Ransomware: è record di attacchi nei primi mesi del 2025, ma i guadagni sono in calo

E' tempo di crisi anche per i cybercriminali? I dati di una recente analisi mostrano come il numero di attacchi ransowmare abbia raggiunto livelli record nei primi mesi dell'anno in corso, ma con un riscontro economico che vede profitti in calo. Secondo il report “State of Ransomware” di BlackFog, solo nel mese di marzo 2025 sono stati registrati 107 attacchi pubblicamente noti, ovvero l'81% in più rispetto al medesimo periodo di un anno fa e il numero più alto mai rilevato da quando l'azienda ha iniziato a monitorare il fenomeno nel 2020.

Se si allarga la finestra temporale, il primo trimestre dell'anno ha visto 278 attacchi dichiarati, con una crescita del 45% rispetto all'anno scorso. Ciò che è più preoccupante, però è il numero di attacchi non dichiarati che crescono del 113% su base annua arrivando a quota 2124. I settori più colpiti restano sanità, servizi e pubblica amministrazione, che insieme rappresentano quasi la metà degli incidenti noti: la sanità ha subito 57 attacchi, i servizi 44 e il settore governativo 30. Il comparto dei servizi è stato il più bersagliato tra gli attacchi non dichiarati, con 475 casi nel trimestre.

Il panorama dei gruppi criminali vede RansomHub tra i più attivi, responsabile del 9% degli attacchi dichiarati, seguito da Qilin e Akira. Da segnalare anche il fatto che ormai quasi ogni offensiva ransomware si accompagna al furto di informazioni sensibili, utilizzate come ulteriore leva di ricatto verso le vittime: una dinamica che accade nel 95% dei casi.

Anche Cyble, società specializzata in ricerca e analisi delle minacce informatiche, conferma quanto riscontrato da BlackFog, evidenziando una crescita del 149% degli attacchi ransomware negli Stati Uniti (il periodo preso in esame sono le prime 5 settimane dell'anno) rispetto allo scorso anno con 378 episodi contro 152.

La significativa crescita degli attacchi sembra essere una risposta diretta al calo dei riscatti che vengono effettivamente corrisposti dalle vittime. La tendenza sta infatti cambiando rispetto a pochi anni fa: secondo Chainalysis, che analizza i trasferimenti di criptovalute sulla blockchain, nel 2024 i pagamenti totali sono calati del 35% con un volume complessivo di 813 milioni di dollari rispetto agli 1,25 miliardi dell'anno precedenti. Attualmente meno della metà degli incidenti di sicurezza che coinvolgono ransomware si concludono con il pagamento di un riscatto, a testimonianza del fatto che le vittime stanno imparando ad opporsi alle richieste, probabilmente per via di una maggior consapevolezza e un approccio preventivo alla mitigazione di questo genere di rischi. Secondo di dati raccolti da BlackFog la richiesta media di riscatto risulta essere superiore ai 660 mila dollari, ma la cifra effettivamente incassata sarebbe molto più bassa.

Dicevamo una maggior consapevolezza: evidentemente, da un lato, le aziende hanno compreso che il pagamento del riscatto non è garanzia della restituzione dei dati o della cancellazione delle informazioni rubate, in secondo luogo l'azione delle forze dell'ordine è sempre più pressante rendendo più complicato per i gruppi criminali incassare e riciclare il denaro. A fronte di questo cambio di scenario, i gruppi ransomware cercano di compensare il calo dei guadagni aumentando il numero degli attacchi.

Un'altra realtà specializzata in threat intelligence, Reliaquest, evidenzia anche una endenza che sembra minare alla base la stabilità dei gruppi criminali. La fedeltà degli affiliati, cioè coloro i quali concretamente conducono un attacco in cambio di una percentuale sul riscatto, è sempre più inconsistente e basta una piccola riduzione del guadagno per spingerli a cambiare casacca. Vengono citati i casi di RansomHub, abbandonato da alcuni affiliati dopo che la percentuale sui riscatti è stata rimodulata dal 90% all'85%, oppure quello di Black Basta: gruppo particolarmente attivo fino al 2024, la diffusione sul web di alcune chat interne ha rivelato rapporti particolarmente tesi e litigiosi, che hanno poi portato allo scioglimento del gruppo.

Sebbene lo scenario per i gruppi ransomware stia diventando sempre più complesso, e lontani sono i tempi in cui questi gruppi letteralmente potevano spadroneggiare indisturbati, è anche vero che i cybercriminali hanno mostrato la capacità di riorganizzarsi ed adattarsi, cambiando strategie e approcci. Il calo del valore dei riscatti è una buona notizia, ma il picco nel numero degli attacchi dimostra che il fenomeno è ancora una vera e propria piaga per la quale nessuno può pensare di abbassare la guardia.