Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

ricorrenze

Anti-ransomware day 2026: un mercato criminale attivo, misurabile e in evoluzione

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

In occasione dell’Anti-Ransomware Day, secondo un report, crescono gli attacchi estorsivi “senza crittografia”, l’adozione della crittografia post-quantistica da parte dei gruppi ransomware e l’uso di canali Telegram per distribuire dataset e credenziali compromessi. Ecco quali sono le priorità oggi per mitigare i rischi

Pubblicato il 12 mag 2026
Ransomware crisi operativa; Ransomware, nel 2025 costi esorbitanti per il manufatturiero: cosa aspettarsi nel 2026; The Gentlemen: l'operazione ransomware-as-a-service più attiva nel 2026; Anti-ransomware day 2026: un mercato criminale attivo, misurabile e in evoluzione
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Oggi 12 maggio 2026 ricorre l’Anti-Ransomware Day.

Secondo un recente report di Kaspersky sulle principali tendenze ransomware emerse nel 2025, crescono gli attacchi estorsivi “senza crittografia”, l’adozione della crittografia post-quantistica da parte dei gruppi ransomware (per raccogliere oggi e decifrare domani) e il persistente impiego di canali Telegram per la distribuzione di dataset e credenziali compromessi.

“L’International Anti-Ransomware Day è utile perché ci ricorda che il ransomware non è una minaccia teorica ma un mercato criminale attivo, misurabile e in continua evoluzione”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Il ransomware resta una delle minacce cyber più dirompenti che le aziende sono chiamate ad affrontare, perché gli attaccanti non mirano più solo ai dati; al contrario, stanno concentrando i loro sforzi su operazioni, processi di recovery e capacità di un’impresa di continuare a operare anche sotto pressione”, avverte Vincenzo Granato, country manager Italia di Commvault.

Ecco le tendenze e soprattutto le priorità oggi per mitigare i rischi.

Anti-ransomware day 2026: lo scenario odierno

Nonostante un lieve calo della percentuale complessiva nel 2025 di organizzazioni vittime di ransomware rispetto all’anno precedente, il rischio per aziende ed utenti rimane alto.

Gli attaccanti hanno da tempo iniziato ad industrializzare le proprie operazioni, automatizzare i metodi di cyber intrusione e focalizzarsi in manioera crescente sul furto e sulla divulgazione di dati sensibili, invece di limitarsi alla crittografia dei sistemi.

I canali Telegram e i forum del dark web costituiscono le piattaforme chiave per distribuire e vendere dataset e accessi compromessi, compresi quelli carpiti grazie ad attacchi ransomware.

Nel gennaio 2026, le autorità hanno messosotto sequestro RAMP, uno dei più noti forum clandestini con cui gli attori malevoli erano soliti fare pubblicità ai servizi ransomware e condivisione di aggiornamenti operativi. Inoltre, nel marzo 2026 la chiusura di LeakBase, altro forum clandestino impiegato per la diffusione di dati sottratti e compromessi.

Tuttavia, sebbene le forze dell’ordine siano impegnate nel contrasto alle piattaforme del dark web e ai siti di data leak, emergono nel tempo nuovi portali affini, perché l’economia dei ransomware frutta.

Le tendenze che si confermano nel 2026

Fra le tendenze del 2025 spicca la crescita degli EDR killer (strumenti natoi per disabilitare le soluzioni di rilevamento e risposta sugli endpoint prima dell’esecuzione del malware).

Si tratta di una componente standard degli attacchi ransomware, per favorire cyber intrusioni mirate e metodiche.

Secondo i ricercatori, inoltre, sono comparse famiglie ransomware che implementano standard di crittografia post-quantistica, come Kaspersky aveva già osservato.

La tendenza segnala che il cyber crimine si orienta verso metodi di crittografia ideati per resistere ai futuri tentativi di decifratura via computer quantistici.

Si diffonde il ruolo degli Initial Access Broker (IAB), intermediari cyber-crime dediti alla vendita di credenziali compromesse tramite forum clandestini e piattaforme di messaggistica.

I portali RDWeb (siti web per il controllo remoto dei dispositivi) rimangono nel radar, mentre i gruppi ransomware puntano all’industrializzazione degli attacchi mediante modelli Access-as-a-Service.

Si abbassa, dunque, la soglia di ingresso per il lancio di attacchi ransomware.

I Paesi e settori più colpiti: l’Italia è quinta, ecco perché

Nel 2025 l’America Latina ha messo a segno la quota più elevatw di aziende bersagliate da attacchi ransomware (8,13%), seguita dall’area dell’Asia-Pacifico (7,89%), dall’Africa (7,62%), dal Medio Oriente (7,27%), dalla Comunità degli Stati Indipendenti (CSI, 5,91%) e dall’Europa (3,82%).

“Con Ransomfeed vediamo ogni giorno gruppi, vittime, paesi e settori colpiti: un quadro che mostra come il fenomeno sia strutturale, con una forte concentrazione su alcuni attori e una presenza costante anche in Italia”, avverte Dario Fadda.

In Italia è di pochi giorni fa l’attacco ransomware a UnoAerre, l’azienda orafa aretina che realizza le fedi nuziali in tutta Italia ed esporta in tutto il mondo.

“La vera priorità oggi non è solo reagire agli incidenti, ma leggere i dati per capire dove il rischio si sta spostando. Dando uno sguardo ai dati finora rilevati, notiamo che sul totale del 2025 in questi primi 5 mesi del 2026, la velocità di incidenza sull’Italia sta aumentando (oggi siamo al 62% degli attacchi rispetto al totale del 2025). Questo dato è più alto anche della media mondiale che attualmente è del 41%“, mette in guardia Dario Fadda.

Invece, lato mondo, “notiamo sempre gli Stati Uniti al vertice della classifica seguiti da Canada, UK e Germania (l’Italia finora è quinta). La scena criminale qui è Qilin, Thegentlemen e Akira, con settori colpiti come manifatturiero, costruzioni e servizi sanitari tra i primi tre posti”, conclude Fadda.

Le cyber gang più attive

Qilin è l’operatore che domina il panorama ransomware-as-a-service (RaaS), prevalentemente in seguito al sequestro delle attività di RansomHub. Clop si classifica al secondo posto tra le gang più attive, mentre Akira si piazza in terza posizione.

Nel 2026, The Gentlemen è uno dei gruppi più significativi in crescita, grazie ad operazioni strutturate e alla concentrazione sulle estorsioni fondate sui dati. Il gruppo potrebbe comprendere soggetti precedentemente associati ad altre importanti operazioni ransomware. The Gentlemen ha cambiato l’ecosistema ransomware, sempre meno impegnato in campagne mediatiche e indiscriminate e invece più orientato verso modelli di estorsione scalabili e strutturati come vere e proprie aziende.

“Parlando delle cyber gang maggiormente attive, anche in questa prima parte del 2026, per l’Italia si confermano sempre Lockbit 5.0 e Qilin seguito dall’emergente TheGentlemen. I settori più colpiti sono quello manifatturiero e delle costruzioni“, avverte Dario Fadda.

L’obiettivo principale è il furto di dati sensibili e lo sfruttamento della pressione reputazionale e normativa, invece di crittografare i file per chiederne il riscatto.

Il ruolo crescente dell’AI nell’anti-ransomware day

Il mercato sta studiando la portata di modelli come Claude Mythos, svelato da Anthropic ad aprile 2026 come un sistema capace di individuare vulnerabilità con enorme velocità, tanto che l’azienda ha rallentato la distribuzione, effettuata in modo limitato.

La corsa mostra il potenziale difensivo dell’AI per scoprire e sanare falle prima degli attaccanti, ma al contempo conferma che la stessa soglia può avere un riutilizzo in chiave offensiva.

“La crescente attenzione alle minacce basate su AI, messa in luce da sviluppi come Claude Mythos di Anthropic, ha rafforzato la consapevolezza di quanto rapidamente si stia riducendo il divario tra scoperta delle vulnerabilità e interruzione concreta delle attività. Lo scenario che un tempo sembrava teorico è ora reale, e le aziende devono essere preparate ad affrontare minacce che si muovono più velocemente e pongono maggiore enfasi sulla continuità operativa”, mette in evidenza Vincenzo Granato.

In queste settimane un attacco hacker a software per l’istruzione Canvas (dell’azienda statunitense Instructure) ha messo a KO quasi novemila scuole e ha portato al furto di oltre 3 terabyte di dati appartenenti a 275 milioni di insegnanti e studenti di tutto il mondo: il pagamento del riscatto in bitcoin chiesto dal gruppo di cybercriminali ShinyHunters – per evitare che la pubblicazione online dei dati di milioni di utenti (username, indirizzi email, i nomi dei corsi, informazioni di immatricolazione e messaggi) – scade il 12 maggio. Fra le università globali colpite ci sarebbe l’italiana Luiss.

Come mitigare il rischio: i consigli nell’anti-ransomware day

Abilitare la protezione anti-ransomware su tutti gli endpoint, mantenere aggiornati i sistemi operativi e i software su tutti i dispositivi, focalizzare la strategia di difesa sui movimenti laterali da individuare e sull’esfiltrazione dei dati verso Internet ed adottare soluzioni anti-APT ed EDR (nei settori non industriali): ecco i principali consigli nell’anti-ransomware day.

“Il ransomware si è trasformato in un ecosistema altamente organizzato, focalizzato sulla monetizzazione dei dati rubati, sulla neutralizzazione delle difese e sulla scalabilità degli attacchi con un’efficienza paragonabile a quella aziendale. Gli autori delle minacce si stanno adattando rapidamente, trasformando strumenti legittimi in armi, sfruttando infrastrutture di accesso remoto e adottando persino la crittografia post-quantistica con anni di anticipo rispetto alle aspettative. Lo scopo dell’Anti-Ransomware Day è sensibilizzare l’opinione pubblica globale sulle minacce ransomware e promuovere le migliori pratiche di prevenzione e risposta. Invitiamo tutti gli utenti a rafforzare la propria sicurezza, adottare difese multilivello, investire nei backup e migliorare le proprie competenze informatiche per contrastare questi attacchi”, conclude Fabio Assolini, Lead Security Researcher di Kaspersky GReAT.

ResOps per rilevare, isolare e ripristinare

“Ecco perché le operazioni resilienti, o ResOps, potrebbero cambiare radicalmente il modo in cui le aziende affrontano la cybersicurezza. Devono possedere, infatti, la capacità di rilevare tempestivamente le anomalie, isolare rapidamente le minacce e ripristinare in modo pulito in ambienti sicuri, senza reintrodurre malware o prolungare i tempi di inattività. La cybersecurity mira a evitare le minacce, le ResOps preparano per quando queste riusciranno a entrare, cosa che purtroppo con ogni probabilità accadrà”, mette in evidenza Vincenzo Granato.

“L’Anti-Ransomware Day ci ricorda che la resilienza non riguarda più solo ciò che accade dopo un attacco, ma è una disciplina continua che definisce come le aziende si preparano, rispondono e mantengono i servizi critici in caso di interruzione. Chi avrà successo non sarà chi presume di poter prevenire ogni incidente, ma chi sarà in grado di ripristinare rapidamente e continuare a operare, anche sotto attacco”, conclude Vincenzo Granato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio; LLM in guerra: il Pentagono aprirà alle aziende la possibilità di traininig dell'AI con dati riservati

  • guerra in iran

    L’attacco fisico al data center Amazon negli Emirati che ridefinisce il rischio cloud

    04 Mar 2026

    di Mirella Castigli

    Condividi
  • La truffa all'Opera Santa Maria del Fiore e la differenza tra protezione e sicurezza

  • sicurezza aziendale

    Truffe man in the middle, evitare il peggio è possibile: il caso dell'attacco a Opera Santa Maria del Fiore

    17 Dic 2025

    di Giuditta Mosca

    Condividi
0
Lascia un commento, la tua opinione conta.x