In occasione dell’Anti-Ransomware Day, che ricorre oggi 12 maggio, Kaspersky ha pubblicato un report che offre una panoramica delle principali tendenze ransomware emerse nel 2025 e approfondimenti sugli scenari che caratterizzeranno il panorama delle minacce nel 2026.
Secondo i dati del Kaspersky Security Network, nel 2025 l’America Latina ha registrato la percentuale più alta di aziende colpite da attacchi ransomware (8,13%), seguita dalla regione Asia-Pacifico (7,89%), dall’Africa (7,62%), dal Medio Oriente (7,27%), dalla Comunità degli Stati Indipendenti (CSI, 5,91%) e dall’Europa (3,82%). Il report evidenzia inoltre la crescita degli attacchi estorsivi “senza crittografia”, l’adozione della crittografia post-quantistica da parte dei gruppi ransomware e il continuo utilizzo di canali Telegram per distribuire dataset e credenziali compromessi.
Sebbene nel 2025 si sia registrato un leggero calo della percentuale complessiva di organizzazioni vittime di ransomware rispetto al 2024, il rischio per gli utenti resta elevato. Gli autori degli attacchi stanno infatti industrializzando le proprie operazioni, automatizzando i metodi di intrusione e concentrandosi sempre più sul furto e sulla divulgazione di dati sensibili, piuttosto che sulla sola crittografia dei sistemi.
I canali Telegram e i forum del dark web continuano a rappresentare piattaforme chiave per la distribuzione e la vendita di dataset e accessi compromessi, inclusi quelli ottenuti tramite attacchi ransomware. Nel gennaio 2026, le autorità hanno sequestrato RAMP, uno dei principali forum clandestini utilizzati dagli attori delle minacce per pubblicizzare servizi ransomware e condividere aggiornamenti operativi. Nel marzo 2026 è stato inoltre chiuso LeakBase, altro forum clandestino impiegato per la diffusione di dati sottratti e compromessi. Tuttavia, nonostante l’impegno delle forze dell’ordine nel contrastare le piattaforme del dark web e i siti di data leak, è probabile che nuovi portali simili continuino a emergere nel tempo.
Tra le principali tendenze del 2025 si conferma anche la diffusione degli “EDR killer” (strumenti progettati per disattivare le soluzioni di rilevamento e risposta sugli endpoint prima dell’esecuzione del malware). Questi strumenti sono ormai diventati una componente standard degli attacchi ransomware, favorendo intrusioni sempre più mirate e metodiche.
I ricercatori hanno inoltre osservato la comparsa di famiglie ransomware che adottano standard di crittografia post-quantistica, come già previsto in precedenza da Kaspersky. Questo sviluppo segnala una tendenza particolarmente preoccupante verso metodi di crittografia progettati per resistere ai futuri tentativi di decrittografia tramite computer quantistici.
Anche il ruolo degli Initial Access Broker (IAB) – intermediari cybercriminali che vendono credenziali compromesse attraverso forum clandestini e piattaforme di messaggistica – sta diventando sempre più centrale. I portali RDWeb (siti web che consentono il controllo remoto dei dispositivi) sono sempre più spesso nel mirino, mentre i gruppi ransomware continuano a industrializzare gli attacchi attraverso modelli “Access-as-a-Service”. Di conseguenza, la soglia di ingresso per lanciare attacchi ransomware si sta progressivamente abbassando.
Gruppi attivi
Tra i gruppi ransomware più attivi del 2025, secondo i dati raccolti dai siti di divulgazione di informazioni riservate, Kaspersky ha identificato Qilin come l’operatore dominante nel panorama ransomware-as-a-service (RaaS), soprattutto dopo il sequestro delle attività di RansomHub. Clop si è classificato al secondo posto tra i gruppi più attivi, mentre Akira ha occupato la terza posizione.
Sebbene nel corso del 2025 diversi gruppi ransomware di rilievo abbiano cessato le proprie attività, stanno emergendo nuovi attori. Guardando al 2026, The Gentlemen rappresenta uno dei gruppi più rilevanti grazie alla rapida crescita, alle operazioni strutturate e alla crescente focalizzazione sulle estorsioni basate sui dati. Il gruppo potrebbe includere soggetti precedentemente associati ad altre importanti operazioni ransomware. The Gentlemen rappresenta inoltre un cambiamento più ampio all’interno dell’ecosistema ransomware, sempre meno orientato verso campagne rumorose e indiscriminate e sempre più focalizzato su modelli di estorsione scalabili e strutturati come vere e proprie aziende. L’obiettivo principale è il furto di dati sensibili e lo sfruttamento della pressione reputazionale e normativa, piuttosto che il semplice ricorso alla crittografia dei file.
“Il ransomware si è trasformato in un ecosistema altamente organizzato, focalizzato sulla monetizzazione dei dati rubati, sulla neutralizzazione delle difese e sulla scalabilità degli attacchi con un’efficienza paragonabile a quella aziendale. Gli autori delle minacce si stanno adattando rapidamente, trasformando strumenti legittimi in armi, sfruttando infrastrutture di accesso remoto e adottando persino la crittografia post-quantistica con anni di anticipo rispetto alle aspettative. Lo scopo dell’Anti-Ransomware Day è sensibilizzare l’opinione pubblica globale sulle minacce ransomware e promuovere le migliori pratiche di prevenzione e risposta. Invitiamo tutti gli utenti a rafforzare la propria sicurezza, adottare difese multilivello, investire nei backup e migliorare le proprie competenze informatiche per contrastare questi attacchi”, ha commentato Fabio Assolini, Lead Security Researcher di Kaspersky GReAT
In occasione dell’Anti-Ransomware Day, Kaspersky consiglia alle aziende di adottare queste buone pratiche per proteggersi dal ransomware:
- Attivare la protezione anti-ransomware su tutti gli endpoint. È disponibile gratuitamente Kaspersky Anti-Ransomware Tool for Business, che protegge computer e server dal ransomware e da altre tipologie di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
- Mantenere costantemente aggiornato il software su tutti i dispositivi, così da impedire agli hacker di sfruttare vulnerabilità note per infiltrarsi nella rete aziendale.
- Concentrare la strategia di difesa sull’individuazione dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. È importante monitorare con attenzione il traffico in uscita per identificare eventuali connessioni malevole alla rete aziendale. Inoltre, è fondamentale configurare backup offline che non possano essere compromessi dagli intrusi e verificarne la rapida disponibilità in caso di emergenza.
- Le aziende del settore non industriale possono proteggersi installando soluzioni anti-APT ed EDR che offrono funzionalità avanzate di individuazione e rilevamento delle minacce, indagine e risoluzione tempestiva degli incidenti. Le organizzazioni possono inoltre fornire ai propri team SOC l’accesso alle informazioni più aggiornate in materia di threat intelligence e garantire loro un aggiornamento professionale costante attraverso corsi di formazione. Tutte queste funzionalità sono disponibili all’interno di Kaspersky Next.
