La crescita esplosiva degli attacchi ransomware sta ridisegnando il panorama delle minacce informatiche globali, con un incremento del 145,9% registrato nell'ultimo anno che ha colto di sorpresa anche gli esperti di sicurezza più esperti. I dati emersi dal nuovo rapporto di ThreatLabz di Zscaler per il 2025 rivelano come i cybercriminali abbiano completamente rivoluzionato le loro strategie, passando dalla semplice crittografia dei file a sofisticate campagne di estorsione basate sui dati. Questa trasformazione rappresenta una svolta epocale che richiede un ripensamento radicale delle difese aziendali tradizionali.
L'intelligenza artificiale al servizio del crimine
Una delle scoperte più inquietanti riguarda l'utilizzo sistematico dell'intelligenza artificiale generativa da parte dei gruppi ransomware più organizzati. I ricercatori hanno documentato come alcuni attaccanti utilizzino ChatGPT per automatizzare processi chiave delle loro operazioni, dalla scrittura di codice malevolo alla personalizzazione degli attacchi. Questo sviluppo ha permesso ai criminali di scalare le loro operazioni con una velocità e precisione mai viste prima, trasformando quello che un tempo erano attacchi opportunistici in campagne mirate e chirurgiche.
Il cambiamento tattico più significativo riguarda l'abbandono delle tradizionali campagne di spam su larga scala. Gli attaccanti moderni preferiscono impersonare membri del personale IT per colpire direttamente dipendenti con accessi privilegiati, sfruttando tecniche di ingegneria sociale sempre più raffinate.
Il nuovo volto dell'estorsione digitale
L'analisi di ThreatLabz ha rivelato un aumento del 70,1% nei casi di estorsione pubblica, con sempre più organizzazioni che finiscono sui siti di leak dei criminali. Parallelamente, il volume di dati esfiltrati è aumentato del 92,7%, raggiungendo la cifra record di 238,5 terabyte analizzati solo tra dieci delle principali famiglie di ransomware. Questi numeri testimoniano una strategia completamente nuova: l'estorsione senza crittografia.
Molti gruppi criminali stanno infatti abbandonando la crittografia dei file come arma principale, puntando invece sul furto di informazioni sensibili e sulla minaccia di pubblicarle. Questa tattica sfrutta la paura del danno reputazionale, delle violazioni normative e della perdita di proprietà intellettuale per costringere le vittime al pagamento anche quando i loro sistemi rimangono perfettamente funzionanti.
Settori sotto assedio e nuovi protagonisti
L'ecosistema ransomware si sta evolvendo a ritmo frenetico, con 34 nuovi gruppi identificati nell'ultimo anno. Mentre famiglie consolidate come RansomHub, Clop e Akira mantengono la loro posizione dominante, emergono continuamente nuovi gruppi criminali che spesso rappresentano rebrand o derivazioni di gruppi smantellati dalle forze dell'ordine.
I dati mostrano come il settore manifatturiero, tecnologico e sanitario continuino a essere i bersagli prediletti, ma crescite percentuali impressionanti si registrano anche in ambiti come petrolio e gas (+935%) e settore governativo (+235%). Questa diversificazione riflette la crescente sofisticazione degli attaccanti nel identificare settori vulnerabili o particolarmente redditizi.
Zero Trust: la risposta strategica
Il rapporto evidenzia una verità scomoda ma innegabile: le tecnologie aziendali più diffuse rappresentano spesso il punto di ingresso preferito dai cybercriminali. VPN, applicazioni per il trasferimento file, strumenti di accesso remoto, software di virtualizzazione e piattaforme di backup vengono sistematicamente sfruttati attraverso vulnerabilità note, spesso tramite semplici scansioni automatizzate di sistemi connessi a internet.
Questa realtà mette in luce l'inadeguatezza delle difese perimetrali tradizionali, come firewall e VPN, che lasciano troppa superficie d'attacco esposta. I criminali sfruttano queste debolezze per stabilire una presenza iniziale nei sistemi, per poi muoversi lateralmente e distribuire i loro payload ransomware.
Di fronte a questa escalation, l'approccio Zero Trust emerge come l'unica strategia difensiva realmente efficace. Questo paradigma elimina alla radice le condizioni su cui fanno affidamento i gruppi ransomware: infrastrutture individuabili, accessi eccessivamente permissivi e flussi di dati non ispezionati. L'architettura Zero Trust opera su quattro fronti critici:
- minimizza l'esposizione rendendo invisibili utenti, dispositivi e applicazioni
- previene la compromissione iniziale attraverso l'ispezione in linea di tutto il traffico
- elimina i movimenti laterali tramite segmentazione rigorosa
- blocca l'esfiltrazione dei dati con classificazione AI e prevenzione della perdita di dati integrata.
La battaglia contro il ransomware si sta trasformando in una corsa tecnologica dove la reattività non basta più. Solo un approccio proattivo e architetturalmente diverso può garantire una protezione efficace contro minacce che evolvono quotidianamente, sfruttando le più avanzate tecnologie disponibili per raggiungere i loro obiettivi criminali.