Secondo Integrity360, negli ultimi due anni il 57% delle organizzazioni ha subito almeno un attacco ransomware, con tattiche che sono evolute rispetto alla semplice crittografia dei file in direzione di strategie di estorsione complesse e in più fasi, progettate per esercitare la massima pressione sulle vittime. Il ransomware è una delle minacce più diffuse e dirompenti che le organizzazioni di tutto il mondo devono affrontare, con un volume degli attacchi in costante aumento a fronte di una riduzione delle entrate per singolo incidente.
Il 42% delle organizzazioni che hanno segnalato di essere state colpite da un attacco ransomware è stato oggetto di tattiche di doppia o tripla estorsione, che sostituiscono la crittografia dei file con la combinazione di furto dei dati, minacce di esposizione pubblica e interruzione operativa. Questo cambiamento riflette un adattamento calcolato da parte degli autori degli attacchi a controlli di sicurezza più rigorosi e a tassi di pagamento del riscatto più bassi.
L’evoluzione del ransomware ha visto l’emergere di nuove tattiche:
• Bundling DDoS: gli operatori di ransomware-as-a-service (RaaS) stanno reintegrando gli attacchi DDoS nelle loro offerte, in modo da combinare l’interruzione della rete con le richieste di estorsione, e di aumentare la pressione sulle vittime.
• Reclutamento di insider: alcuni gruppi di ransomware stanno reclutando attivamente dipendenti e collaboratori, sfruttando l’ingegneria sociale e le competenze linguistiche per aggirare le difese tecniche dall’interno delle organizzazioni prese di mira.
• Uso dei lavoratori a progetto: nei casi in cui l’installazione remota del malware viene bloccata, gli autori degli attacchi usano lavoratori a contratto inconsapevoli per avere l’accesso fisico ai sistemi sensibili, e ampliare la superficie di attacco.
Anche il profilo geografico degli autori degli attacchi sta cambiando. Secondo gli analisti di Recorded Future, nel 2026 il numero degli autori di ransomware russi scenderà sotto al 50% del totale, confermando la globalizzazione dell’infrastruttura del crimine informatico.
Nessun settore è immune, ma alcuni sono esposti a un rischio maggiore:
• Le aziende sanitarie sono un obiettivo primario, a causa delle infrastrutture legacy e della sensibilità dei dati dei pazienti, che sono una leva importante per le campagne di estorsione.
• Le società di servizi finanziari sono oggetto di attacchi basati sull’identità e sugli spostamenti laterali tra ambienti cloud e fintech, che hanno come obiettivo i dati degli investitori.
• Le aziende manifatturiere, con reti IT e reti operative convergenti, vengono prese di mira perché il fermo della produzione ha conseguenze immediate, sia per la sicurezza che per i ricavi.
• Gli enti pubblici e le istituzioni educative, con budget limitati e sistemi legacy obsoleti, vengono attaccati per i servizi ai cittadini, i dati di ricerca e gli ambienti cloud.
• Le piccole e medie imprese vengono colpite per la debolezza dei controlli sull’identità e gli strumenti di accesso remoto non gestiti, che le rendono facili vittime.
Gli esperti di sicurezza di Integrity360 raccomandano un approccio completo contro il ransomware, incentrato su diversi strumenti: un’autenticazione a più fattori e l’adozione di politiche di accesso zero-trust, l’espansione della visibilità negli ambienti cloud e SaaS per rilevare configurazioni errate e abuso dei privilegi, il rilevamento delle minacce interne attraverso il monitoraggio dei comportamenti, e la manutenzione di backup sottoposti a test regolari per verificarne l’efficacia in termini di ripristino.
