813 milioni di dollari in pagamenti ransomware nel 2024, un calo del 35% rispetto all’anno record 2023: sembra un segnale di distensione. Non lo è. La disponibilità a pagare diminuisce, ma il numero di attacchi continua a crescere. E i metodi degli estorsori sono cambiati radicalmente: la sola crittografia non basta più agli aggressori.
La doppia estorsione come standard
L’attacco ransomware classico — crittografare i dati, chiedere il riscatto — è storia. Oggi praticamente tutti i gruppi rilevanti operano con la cosiddetta double extortion: prima della crittografia, tutti i dati accessibili vengono esfiltrati. Se la vittima non paga, si minaccia la pubblicazione su leak site nel darknet. L’IOCTA 2025 di Europol lo conferma: il furto di dati è diventato parte integrante di quasi ogni operazione ransomware.
Il calcolo degli aggressori è semplice: anche chi dispone di backup funzionanti e supera la crittografia si trova di fronte a un problema reputazionale e di protezione dei dati se informazioni sui clienti, contratti o fascicoli del personale finiscono in rete. Nei settori sensibili come la sanità o i servizi finanziari, questa leva è particolarmente efficace.
Ransomware-as-a-Service: il modello franchising della criminalità informatica
Il ransomware è un modello di business. I gruppi di maggior successo gestiscono il Ransomware-as-a-Service (RaaS): gli sviluppatori forniscono il malware, l’infrastruttura e le piattaforme di negoziazione. Gli affiliati — gli effettivi aggressori — eseguono gli attacchi e versano il 20-30% dei riscatti agli operatori. L’ingresso non richiede né conoscenze tecniche approfondite né un’infrastruttura propria. Gli Initial Access Broker vendono credenziali rubate sui marketplace come biglietto d’ingresso nelle reti aziendali.
Questa divisione del lavoro spiega perché il numero di attacchi non diminuisce nonostante i singoli successi delle forze dell’ordine. Quando un gruppo viene smantellato, gli affiliati passano semplicemente alla piattaforma successiva.
Gli attori: disruption e rinascita
Il 2024 è stato segnato da sconvolgimenti nel panorama ransomware. LockBit, per anni il gruppo più attivo, è stato duramente colpito nel febbraio 2024 da un’operazione coordinata di NCA e FBI. I pagamenti a LockBit sono calati del 79% nella seconda metà del 2024. Tuttavia l’infrastruttura è stata parzialmente ricostruita: LockBit è indebolito, ma non eliminato.
BlackCat/ALPHV è scomparso alla fine del 2023 dopo un presunto exit scam: gli operatori hanno incassato un riscatto da 22 milioni di dollari e sono spariti — a spese dei propri affiliati. RansomHub si è inserito nel vuoto creatosi, diventando nel 2024 il gruppo più attivo con oltre 530 attacchi documentati. Dalla metà del 2025 anche RansomHub mostra problemi operativi, a dimostrazione della volatilità di questo scenario.
Le PMI svizzere nel mirino
L’Ufficio federale della cibersicurezza (UFCS) ha registrato nel primo semestre 2025 un totale di 57 segnalazioni di ransomware — 13 in più rispetto allo stesso periodo dell’anno precedente. Il numero di casi non denunciati è probabilmente molto più elevato, poiché molte aziende non segnalano gli incidenti. L’UFCS osserva un chiaro aumento degli attacchi mirati alle PMI svizzere, in particolare tramite phishing e social engineering come vettori d’accesso iniziale.
Da aprile 2025 è in vigore l’obbligo di notifica previsto dalla Legge sulla sicurezza delle informazioni (LSIn) per gli operatori di infrastrutture critiche. Da ottobre 2025 le violazioni sono punibili con multe fino a CHF 100’000. Gli attacchi ransomware rientrano esplicitamente tra gli incidenti soggetti a notifica. Chi subisce un attacco e non lo segnala si trova ad affrontare, oltre all’interruzione dell’attività, anche un problema normativo.
I costi reali di un attacco
Il report Sophos State of Ransomware 2025 stima i costi medi di ripristino — escluso il pagamento del riscatto — in 1,53 milioni di dollari. Per le organizzazioni più piccole con 100-250 collaboratori, i costi medi ammontano a 638’536 dollari. Una nota positiva: il 53% delle organizzazioni colpite è riuscito a ripristinare le operazioni entro una settimana, rispetto al 35% dell’anno precedente.
Meno facilmente quantificabile, ma spesso più grave: il danno reputazionale, la perdita di relazioni con i clienti e lo stress per il personale durante e dopo un incidente. Per le PMI senza un team di sicurezza dedicato, un attacco ransomware può rappresentare una minaccia esistenziale.
Difesa: cosa funziona davvero
Contro il ransomware non esiste una soluzione unica. Una protezione efficace si compone di diversi livelli:
Strategia di backup secondo il principio 3-2-1
Tre copie dei dati, su due tipi di supporto diversi, una delle quali offline o fuori sede. Fondamentale: testare regolarmente il ripristino. Un backup che non funziona in caso di emergenza è privo di valore. Inoltre: i backup devono essere protetti dalla crittografia — gli aggressori cercano specificamente i sistemi di backup raggiungibili.
Segmentazione della rete
Una rete piatta è un regalo per qualsiasi aggressore. La segmentazione tramite VLAN e regole firewall limita il movimento laterale dopo un’intrusione iniziale. Sistemi di produzione, IT dell’ufficio e infrastruttura di backup devono trovarsi in segmenti separati.
Endpoint Detection and Response (EDR)
L’antivirus tradizionale non è sufficiente contro il ransomware moderno. Le soluzioni EDR rilevano comportamenti sospetti — come la crittografia di massa dei file o attività di processo insolite — e possono isolare automaticamente gli endpoint prima che il malware si diffonda.
Piano di risposta agli incidenti
Chi in caso di emergenza deve prima riflettere su cosa fare perde ore critiche. Un piano documentato con responsabilità chiare, percorsi di escalation e modelli di comunicazione — sia interni che esterni — riduce significativamente i tempi di risposta. Esercitazioni tabletop regolari garantiscono che il piano non funzioni solo sulla carta.
Formazione del personale
Il phishing resta il vettore d’accesso iniziale più comune. Le misure tecniche da sole non bastano se un singolo clic su un link manipolato vanifica l’intera difesa. Formazioni regolari e pratiche — non una presentazione una volta all’anno — riducono il rischio in modo misurabile.
Come Zerberos può aiutarvi
La protezione dal ransomware inizia con la trasparenza sulla propria superficie di attacco. I nostri servizi intervengono proprio su questo:
- Penetration test — Identificazione delle vulnerabilità che i gruppi ransomware sfruttano come punto d’ingresso
- Risk Assessment — Valutazione della Sua resilienza al ransomware su tecnologia, processi e organizzazione
- Security Roadmap — Piano d’azione con priorità, calibrato sul Suo profilo di rischio e budget
Ci contatti per una consulenza iniziale senza impegno.
Fonti e approfondimenti
- Chainalysis: Crypto Crime Ransomware Report 2025
- Sophos: The State of Ransomware 2025
- Europol IOCTA 2025: Steal, Deal and Repeat
- UFCS: Cibersicurezza per le PMI — Sensibilizzazione 2025
- UFCS: Obbligo di notifica per gli attacchi informatici
- NIST SP 800-207: Zero Trust Architecture
- FBI Internet Crime Complaint Center (IC3)