Ransomware 2025: attacchi +50%, ma solo il 28% paga (e i riscatti esplodono)

Il 2025 ha segnato un paradosso nel panorama della cybersecurity: gli attacchi ransomware sono aumentati del 50% rispetto all'anno precedente, ma la percentuale di vittime che ha scelto di pagare il riscatto è scesa al 28%, il livello più basso mai registrato. È quanto emerge dall'ultimo rapporto Crypto Crime di Chainalysis, la principale piattaforma di intelligence blockchain, che fotografa una trasformazione profonda nell'economia criminale legata ai ransomware.

Il calo dei pagamenti non è un fenomeno isolato. Chainalysis documenta una tendenza al ribasso per quattro anni consecutivi: nel 2022 la percentuale di vittime che pagava era del 78,9%, nel 2024 era ancora al 62,8%, fino ad arrivare all'attuale 28% nel 2025. Questo dato si allinea con le rilevazioni indipendenti di Coveware, che aveva già registrato un declino costante dei pagamenti durante tutto il corso dell'anno scorso. La resistenza delle organizzazioni è frutto di una combinazione di fattori: miglioramento delle capacità di incident response, pressione regolatoria, azioni coordinate delle forze dell'ordine a livello internazionale e una crescente frammentazione del mercato criminale.

I pagamenti totali e il riscatto mediano

In termini assoluti, i pagamenti on-chain complessivi legati a ransomware nel 2025 ammontano a circa 820 milioni di dollari, con una stima destinata a salire fino a 900 milioni di dollari man mano che verranno attribuiti ulteriori eventi e transazioni. Si tratta di una flessione di circa l'8% rispetto agli 892 milioni di dollari del 2024 (dato rivisto al rialzo rispetto alla stima iniziale). A fronte di un calo nei volumi aggregati, emerge però un dato controintuitivo: il riscatto mediano è aumentato del 368%, passando da 12.738 dollari nel 2024 a 59.556 dollari nel 2025. Le organizzazioni che scelgono di pagare lo fanno per somme significativamente più elevate, spesso nella speranza che i criminali cancellino i dati esfiltrati anziché rivenderli ad altri attori malevoli.

Nel 2025 sono stati identificati 85 gruppi di estorsione attivi, un numero nettamente superiore rispetto agli anni precedenti, quando il settore era dominato da poche grandi piattaforme Ransomware-as-a-Service (RaaS). Questa frammentazione riflette la disgregazione di organizzazioni storiche come LockBit e ALPHV/BlackCat, i cui affiliati si sono dispersi in nuovi gruppi minori. Tra gli episodi di maggiore impatto citati nel report figurano l'attacco a Jaguar Land Rover, con danni stimati in 2,5 miliardi di dollari, la violazione di Marks & Spencer ad opera del gruppo Scattered Spider, e l'incidente che ha colpito DaVita Inc., con 2,7 milioni di cartelle cliniche di pazienti compromesse.

Il ruolo degli Initial Access Broker

Un segmento chiave dell'ecosistema ransomware è quello degli Initial Access Broker (IAB), ovvero hacker specializzati nella vendita di accessi a sistemi compromessi agli operatori ransomware. Nel 2025 questi attori hanno generato ricavi per circa 14 milioni di dollari, una cifra stabile rispetto all'anno precedente ma pari a soltanto l'1,7% del "fatturato" complessivo del settore. Il costo medio per l'accesso a una rete è crollato da circa 1.427 dollari nel primo trimestre 2023 a soli 439 dollari nel primo trimestre 2026, un segnale che automazione, strumenti potenziati dall'intelligenza artificiale e l'abbondanza di log provenienti da infostealer stanno rendendo l'accesso iniziale sempre più economico e accessibile.

Dal punto di vista geografico, gli Stati Uniti si confermano per l'ennesimo anno come il paese più colpito, seguiti da Canada, Germania e Regno Unito. La concentrazione degli attacchi nelle economie più sviluppate riflette la logica economica dei criminali informatici, orientata verso obiettivi con maggiore capacità di pagamento. Chainalysis conclude il suo rapporto sottolineando che, sebbene i ricavi dei ransomware abbiano segnato un passo indietro, la sofisticazione e l'impatto reale degli attacchi continuano a crescere: il fenomeno non è in declino, ma in una fase di adattamento, alla ricerca di nuove modalità per estrarre valore da una platea di vittime sempre più consapevole e resistente.