche, preferendo attacchi più mirati che impersonano il personale IT per colpire i dipendenti con accesso privilegiato.

Leggi il report completo per approfondimenti su questi trend. 

I gruppi ransomware dietro l'aumento

Il report offre anche uno sguardo dettagliato ai gruppi di minaccia responsabili della recente escalation degli attacchi. Tra i più prolifici dell'ultimo anno figurano RansomHub, Clop e Akira, responsabili di una grande quota delle vittime sui siti di leak.

I ricercatori di ThreatLabz hanno inoltre identificato i cinque principali gruppi ransomware da monitorare nel prossimo anno, ovvero famiglie che esemplificano come il ransomware stia diventando più scalabile e orientato ai risultati dell'estorsione.

Le tattiche variano notevolmente da un gruppo all'altro. ThreatLabz ha osservato strategie come:

• Furto sotto traccia dei dati che evita di interrompere la continuità operativa 
• Campagne di Ransomware-as-a-Service basate su affiliati che utilizzano infrastrutture, strumenti e servizi condivisi
• Richieste di riscatto che sfruttano le violazioni normative per aumentare la pressione sulle vittime

Le vulnerabilità restano la via più semplice di ingresso

Un tema costante e determinante negli attacchi ransomware è il ruolo delle vulnerabilità come percorsi diretti al compromesso iniziale. Tecnologie aziendali ampiamente utilizzate quali VPN, applicazioni di trasferimento file, strumenti di accesso remoto, software di virtualizzazione e piattaforme di backup continuano a essere sfruttate dagli operatori ransomware.

Il report illustra esempi di diverse importanti vulnerabilità sfruttate nelle campagne ransomware dell'ultimo anno. Nella maggior parte dei casi, gli aggressori hanno ottenuto l'accesso iniziale tramite semplici scansioni ed exploit automatici di sistemi connessi a internet. Questo rafforza una dura verità: le difese tradizionali come firewall e VPN lasciano troppo esposti, creando le condizioni ideali per il movimento laterale, il furto di dati e la distribuzione di ransomware.

Zero trust: lo standard per fermare il ransomware 

Man mano che i gruppi ransomware continuano a evolvere le proprie strategie, prendendo di mira dati sensibili e sfruttando la leva della pressione normativa e reputazionale per rafforzare l'estorsione, difendersi da questi attacchi richiede un approccio completo e proattivo. Questo è esattamente ciò che offre un'architettura zero trust, eliminando le stesse condizioni su cui fanno affidamento gli attori ransomware: infrastrutture individuabili, accessi eccessivamente permissivi e flussi di dati non ispezionati.

Zscaler Zero Trust Exchange offre protezione in ogni fase della catena di attacco ransomware, tra cui:

• Minimizzare l'esposizione: Zero Trust Exchange rende utenti, dispositivi e applicazioni invisibili da internet: nessun IP pubblico, nessuna rete esposta. Questo elimina la superficie d'attacco nella fase iniziale di ricognizione e riduce drasticamente il rischio.
• Prevenire il compromesso iniziale: l'ispezione in linea di tutto il traffico, incluso quello crittografato TLS/SSL, su larga scala, blocca le minacce prima che possano causare danni. L'isolamento del browser basato su AI e il cloud sandboxing alimentati dall'intelligence avanzata di ThreatLabz aggiungono più livelli di difesa per neutralizzare zero-day e minacce avanzate.
• Eliminare il movimento laterale: la segmentazione app-to-app e user-to-app impone l'accesso con privilegi minimi ed elimina la rete dall'equazione, rimuovendo i percorsi su cui gli operatori di ransomware fanno affidamento per diffondersi. La tecnologia di deception integrata interrompe ulteriormente gli attacchi con esche e percorsi utente falsi.
• Blocca l'esfiltrazione dei dati: poiché i gruppi ransomware di oggi si concentrano tanto (se non di più) sul furto di dati sensibili quanto sulla loro cifratura, l'ispezione senza pari di Zscaler, la classificazione dei dati basata su AI, la prevenzione delle perdite di dati (DLP) in linea e l'isolamento del browser sono essenziali per impedire trasferimenti non autorizzati e garantire che i dati sensibili non lascino mai l'organizzazione.

Con un'architettura zero trust in atto, le organizzazioni possono controllare cosa gli utenti accedono, come si muovono i dati e come vengono protette le risorse, bloccando di fatto i percorsi di cui il ransomware ha bisogno e riducendo i rischi in ogni fase di un attacco.   

Scarica il report : resta informato e preparato

Il Report del 2025 di Threatlabz sui ransomware offre una visione aggiornata e basata sui dati sull'evoluzione del panorama ransomware. Oltre ai risultati trattati in questo articolo, il report completo esplora i paesi più colpiti, fornisce intelligence operativa sugli altri sviluppi rilevanti degli attori delle minacce e spiega come ThreatLabz stia supportando sforzi più ampi per invertire la tendenza contro i ransomware. Include anche linee guida più dettagliate per rafforzare le difese e costruire resilienza contro le minacce ransomware di oggi.

• Ottieni oggi stesso una copia del report completo oggi stesso per rimanere informato e preparato con le ultime ricerche sulle minacce ransomware.
• Partecipa al nostro webinar giovedì 31 luglio (AMS) e martedì 5 agosto (EMEA, APAC) questo giovedì 31 luglio (AMS) e martedì 5 agosto (EMEA, APAC) per un'analisi approfondita e intuizioni dirette: Report del 2025 di Threatlabz sui ransomware: cosa c'è dietro l'ultima ondata di attacchi..