Primavera ed estate sono tipicamente le stagioni più calde a nord dell’Equatore, ma lo sono state anche per gli sviluppatori di ransomware. Il numero di attacchi di successo rilevati in tutto il mondo da Nozomi Networks ne conferma la crescita, ma non solo. Anche la creatività, come testimonia il recente caso del primo ransomware basato sull’intelligenza artificiale. Ma cosa significa tutto questo per le aziende che vogliono ridurre al minimo i rischi di compromissione? Nozomi Networks ha raccolto e analizzato il vissuto delle imprese negli ultimi sei mesi in termini di attacchi ransomware. Tutti i dati riportati fanno riferimento al periodo compreso tra il 1° marzo e il 28 agosto e provengono dalla telemetria anonima dell’azienda, ricevuta dai sensori che monitorano gli endpoint e le comunicazioni cablate e wireless dei clienti che hanno aderito all’iniziativa.
Cosa ci dice la telemetria
Prima di procedere, è importante comprendere che non tutti gli alert rappresentano un attacco in corso, alcuni potrebbero essere campioni di malware un tempo attivi diventati visibili ai sensori a causa di modifiche nella configurazione di rete. Inoltre, l’attribuzione a una famiglia di malware precisa non è sempre accurata al 100%, poiché alcuni indicatori di compromissione (IoC), come gli indirizzi IP, potrebbero essere riutilizzati dagli aggressori per altre tipologie di attacchi.
Le principali famiglie di ransomware
Maggio è stato il mese più attivo in termini di alert relativi ai ransomware generati dai sensori, con la famiglia BlackSuit in testa alla classifica. Secondo CISA, BlackSuit è l’evoluzione diretta del ransomware Royal – un ramo del precedente gruppo Conti, anch’esso monitorato e rilevato da Nozomi Networks Labs quando era attivo. Complessivamente, i gruppi hanno ricevuto più di 370 milioni di dollari in riscatti.
Numero di rilevamenti ransomware al mese nel 2025
Nel mese di luglio, il governo degli Stati Uniti ha condotto un’operazione di smantellamento della famiglia Blacksuit che ha portato a una diminuzione del numero di rilevamenti di questa minaccia nel mese di agosto.
Numero di rilevamenti BlackSuit attivi al mese
È importante notare come alcuni di questi rilevamenti non provenissero dai sensori di monitoraggio del traffico di rete, ma dai sensori endpoint distribuiti sulle macchine HMI che consentono di monitorare attività potenzialmente dannose da una prospettiva diversa. Ciò sottolinea l’importanza di seguire un approccio stratificato quando si parla di costruire una solida postura di sicurezza.
La seconda famiglia di ransomware più attiva in questo periodo è stata Cl0p/Clop, dell’autore TA505. Nonostante abbia circa due anni, questo malware è ancora molto presente nelle reti aziendali, ricordandoci che, una volta rilasciato, richiede tempi estremamente lunghi per essere completamente eradicato. Due anni fa, il gruppo ha compromesso diverse organizzazioni prendendo di mira le vulnerabilità zero-day in MOVEit Transfer, Accellion File Transfer Appliance e GoAnywhere, con vittime importanti, tra cui BBC, Boots e British Airways.
Il ransomware Black Basta chiude la nostra classifica dei primi tre che, secondo la CISA, ha compromesso più di 500 organizzazioni fino alla metà dello scorso anno. Le loro operazioni – rese note in seguito a una massiccia fuga di notizie nel febbraio di quest’anno – ha spinto il gruppo a mantenere un profilo basso – ma i moduli ransomware già distribuiti continuano a essere rilevati in tutto il mondo.
I Paesi più colpiti
I 3 paesi più colpiti, con aziende che hanno generato il maggior numero di avvisi associati al malware negli ultimi 6 mesi, sono stati gli Stati Uniti (56,42%), con oltre la metà degli attacchi e, secondo la nostra telemetria, è stato anche il Paese più violato nella seconda metà del 2024, seguiti da Regno Unito (14,53%) e Giappone (6,7%).
Infine, i settori maggiormente colpiti dal ransomware in questo periodo sono stati quello della produzione (83,82%), seguito dai trasporti (13,87%) e dai servizi al consumatore (1,16%).
Con oltre l’83% dei ransomware rilevati che prendono di mira il settore manifatturiero, è fondamentale che le organizzazioni di questo vertical si dotino di soluzioni di sicurezza informatica solide che offrano visibilità completa per abilitare decisioni strategiche.
Il settore dei trasporti, associato a oltre il 13% degli incidenti ransomware rilevati, segue quello manifatturiero. Considerando quanto siano vitali i sistemi di trasporto per l’operatività quotidiana, l’importanza di questo dato non può essere sottovalutata.
Nonostante i significativi progressi compiuti nel campo della rilevazione proattiva e nella condivisione delle informazioni sulle minacce all’interno della comunità, esistono ancora molteplici sfide da superare. Le organizzazioni spesso ritengono di essere ben posizionate in materia di sicurezza informatica solo perché non sono ancora state compromesse con successo. Il consiglio è quello di investire in una solida visibilità di rete ed endpoint, implementando una difesa a più livelli e seguendo le migliori pratiche di gestione delle vulnerabilità al fine di ridurre drasticamente le possibilità di compromissione e rispondere efficacemente quando si verifica il peggio, prevenendo o riducendo al minimo le perdite associate.
