Paradosso ransomware, pagamenti in calo ma attacchi ai massimi storici

Il ransomware continua a evolvere come una delle minacce più pervasive per organizzazioni pubbliche e private e i dati emersi dal Crypto Crime Report 2026 di Chainalysis fotografano un fenomeno apparentemente contraddittorio. Nel 2025 i pagamenti legati al ransomware sono diminuiti per il secondo anno consecutivo, ma allo stesso tempo il numero di attacchi e di vittime rivendicate ha raggiunto livelli record, segnando un nuovo punto di svolta nell’economia dell’estorsione digitale.

Secondo il report, i gruppi ransomware hanno incassato circa 820 milioni di dollari nel 2025, con un calo dell’8% rispetto all’anno precedente. La quota di vittime disposte a pagare è scesa al minimo storico del 28%, segnale di una maggiore resilienza organizzativa, di politiche di risposta più mature e di una crescente pressione normativa e assicurativa contro il pagamento dei riscatti. Tuttavia, questa apparente buona notizia è controbilanciata da un incremento significativo delle richieste economiche: il riscatto mediano è passato da 12.738 dollari nel 2024 a 59.556 dollari nel 2025, evidenziando una strategia criminale orientata a massimizzare il valore di ogni singolo attacco.

Volume record e frammentazione dell’ecosistema criminale

Il vero elemento distintivo del 2025 non è stato il valore complessivo dei riscatti, bensì il volume degli attacchi. I dati eCrime.ch indicano un aumento del 50% anno su anno delle vittime, rendendo il 2025 l’anno più attivo mai registrato per il ransomware. Questa crescita riflette una trasformazione strutturale del panorama delle minacce, dove la pressione estorsiva non è più dominata esclusivamente dai grandi brand criminali.

Il panorama dei gruppi ransomware appare infatti sempre più frammentato. Le operazioni delle forze dell’ordine, le sanzioni internazionali e gli arresti hanno colpito nomi storici come LockBit e BlackCat, ma il vuoto è stato rapidamente riempito da spin-off, affiliati opportunisti e nuovi attori meno strutturati. Questi gruppi minori contribuiscono a un numero crescente di tentativi di estorsione, molti dei quali non si traducono in pagamenti tracciabili, rendendo più complessa la valutazione economica reale del fenomeno.

Gli eventi di maggiore impatto mediatico hanno comunque contribuito a definire il 2025 come un anno critico. Il caso Jaguar Land Rover è stato descritto come l’incidente cyber più costoso nella storia del Regno Unito, mentre Marks & Spencer ha subito una prolungata interruzione operativa dopo una violazione attribuita a un gruppo legato a Scattered Spider, con conseguenze rilevanti sul valore di mercato. Tuttavia, il report sottolinea che la vera storia non è quella dei mega-breach, ma la crescita costante del volume complessivo degli attacchi, spesso rivolti a organizzazioni di dimensioni medie o a supply chain complesse.

Leak site e pressione reputazionale come leva strategica

I dati di Emsisoft rafforzano questa lettura, indicando che oltre 8.000 organizzazioni sono state pubblicamente nominate sui leak site nel 2025, un incremento significativo rispetto agli anni precedenti. L’esposizione pubblica continua a rappresentare uno degli strumenti più efficaci per forzare le vittime alla negoziazione, soprattutto in contesti regolamentati o ad alta visibilità.

Le economie avanzate restano nel mirino privilegiato degli attaccanti. Gli Stati Uniti guidano la classifica delle vittime, seguiti da Canada, Germania, Regno Unito e dal resto dell’Europa occidentale. I settori più colpiti includono manifatturiero, finanziario e servizi professionali, mentre in Canada e Germania emerge un interesse particolare verso supply chain, logistica e infrastrutture critiche. Negli Stati Uniti, invece, l’aumento delle vittime ha interessato trasversalmente tutti i comparti, compresi governo e infrastrutture essenziali.

Questa distribuzione geografica e settoriale evidenzia come il ransomware sia ormai una minaccia sistemica, capace di colpire ecosistemi economici complessi e di generare impatti a cascata su partner, fornitori e clienti. L’effetto reputazionale e operativo derivante dalla pubblicazione sui leak site si conferma quindi un elemento centrale della strategia estorsiva moderna.

Il ransomware come supply chain criminale

Uno degli insight più rilevanti del report Chainalysis riguarda l’evoluzione del ransomware verso un modello simile a una supply chain criminale. In questo contesto, gli Initial Access Broker (IAB) svolgono un ruolo sempre più determinante, fungendo da intermediari che vendono accessi compromessi alle reti aziendali già pronti all’uso. Nel 2025, gli IAB hanno ricevuto almeno 14 milioni di dollari in pagamenti on-chain, una cifra modesta rispetto al totale ransomware ma strategicamente significativa.

L’analisi di Chainalysis evidenzia infatti una correlazione temporale tra l’aumento dei pagamenti agli IAB e la successiva crescita degli attacchi ransomware: i picchi nelle transazioni verso questi intermediari precedono di circa 30 giorni l’aumento dei pagamenti ransomware e delle pubblicazioni sui leak site. Questo pattern suggerisce una filiera operativa strutturata, in cui l’accesso iniziale viene acquistato, monetizzato e trasformato in campagne estorsive con tempistiche relativamente prevedibili.

Il report conclude che il ransomware non sta diminuendo, ma si sta trasformando. Meno organizzazioni pagano, ma più organizzazioni vengono colpite, le richieste economiche aumentano e il mercato degli accessi compromessi continua a prosperare, preparando il terreno per nuove ondate di disclosure e campagne di estorsione. Ma questo significa anche che la promozione della resilienza aziendale ha funzionato, iniziando a minare il terreno che ha portato alla crescita del ransomware: la sua redditività.