Secondo il nuovo Ransomware Report di Semperis, il 38% delle vittime di ransomware ha pagato il riscatto più di una volta, il 40% ha subito intimidazioni di minacce fisiche ai dirigenti.

“Dall’osservatorio Ransomfeed i dati confermano un trend in crescita anche nel 2025”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

“Il report di Semperis attesta ancora una volta che il fenomeno pandemico del ransomware continua a rivestire un ruolo di primo piano nel variegato panorama dei malware, ed evolve continuamente”, conferma Enrico Morisi, Ict Security manager.

Ransomware Report

Dal 2025 Ransomware Risk Report: Essential Guidance for Building Operational Resilience Against Cyberattacks emerge che il ransomware rimane un’epidemia globale.

Il 78% degli intervistati ammette di essere finito nel mirino ransomware nell’arco dell’ultimo anno.

Tra le imprese che hanno affrontato cyber attacchi, il 73% afferma che gli attacchi sono stati molteplici, il 31% dice di averne subiti tre o più volte.

Nel 40% degli attacchi, i cyber criminali hanno perfino effettuato minacce fisiche i dirigenti delle organizzazioni che hanno opposto un rifiuto ai paganenti del riscatto.

“Le nuove forme di minacce, come quella alla salute fisica dei c-level o di denuncia della mancata segnalazione alle autorità competenti, spiccano per la caratteristica distintiva del fenomeno: la multi-extortion“, sottolinea Enrico Morisi.

Cala lievemente il numero di aziende che pagano i riscatti. Tuttavia, il 69% delle vittime ha comunque sborsato un riscatto (il 41% in Italia).

“Il tema dell’opportunità del pagamento o meno del riscatto è, senza dubbio, controverso, e la posizione prevalente dovrebbe essere quella di evitare di pagarlo, anche solo per il semplice fatto che, trattandosi di criminalità organizzata, si potrebbe non ottenere alcun risultato”, evidenzia Morisi.

Purtroppo, il 38% ha pagato più di un riscatto e l’11% arriva fino a tre o più pagamenti. Il 47% delle aziende statunitensi ha più volte pagato, mentre a Singapore al 50%. In Italia, i dati sono migliori: solo l’8% ha pagato due volte (non risultano richieste di tre o più volte).

“Il vero rimpianto non è sapere cosa avresti dovuto fare, ma non aver fatto ciò
che sapevi fosse necessario e che avevi i mezzi per fare”, ha dichiarato Chris Inglis, ex direttore nazionale per la cyber sicurezza degli Usa e attualmente consulente strategico di Semperis.

Lo scenario italiano

L’82% degli intervistati italiani con oltre 500 dipendenti ha subito attacchi ransomware negli ultimi 12 mesi (solo per l’11% hanno causato l’interruzione dell’operatività).

Oltre il 56% idenuncia che l punto di ingresso è stata l’infrastruttura di identità. Il 12% dice che il piano di disaster recovery dell’organizzazione non comprende procedure ad hoc per ripristinare i sistemi di identità e l’8% è privo sistemi di backup.

Tra le imprese che hanno pagato il riscatto, metà ha pagato per un valore
compreso tra 500 mila e 750 mila dollari.

L’attacco ha provocato un’interruzione delle attività, il tempo medio per tornare all’operatività è stato fra più un giorno a meno di 1 settimana.

Gli intervistati hanno subito anche la perdita di dati (45%) e il danno d’immagine (45%).
Tra le sfide maggiori per la resilienza operativa e la continuità aziendale spiccano le minacce alla cyber security (45%), direttive e regolamentazioni in materia di cybersecurity (35%) e i limiti di budget (31%).

Incremento della frequenza o della sofisticazione degli attacchi (42%),
geopolitica (30%), vulnerabilità legacy o debito tecnico (20%) sono le minacce che più preoccupano le aziende.

“Lato Italia nel luglio del 2024 si registravano 22 rivendicazioni in meno rispetto a quelle del 2025, con questo trend anche nella seconda metà dell’anno, inevitabilmente ci sarà un aumento dei casi registrati rispetto all’anno precedente“, continua Dario Fadda.

I dettagli del ransomware report

Le aziende statunitensi sono state minacciate fisicamente nel 46% dei casi. Lo stesso è accaduto al 44% delle aziende tedesche che ha subito analoghe forme di intimidazione. In Italia il dato riguarda il 27% dei casi.

Il 47% delle aziende attaccate in Usa, Regno Unito, Francia, Germania, Spagna, Italia, Singapore, Canada, Australia e Nuova Zelanda ha subito anche minacce di ricevere denunce normative contro di loro se non avessero segnalato l’incidente.

Negli Usa, si sale al 58% rispetto al 2024, con un incremento del 23%, mentre a Singapore la minaccia di estorsione raggiunge quota 66%, con un balzo del 40%, la percentuale più elevata tra tutti i Paesi. In Italia il dato si attesta al 27%.

“Lato mondo con la velocità di crescita di questi primi 7 mesi, a fine anno si supera del 38% il dato del 2024. Sicuramente le PMI in questo trend hanno un ruolo centrale: spesso poco presidiate. Per questo è nato il CERT-Ransomfeed che cerca di raccogliere le PMI italiane in una constituency che, grazie allo scambio di informazioni all’interno del CERT (con report specifici dalle istituzioni europee), offre protezione aumentandone la resilienza”, spiega Dario Fadda.

Come mitigare il rischio

“Il Regno Unito, attraverso una consultazione pubblica, sta andando verso la rottura di questo vero e proprio ‘circolo vizioso’, verso un ‘cambio di rotta’, caratterizzato dal divieto del pagamento e dall’obbligo di segnalazione”, mette in guardia Morisi, “ma è evidente che, d’altro canto, occorrano norme chiare e comprensibili, un supporto, anche a livello statale, per favorire concretamente le condizioni di prevenzione e contenimento di questo dilagante fenomeno, e la promozione della cultura della resilienza, perno anche della recente normativa europea: il problema non è solo tecnologico, è soprattutto culturale ed organizzativo. Quindi, divieto da un lato ma condizioni per poterlo sostenere dall’altro“.

Per mitigare il rischio, occorre agire. Le imprese, inoltre, devono valutare la sicurezza dei partner e dei fornitori della supply chain, spesso l’anello più vulnerabile.

“La gestione del rischio delle terze parti, lo studio dell’evoluzione delle minacce, attraverso servizi fondamentali come quello di threat intelligence, l’esecuzione periodica di security testing, accompagnata da attività di red teaming e cyber range, per la simulazione di attacchi reali, con conseguente crisis management, veri e propri allenamenti ‘sul campo’, in scenari reali, sono misure di mitigazione tanto efficaci quanto fondamentali”, avverte Enrico Morisi.

Dovrebbero studiare le tattiche in evoluzione nello sviluppo e nella distribuzione del ransomware, oltre a mette in agenda regolarmente esercitazioni simulate (tabletop exercises).

Lo studio delle TTP

“In particolare, lo studio delle TTP (Tattiche, Tecniche e Procedure) di attacco risulterebbe quanto mai essenziale nell’attuale panorama mutevole delle minacce: dagli attori statali che assumono posture più offensive, utilizzando il ransomware con finalità distruttive, di sabotaggio, ai gruppi Ransomware tradizionali che si orientano ad ‘esfilttrare e ricattare’, senza cifrare, puntando soprattutto sul danno reputazionale, anche in assenza di un reale ed effettivo incident”.

“Da non dimenticare anche i temi fondamentali della Data Loss Prevention (DLP) del monitoraggio del traffico egress, anche sulla base delle TTP note, e del vulnerability management, con una forte attenzione alle tempistiche, puntando su virtual patching e automazione”, conclude Enrico Morisi.