Milano, 7 maggio 2025. In occasione dell’Anti-Ransomware Day, previsto per il 12 maggio, Kaspersky presenta il suo report annuale sull’evoluzione del panorama delle minacce informatiche ransomware a livello globale e regionale.
Secondo i dati di Kaspersky Security Network, le regioni del Medio Oriente, dell’APAC (Asia-Pacifico) e dell'Africa sono in testa con la più alta percentuale di utenti colpiti da attacchi ransomware, mentre l'America Latina, la CSI (Comunità degli Stati Indipendenti) e l'Europa sono più indietro. In Italia, dal 2023 al 2024, il numero di utenti colpiti da attacchi ransomware è aumentato dello 0,48%, con un incremento dello 0,10 punti percentuali. Questa percentuale apparentemente bassa è tipica dei ransomware, poiché i cybercriminali spesso non distribuiscono questo tipo di malware su larga scala, ma danno la priorità a obiettivi di grande valore, riducendo così il numero complessivo di incidenti.
L’Anti-Ransomware Day è stato istituito 12 maggio 2020 da INTERPOL, in collaborazione con Kaspersky, per ricordare l'anniversario del noto attacco ransomware WannaCry, avvenuto il 12 maggio 2017. Lo scopo dell'Anti-Ransomware Day è quello di aumentare la consapevolezza globale sulle minacce rappresentate dal ransomware e di promuovere le migliori pratiche per la prevenzione e la risposta.
Percentuale per regione degli utenti che hanno subito un attacco crypto-ransomwareDati di Kaspersky Security Network
Nelle regioni del Medio Oriente e Asia-Pacifico, il ransomware colpisce una percentuale maggiore di utenti a causa della rapida trasformazione digitale, dell'espansione delle superfici di attacco e dei diversi livelli di maturità della cybersecurity. Le aziende in APAC sono maggiormente prese di mira, con numerosi attacchi alle infrastrutture e alle tecnologie operative, soprattutto nei Paesi con economie in crescita e nuove leggi sulla privacy dei dati.
Il ransomware è meno diffuso in Africa a causa dei minori livelli di digitalizzazione e dei vincoli economici, che riducono il numero di obiettivi ad alto valore. Tuttavia, con l'espansione delle economie digitali di Paesi come il Sudafrica e la Nigeria, gli attacchi ransomware sono in aumento, soprattutto nei settori manufatturiero, finanziario e governativo. La scarsa consapevolezza e le risorse limitate in materia di cybersicurezza rendono vulnerabili molte aziende, anche se la superficie di attacco più ridotta rende la regione meno avanzata rispetto agli hotspot globali.
Anche in America Latina si verificano attacchi ransomware, soprattutto in Brasile, Argentina, Cile e Messico. I settori essenziali come quello manufatturiero, governativo e agricolo sono particolarmente colpiti, oltre a settori come l’energia e la vendita al dettaglio, ma i vincoli economici e i minori riscatti scoraggiano alcuni attaccanti. Ciononostante, la crescente adozione del digitale nella regione sta aumentando l'esposizione.
La Comunità degli Stati Indipendenti (CSI) registra un minor numero di utenti che si imbattono in un minor numero di attacchi ransomware. Tuttavia, alcuni gruppi di hacktivisti come Head Mare, Twelve e altri, attivi nella regione, utilizzano spesso ransomware come LockBit 3.0 per provocare danni alle aziende. I settori dell'energia, del manifatturiero, della pubblica amministrazione e della vendita al dettaglio, restano particolarmente a rischio, e i diversi livelli di maturità della cybersecurity nella regione incidono sulla sicurezza.
L'Europa è oggetto di continui attacchi ransomware, ma beneficia di solidi quadri di sicurezza informatica e normative che riescono a respingere gli attacchi. Settori come l’industria, l’agricoltura e l’istruzione sono spesso presi di mira, ma la capacità di rispondere rapidamente agli incidenti e la consapevolezza limitano la portata degli attacchi. Grazie alle economie diversificate e alle solide difese in Europa, la regione risulta meno interessante per i gruppi di ransomware rispetto alle regioni in cui la crescita digitale è rapida e meno sicura.
Tendenze attuali ed emergenti del ransomware
Gli strumenti di intelligenza artificiale sono stati sempre più utilizzati per sviluppare ransomware, come dimostrato da FunkSec, un gruppo ransomware comparso alla fine del 2024 che ha rapidamente guadagnato notorietà, superando gruppi già affermati come Cl0p e RansomHub, con numerose vittime rivendicate nel solo mese di dicembre. FunkSec opera secondo il modello Ransomware-as-a-Service (RaaS) e utilizza strategie di duplice estorsione, combinando la crittografia dei dati con operazioni di esfiltrazione. Colpisce settori come quello governativo, tecnologico, finanziario e dell'istruzione in Europa e Asia. Il gruppo si distingue per il forte ricorso a strumenti basati sull'intelligenza artificiale: il suo ransomware presenta un codice generato dall'intelligenza artificiale, con commenti perfetti, probabilmente prodotti da Large Language Models (LLM) per migliorare lo sviluppo ed evitare il rilevamento. Diversamente dai gruppi tradizionali di ransomware che richiedono risarcimenti milionari, FunkSec adotta un approccio ad alto volume e basso costo, con richieste di riscatto insolitamente basse, il che evidenzia ulteriormente l'uso innovativo dell'intelligenza artificiale per semplificare le operazioni.
Il modello RaaS (Ransomware-as-a-Service) rimane lo schema predominante per gli attacchi ransomware, favorendo così la diffusione di queste minacce, poiché abbassa la barriera tecnica per i cybercriminali. Nel 2024, le piattaforme RaaS come RansomHub hanno raggiunto ottimi risultati proponendo malware, assistenza tecnica e programmi di affiliazione che consentono di dividere gli importi del riscatto. Questo modello permette anche ad attori meno qualificati di eseguire attacchi sofisticati, contribuendo così all'emergere di numerosi nuovi gruppi di ransomware solo nel 2024.
Nel 2025 si prevede che il ransomware si evolverà sfruttando vulnerabilità non convenzionali, come dimostra l’uso di webcam da parte della banda Akira per aggirare i sistemi di rilevamento e risposta degli endpoint e infiltrarsi nelle reti interne. Si prevede che gli attaccanti prenderanno sempre più di mira punti di accesso non considerati, come i dispositivi IoT, gli smart devices o hardware non correttamente configurati nei luoghi di lavoro, sfruttando l'espansione della superficie d'attacco creata dai sistemi interconnessi. Mentre le aziende rafforzano le difese tradizionali, i criminali informatici perfezioneranno le loro tattiche, concentrandosi sulla ricognizione furtiva e sul movimento laterale all'interno delle reti per distribuire ransomware con maggiore precisione, rendendo più difficile per i difensori rilevarli e rispondere in tempo.
Lo sviluppo dei LLM (Large Language Model), creati su misura per la cybercriminalità, amplificherà ulteriormente la portata e l'impatto del ransomware. Gli LLM venduti sul dark web riducono la barriera tecnica per la creazione di codice maligno, campagne di phishing e attacchi di social engineering, permettendo anche ad attori meno esperti di creare esche altamente convincenti o di automatizzare la distribuzione del ransomware. Dal momento che concetti più innovativi come RPA (Robotic Process Automation) e LowCode, che forniscono un'interfaccia intuitiva, visiva e assistita dall'intelligenza artificiale per lo sviluppo rapido del software, vengono rapidamente adottati dagli sviluppatori di software, possiamo aspettarci che gli sviluppatori di ransomware utilizzino questi strumenti per automatizzare i loro attacchi e lo sviluppo di nuovo codice, rendendo la minaccia del ransomware ancora più diffusa.
"Il ransomware è una delle minacce alla sicurezza informatica più gravi che le aziende si trovano ad affrontare oggi, in quanto gli attaccanti colpiscono aziende di qualsiasi dimensione e in ogni regione. Nel nostro report si evidenzia un preoccupante spostamento verso lo sfruttamento di punti di accesso trascurati, tra cui i dispositivi IoT, smart devices e hardware di workplace non configurati correttamente o obsoleti. Questi punti deboli spesso non vengono monitorati, rendendoli bersagli privilegiati per i cybercriminali. Le aziende hanno bisogno di una difesa su più livelli: sistemi aggiornati, segmentazione della rete, monitoraggio in tempo reale, backup solidi e formazione continua degli utenti. Creare consapevolezza informatica a tutti i livelli è importante quanto investire nella giusta tecnologia",ha commentato Marc Rivero, Lead Security Researcher at Kaspersky's GReAT.
Ulteriori informazioni sulle tendenze del ransomware nel 2025 sono disponibili nel report su Securelist.com.
In occasione dell'Anti-Ransomware Day e non solo, Kaspersky incoraggia le aziende a seguire queste best practice per proteggersi dal ransomware:
Attivare la protezione ransomware per tutti gli endpoint. Lo strumento gratuito Kaspersky Anti-Ransomware Tool for Business protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con soluzioni di sicurezza già installate.
Tenere sempre aggiornato il software di tutti i dispositivi utilizzati per evitare che gli attaccanti sfruttino le vulnerabilità e possano infiltrarsi nella rete.
Focalizzare la strategia di difesa sul rilevamento dei movimenti laterali e dell'esfiltrazione dei dati su Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei cybercriminali alla rete e installare i backup offline. Assicurarsi che il traffico in uscita non sia troppo intenso e che i cybercriminali non siano in grado di accedere alla rete.
Installare soluzioni anti-APT e EDR, che consentano di individuare e rilevare le minacce avanzate, indagare e risolvere tempestivamente gli incidenti. Garantire al team SOC l'accesso alle informazioni più recenti sulle minacce e aggiornare regolarmente il personale attraverso una formazione professionale. Tutto questo è disponibile all'interno del framework Kaspersky Expert Security.
Utilizzare le più recenti informazioni di Threat Intelligence per essere sempre informati sulle reali Tactics, Techniques, and Procedures (TTP) utilizzate dagli attori delle minacce.
Utilizzare una soluzione come quelle della linea di prodotti Kaspersky Next che offrono protezione in tempo reale, visibilità delle minacce analisi e risposta EDR e XDR per aziende di qualsiasi dimensione e settore. In base alle esigenze e alle risorse disponibili, è possibile scegliere il livello di prodotto più adatto e cambiarlo facilmente qualora i requisiti di cybersecurity cambino.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo milioni di persone e oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatti: kaspersky@noesis.net
Immediapress è un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall'ente che lo emette. L'Adnkronos e Immediapress non sono responsabili per i contenuti dei comunicati trasmessi
