Il costo economico del ransomware potrebbe rivelarsi sbalorditivo. VDC Research e Kaspersky hanno condotto una stima da cui emerge che, solo nel settore manifatturiero, le potenziali perdite derivanti da attacchi ransomware (qualora avessero avuto successo) avrebbero potuto superare i 18 miliardi di dollari nei primi tre trimestri del 2025.
A livello regionale, l’Asia-Pacifico risulta l’area più colpita, con 11,5 miliardi di dollari di potenziali perdite, a dimostrazione di come la rapida digitalizzazione delle economie emergenti stia ampliando in modo significativo la superficie di attacco.
Indice degli argomenti
I ransomware: danni per decine di miliardi nel 2025
Nel 2025 il ransomware ha dimostrato resilienza, capacità di evoluzione e grande adattabilità. I modelli di Ransomware-as-a-Service (RaaS) hanno dominato il panorama delle minacce, abbassando le barriere di ingresso per i cybercriminali alle prime armi.
Questi modelli offrono malware pronti all’uso, programmi di affiliazione e persino servizi di intermediazione per l’accesso iniziale, con una ripartizione dei riscatti pari al 90/10 a favore degli operatori.
Piattaforme come RansomHub (ora dismessa) sono state rapidamente rimpiazzate da altri gruppi, tra cui Qilin, Akira, CI0p e Sinobi. Anche le tattiche hanno registrato un’evoluzione allarmante, in particolare quelle che sfruttano driver vulnerabili firmati, facendo ricorso alla tecnica Bring-Your-Own-Vulnerable-Driver (BYOVD), come osservato negli attacchi MedusaLocker.
La doppia e tripla estorsione – che combina la crittografia dei dati con la loro
sottrazione e la minaccia di divulgazione a clienti, autorità di regolamentazione o concorrenti – è ormai diventata la norma.
Ransomware: le previsioni per il 2026 nell’era dell’Agentic AI
Guardando al 2026, il ransomware non solo continuerà a esistere, ma è pronto a compiere un vero e proprio salto di qualità, potenziato dalla rapida integrazione dell’intelligenza artificiale nel crimine informatico.
I sistemi di Agentic AI, capaci di ragionare in modo autonomo e di adattarsi
in tempo reale, potrebbero automatizzare l’intera supply chain degli attacchi, dalla ricognizione iniziale fino alle richieste finali di estorsione, operando a velocità di gran lunga superiori a quelle degli operatori umani.
Le piattaforme Ransomware-as-a-Service basate sull’IA potrebbero, inoltre, consentire anche agli hacker meno esperti di distribuire malware polimorfici in grado di mutare dinamicamente o di diffondere video deepfake per ricattare dirigenti aziendali.
Il numero delle vittime potrebbe crescere in modo esponenziale, poiché gli aggressori intensificano operazioni su larga scala contro fornitori terzi.
Le tattiche di estorsione potrebbero evolvere verso forme ancora più subdole, come la manipolazione dei dati e il sabotaggio della reputazione, minando la fiducia nei brand nel giro di pochissimo tempo.
Come proteggersi
Per mantenere un vantaggio competitivo in termini di sicurezza, le organizzazioni dovrebbero investire nell’intelligence sulle minacce e nel rilevamento proattivo, oltre a implementare backup immutabili e isolati.
È fondamentale condurre audit approfonditi della catena di approvvigionamento e adottare sistemi avanzati di autenticazione multifattoriale.
Allo stesso modo, risulta essenziale implementare programmi di formazione mirata per contrastare schemi di phishing potenziati dall’intelligenza artificiale.
La furia del ransomware nel 2025, caratterizzata da un uso crescente dell’IA, attacchi sempre più mirati e costi in forte aumento, rappresenta un chiaro monito per il mondo degli affari.
Nel 2026, le minacce autonome potrebbero sopraffare le organizzazioni impreparate. Tuttavia, adottando modelli di protezione resilienti, le aziende non solo potranno sopravvivere, ma anche prosperare.
La scelta è evidente: evolversi più rapidamente degli aggressori o rischiare di
diventare la loro prossima vittima.
Per contrastare efficacemente il ransomware, è innanzitutto necessario abilitare una protezione dedicata su tutti gli endpoint.
Per le aziende non industriali, è consigliabile implementare soluzioni anti-APT ed EDR, in grado di migliorare l’individuazione, il rilevamento e l’analisi delle minacce, nonché la gestione rapida degli incidenti.
È inoltre fondamentale fornire ai team SOC informazioni aggiornate sulle minacce e garantire una formazione professionale continua, risorse oggi accessibili tramite piattaforme complete come Kaspersky Next, utili a costruire una strategia di difesa realmente resiliente.
Per le organizzazioni operanti nel settore industriale, si raccomanda invece l’adozione di un ecosistema specializzato come Kaspersky Industrial CyberSecurity (KICS), che combina tecnologie di livello OT, competenze specialistiche e una piattaforma nativa di Extended Detection and Response (XDR) progettata su misura per le infrastrutture critiche.
Questa soluzione offre funzionalità avanzate di analisi del traffico di rete, protezione degli endpoint e capacità di risposta agli incidenti, integrando la sicurezza IT tradizionale con misure specifiche per l’ambiente industriale, al fine di contrastare minacce sempre più sofisticate.
