Negli ultimi anni la lotta contro il ransomware ha vissuto fasi altalenanti. All’inizio del 2025 alcuni segnali sembravano indicare una possibile svolta: le analisi della blockchain mostravano un calo significativo dei pagamenti di riscatti in criptovaluta, con entrate per i gruppi criminali in diminuzione per la prima volta dal 2022.
Tuttavia, l’ottimismo è durato poco. Gli attaccanti ransomware hanno dimostrato ancora una volta una grande capacità di adattamento. Quando il loro modello di business viene messo sotto pressione, evolvono rapidamente tattiche e strategie. E oggi questa evoluzione si traduce anche in una crescente aggressività nei confronti delle vittime.
Secondo una recente ricerca di Semperis, in circa due attacchi ransomware su cinque gli attaccanti hanno minacciato fisicamente dirigenti aziendali. Allo stesso tempo, oltre due terzi delle organizzazioni colpite hanno finito per pagare un riscatto. In questo scenario, la sola strategia realmente sostenibile per le aziende è rafforzare la propria cyber resilience.
I numeri mostrano chiaramente quanto il fenomeno sia ancora diffuso. Nel 2024 il 56% delle organizzazioni analizzate in Stati Uniti, Regno Unito, Francia, Germania, Spagna, Italia, Singapore, Canada, Australia e Nuova Zelanda, ha subito con successo un attacco ransomware, e il 69% delle vittime ha pagato. Ancora più significativo è che oltre la metà delle organizzazioni che hanno pagato lo ha fatto più di una volta, mentre quasi un terzo ha pagato tre o più volte.
Il motivo è semplice: quando gli attaccanti identificano un’organizzazione con una postura di sicurezza debole, tendono a tornare a colpire.
Le conseguenze economiche possono essere rilevanti. Tra le organizzazioni che hanno pagato il riscatto, circa la metà ha registrato perdite annuali comprese tra 500.000 e 1 milione di dollari, mentre per quasi una su dieci il danno ha superato il milione. A queste cifre vanno aggiunti i costi indiretti, come l’aumento dei premi assicurativi cyber, le violazioni dei dati, le interruzioni operative e, in alcuni casi, anche tagli al personale o ai budget.
Di fronte a un numero minore di aziende disposte a pagare, gli attaccanti stanno intensificando le pressioni sulle vittime. Le minacce non riguardano più soltanto la pubblicazione dei dati sottratti: nel 63% dei casi viene minacciata la distruzione dei dati, mentre nel 47% gli attaccanti cercano di ricattare le organizzazioni minacciando segnalazioni alle autorità di regolamentazione.
Parallelamente, i gruppi ransomware continuano a dimostrare grande efficacia nello sfruttare le vulnerabilità nelle infrastrutture di identità. In oltre l’80% degli attacchi analizzati sono stati compromessi sistemi come Active Directory, Entra ID o Okta, consentendo agli attaccanti di mantenere la persistenza nell’ambiente, muoversi lateralmente nella rete e aumentare i privilegi.
Tecniche come il phishing delle credenziali o i malware infostealer continuano inoltre a offrire risultati particolarmente efficaci, soprattutto quando i dispositivi personali possono connettersi alle risorse aziendali.
A complicare ulteriormente lo scenario è l’impatto crescente dell’intelligenza artificiale. L’AI promette infatti di rendere ancora più efficaci operazioni come il social engineering, la ricognizione delle vittime, la generazione di malware e la ricerca di vulnerabilità. In altre parole, potrebbe abbassare ulteriormente la barriera di ingresso per nuovi attori ransomware.
In questo contesto i CISO devono partire da una consapevolezza ormai inevitabile: le violazioni sono una possibilità concreta. La differenza tra un incidente gestibile e una crisi operativa sta nella capacità di rilevare rapidamente l’attacco, contenerlo e ripristinare i sistemi in tempi brevi.
Costruire resilienza significa lavorare contemporaneamente su persone, processi e tecnologia. Dal punto di vista operativo, questo implica rafforzare i programmi di formazione e consapevolezza degli utenti, applicare rapidamente patch e aggiornamenti di sicurezza e implementare in modo diffuso l’autenticazione multifattore per ridurre le possibilità di accesso iniziale.
Allo stesso tempo le organizzazioni devono prepararsi allo scenario peggiore: backup affidabili, capacità automatizzate di risposta e recupero e piani di incident response ben documentati e testati regolarmente. La velocità e la completezza del recupero sono fattori decisivi per evitare che un’organizzazione diventi bersaglio di attacchi ripetuti.
La resilienza, inoltre, non può fermarsi ai confini aziendali. Fornitori e partner devono essere inclusi negli stessi standard di sicurezza e nei medesimi processi di gestione degli incidenti.
Pagare il riscatto raramente rappresenta una soluzione efficace. Non solo incentiva ulteriori attacchi, ma non garantisce nemmeno il recupero dei dati: in circa il 15% dei casi le vittime non ricevono chiavi di decrittazione funzionanti. Allo stesso tempo, vietare per legge i pagamenti potrebbe avere effetti collaterali significativi, come mettere a rischio infrastrutture critiche o spingere i pagamenti nell’economia sommersa.
Una lezione utile può arrivare, paradossalmente, proprio dagli attaccanti. Nel corso dell’ultimo decennio i gruppi ransomware hanno dimostrato una straordinaria capacità di adattarsi alle operazioni di contrasto e alle pressioni delle forze dell’ordine.
La stessa resilienza deve diventare oggi il principio guida per i team di sicurezza e per le organizzazioni che difendono.
