Non è più una minaccia astratta né confinata alle grandi organizzazioni: il ransomware colpisce trasversalmente imprese, enti pubblici e cittadini comuni.

In Italia, l’impatto è sempre più evidente, con settori chiave come manifatturiero, IT, servizi professionali e sanità tra i più esposti.

Non si tratta solo di cifrare dati per chiedere un riscatto: oggi il ransomware è parte di un ecosistema criminale sempre più articolato, in cui si combinano esfiltrazione di informazioni, ricatti multipli e tecniche di infiltrazione sofisticate.

Ransomware, una delle minacce più diffuse e pervasive

Si tratta quindi di capire “quando” non “se” un attacco si verificherà. Il ransomware è diventato una delle minacce più diffuse e pervasive nel contesto della cyber security moderna.

Un tipo di malware progettato per bloccare l’accesso ai file o ai sistemi – attraverso crittografia o blocco del dispositivo – e chiedere un riscatto in cambio della chiave di sblocco.

Ma negli ultimi anni la posta in gioco è aumentata: al semplice sequestro dei dati si aggiungono oggi tecniche di doppia e tripla estorsione, in cui le informazioni vengono sottratte, minacciate di pubblicazione e, in alcuni casi, usate per colpire terze parti.

Un’evoluzione che testimonia quanto questo fenomeno non sia statico, ma guidato da logiche criminali sempre più complesse.

I numeri del ransomware: i dati dell’Italia

Secondo stime recenti, il numero di attacchi ransomware In Italia nel 2025 è cresciuto di oltre il 23% rispetto allo stesso periodo del 2024, coinvolgendo non solo grandi aziende o infrastrutture critiche, ma anche piccoli studi professionali, scuole, ospedali e utenti privati.

Il settore più colpito è quello manifatturiero, che rappresenta il 17% delle vittime, seguito a pari merito dal comparto tecnologico/IT (17%), dai servizi professionali (14%), dal settore alimentare, retail e grande distribuzione (9%), e infine dai settori farmaceutico/sanitario e delle costruzioni, entrambi con il 7%.

A livello globale, gli attacchi ransomware sono in aumento, con una crescita di oltre il 157% rispetto al 2024, anche se il dato percentuale reale è probabilmente più alto.

Gruppi ransomware: chi sono e come operano

Tra i gruppi ransomware più attivi a livello globale figurano Cl0p, RansomHub, Akira, Qilin e Lynx, noti per l’uso di tecniche sofisticate come l’estorsione doppia, l’esfiltrazione dei dati e la pubblicazione sui leak site.

In particolare, Cl0p si è distinto per l’abuso di vulnerabilità zero-day in software di largo utilizzo, mentre gruppi come Akira, Qilin e RansomHub – molto attivi anche in Italia – mirano sia a grandi aziende che a realtà più piccole, spesso sfruttando credenziali compromesse e accessi RDP esposti per introdursi nei sistemi.

In Italia, tra le vittime recenti del gruppo ransomware Akira figurano aziende di rilievo come Cosmed e Divimast. Cosmed, attiva a livello globale nella progettazione e distribuzione di dispositivi medici diagnostici e con un fatturato superiore a 42,8 milioni di dollari, ha subito il furto di circa 25 GB di documenti riservati, tra cui scansioni di passaporti, NDA, dati finanziari e carte d’identità estere.

Anche Divimast, società specializzata in soluzioni gestionali, è stata presa di mira: Akira ha minacciato di pubblicare 8 GB di dati rubati contenenti documenti HR, informazioni finanziarie, accordi riservati e dati personali identificabili dei dipendenti.

Questo attacco, annunciato il 17 gennaio 2025 sul leak site del gruppo, conferma il modus operandi di Akira, che punta ad esercitare pressione attraverso l’esfiltrazione di asset aziendali critici.

Attivo dal 2023 come Ransomware-as-a-Service, il gruppo è noto per colpire organizzazioni con asset di alto valore, sfruttando la pubblica esposizione per forzare il pagamento del riscatto.

Secondo i dati di ACN Italia, a giugno 2025 sono stati registrati 433 eventi, con un aumento del 115% rispetto a maggio, e 90 incidenti, un numero superiore alla media dei sei mesi precedenti.

Tra questi, si contano 14 attacchi ransomware, in calo del 22% rispetto alla media semestrale, a conferma di un panorama delle minacce in evoluzione, dove l’aumento complessivo degli eventi non corrisponde necessariamente a un incremento uniforme di tutte le tipologie di attacco.

I punti di accesso sfruttati dal ransomware

A essere colpito è chiunque utilizzi un dispositivo connesso. E se la finalità economica rimane centrale, i danni collaterali possono includere perdita definitiva di dati, interruzione operativa, violazioni di dati sensibili e furto d’identità.

Le vie d’ingresso sono molteplici. Il vettore più comune resta l’e-mail di phishing, spesso camuffata da comunicazione legittima, con allegati o link malevoli.

Ma esistono anche modalità più silenziose: exploit di vulnerabilità non patchate, download da siti compromessi, banner pubblicitari infetti, dispositivi USB, fino a tecniche più sofisticate che prevedono accessi remoti tramite credenziali rubate.

Il malware può restare dormiente per giorni o settimane, in attesa del momento ideale per criptare il sistema.

Tutte le facce della stessa minaccia

Esistono diverse categorie di ransomware, ognuna con modalità d’azione differenti.

I crypto ransomware sono i più comuni: criptano file e cartelle, spesso utilizzando algoritmi robusti (AES, RSA), e impediscono qualsiasi accesso ai contenuti.

I locker ransomware, invece, bloccano l’intero sistema operativo, rendendo inutilizzabile il dispositivo.

Esistono poi forme più leggere, come gli scareware, che simulano la presenza di virus o minacce e spingono l’utente a installare software fraudolento o a pagare per “rimuovere” un problema inesistente. Seppure meno distruttivi, questi ultimi possono comunque generare danni economici e psicologici rilevanti.

Migliorare la cyber igiene per difendersi meglio

L’efficacia di un attacco ransomware si basa in larga parte su una debole cyber hygiene. Sistemi non aggiornati, software obsoleti, scarsa attenzione agli allegati email, mancanza di segmentazione di rete e privilegi amministrativi distribuiti in modo non controllato rappresentano il terreno fertile per la diffusione.

Il caso WannaCry del 2017, che ha sfruttato una vulnerabilità di Windows non corretta in tempo, è l’esempio perfetto di quanto il fattore tempo – tra la scoperta di una falla e l’implementazione della patch – sia cruciale.

Secondo la telemetria di Acronis, nel 2025 sono stati rilevati 19 tentativi di attacco ransomware distribuiti su oltre 10.000 endpoint monitorati. Questo dato, sebbene possa sembrare numericamente contenuto, evidenzia un livello di minaccia elevato: ogni singolo tentativo rappresenta infatti un attacco mirato e potenzialmente devastante, capace di compromettere intere infrastrutture aziendali.

La diffusione su un’ampia base di sistemi dimostra, inoltre, quanto sia estesa la superficie d’attacco e quanto sia fondamentale adottare un approccio proattivo e multilivello alla protezione, capace di prevenire, rilevare e rispondere tempestivamente a questo tipo di minacce.

La risposta più efficace al ransomware

La risposta alla minaccia ransomware non può affidarsi più a soluzioni uniche. Gli antivirus tradizionali, basati su firme, faticano a rilevare minacce nuove o mutanti.

Per questo le strategie di difesa più efficaci oggi si basano su un approccio multilivello, che prevede prevenzione, rilevamento e capacità di recupero.

Sistemi di analisi comportamentale, motori di intelligenza artificiale per individuare attività anomale, firewall intelligenti, segmentazione della rete, autenticazione a più fattori: sono tutte componenti che concorrono a innalzare il livello di resilienza.

In questo contesto, il backup rappresenta un pilastro fondamentale, ma non può essere considerato una soluzione autonoma. Disporre di copie dei propri file, salvate in più versioni e protette, consente in molti casi di evitare il pagamento del riscatto e ripristinare l’operatività.

Tuttavia, da solo non previene l’infezione né impedisce la diffusione all’interno della rete. Per essere realmente efficace, il backup deve essere parte di una strategia integrata, progettata in anticipo, testata regolarmente e isolata rispetto al sistema attivo per resistere ai tentativi di cifratura.

La capacità di ripristino rapido e sicuro – più che la semplice esistenza di copie – è ciò che fa davvero la differenza in scenari ad alta criticità.

Serve, inoltre, una visibilità continua sull’ambiente IT. Le soluzioni più avanzate integrano rilevamento in tempo reale, risposta automatizzata e rollback selettivo, con notifiche immediate in caso di comportamenti anomali.

Prevenire è meglio che curare

La rapidità con cui il ransomware si evolve supera spesso la capacità di risposta delle difese tradizionali. In questo scenario, resilienza è la parola chiave.

Nessuna tecnologia può garantire l’inviolabilità assoluta, ma combinare prevenzione attiva, visibilità continua e capacità di recupero permette di contenere l’impatto e ripartire. Il ransomware non scomparirà domani, ma è possibile affrontarlo con strumenti adeguati, consapevolezza e preparazione.