ransomware 2025 con un hacker davanti a schermi digitali, flussi di dati crittografati e simboli di cybersicurezza, a rappresentare l’evoluzione delle minacce informatiche e delle strategie di difesa aziendale.

Ransomware 2025: l’era dei negoziatori e della data exfiltration

A cura di:Redazione Ore

Nel secondo trimestre del 2025, il ransomware ha attraversato una trasformazione tanto profonda quanto inquietante, evolvendo da minaccia informatica a ecosistema criminale complesso che richiede competenze specialistiche per essere affrontato. Secondo il rapporto Q2 2025 di Coveware by Veeam, il pagamento medio per attacco ransomware ha raggiunto 1,13 milioni di dollari, un incremento del 104% rispetto al primo trimestre dello stesso anno. Ma questa cifra racconta solo una frazione di una storia molto più complessa, dove la figura del negoziatore ransomware è emersa dall’ombra per diventare protagonista indispensabile di una crisi che coinvolge tecnologia, diritto, etica e psicologia.

Il dato più significativo riguarda la percentuale di vittime che decidono di pagare il riscatto: il 26% secondo i dati Coveware, una percentuale che si è mantenuta stabile rispetto al trimestre precedente nonostante l’aumento drammatico degli importi. Parallelamente, l’esfiltrazione dei dati ha superato la criptazione come principale metodo di estorsione: il 74% degli attacchi nel secondo trimestre 2025 ha incluso il furto di informazioni sensibili, trasformando radicalmente le dinamiche del confronto tra vittime e criminali. Come sottolinea Bill Siegel, CEO di Coveware, “il secondo trimestre del 2025 segna un punto di svolta per il ransomware, dove social engineering mirato e data exfiltration sono diventati il playbook dominante”.

Questa evoluzione ha generato una professione tanto controversa quanto necessaria: il negoziatore ransomware. Figure che operano nell’intersezione tra cybersecurity, intelligence e psicologia criminale, capaci di interfacciarsi con organizzazioni criminali sofisticate per minimizzare i danni e, quando necessario, condurre trattative che possono valere milioni di dollari. Il fenomeno solleva questioni etiche e legali complesse, ma la domanda per questi servizi non è mai stata così alta in un panorama dove, come documenta Help Net Security nell’aprile 2025, ogni decisione può determinare la sopravvivenza stessa dell’organizzazione colpita.

Il modello Ransomware-as-a-Service nel 2025

Il Ransomware-as-a-Service ha subito nel 2025 quella che Coveware definisce una crisi strutturale profonda. Il modello RaaS “rimane irrimediabilmente compromesso” dopo che i gruppi che hanno pionieristicamente utilizzato questo framework sono stati esposti come caratterizzati da conflitti interni, inganni, profitti persi e anonimato compromesso per i loro affiliati. Le operazioni di law enforcement coordinate nel 2024 hanno sistematicamente danneggiato le risorse su cui gli attori ransomware dipendono per operare, mettendo anche alcuni criminali dietro le sbarre nel caso di minacce domestiche.

Questo collasso ha dato origine a un panorama frammentato dominato da tre categorie di attori secondo l’analisi Coveware del Q1 2025: operatori solitari non affiliati (“lone wolf”), un gruppo di nuovi brand ransomware che confondono i confini tra crimine finanziario motivato, spionaggio e hacktivism, e pochi gruppi sopravvissuti dell’era precedente. RansomHub, che aveva raggiunto una quota di mercato a due cifre, è improvvisamente scomparso intorno al 2 aprile 2025, con l’infrastruttura del gruppo che si è disconnessa. Sebbene la scomparsa abbia seguito reportage recenti che collegavano RansomHub all’entità sanzionata conosciuta come Evil Corp, rimane poco chiaro se questo sia stato un fattore contribuente.

Nel secondo trimestre 2025, come documenta il rapporto ufficiale Coveware, i tre gruppi più attivi sono stati Akira con il 19% degli attacchi, Qilin con il 13% e i cosiddetti “Lone Wolf” con il 9%. Per la prima volta, Silent Ransom e Shiny Hunters sono entrati nella top five, riflettendo un panorama delle minacce dinamico con nuovi entranti che rimodellano le classifiche. Questi gruppi hanno abbandonato gli attacchi opportunistici di massa per colpi di precisione, utilizzando nuove tattiche di impersonificazione contro help desk, dipendenti e fornitori di servizi terzi.

L’intelligenza artificiale sta ulteriormente complicando il quadro. Il rapporto Q2 2025 di Check Point evidenzia come i threat actors stiano utilizzando AI per automatizzare le comunicazioni e affinare le tecniche di social engineering. Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il secondo trimestre 2025 proprio grazie a tattiche di ingegneria sociale altamente mirate, rappresentando quella che Coveware identifica come le “minacce più grandi” del periodo.

I negoziatori ransomware: professionisti nell’ombra

La figura del negoziatore ransomware si è consolidata nel 2025 come componente essenziale della risposta agli incidenti, nonostante permangano controversie etiche e legali sulla sua stessa esistenza. Come racconta Jason Baker, analista lead del GuidePoint Research and Intelligence Team in un’intervista a Assured nel febbraio 2025, “Le persone spesso ci chiedono come facciamo a essere «tranquilli» con l’idea di interagire con i threat actors. La mia risposta è che una volta che smetti di vederla come «facilitazione» di un crimine e cominci a considerarla come un modo per contenere, limitare e ostacolare l’attaccante con ogni risorsa disponibile, diventa molto più semplice.”

I negoziatori non sono improvvisati: molti provengono da background in intelligence militare, forze dell’ordine o incident response. GuidePoint Security, una delle principali società del settore attiva dal 2023, riporta che il proprio team ha “dimostrato successo nel negoziare accordi con riduzioni che superano l’85%”. Secondo un comunicato Business Wire dell’agosto 2023, le capacità di negoziazione ransomware di GRIT (GuidePoint Research and Intelligence Team) hanno ridotto la richiesta media di riscatto del 50%, con la riduzione più grande pari all’85% rispetto alla richiesta originale.

Questi professionisti operano su database proprietari di threat actors che consentono strategie negoziali basate sull’evidenza e valutazioni realistiche degli outcome probabili, un vantaggio informativo che nessuna organizzazione vittima potrebbe possedere autonomamente. Il processo negoziale si articola in fasi precise. Come spiega Richard Foster, negoziatore che attinge alla propria esperienza nella gestione delle crisi ostaggio per le forze dell’ordine britanniche in un’analisi per BankInfoSecurity nel marzo 2025, “la negoziazione è più un gioco di pensiero, in cui cerchi di essere più furbo degli hacker per guadagnare tempo e accertare informazioni preziose”.

Il caso Royal Mail del gennaio 2023, analizzato in dettaglio nell’articolo di BankInfoSecurity, illustra perfettamente il valore strategico della negoziazione anche quando non si intende pagare. Il negoziatore professionista, presentandosi come junior IT staff per ridurre la percezione di autorità decisionale, ha esteso le trattative con LockBit per tre settimane. Durante questo periodo, Royal Mail ha potuto identificare quali file erano stati esfiltrati, valutare se contenessero dati personali e preparare una strategia di risposta. L’azienda non ha mai pagato, ma la negoziazione ha trasformato una crisi caotica in un processo gestito.

Coveware, leader globale nella risposta agli incidenti ransomware e acquisita da Veeam nell’aprile 2024, ha sviluppato strumenti proprietari come Recon e Unidecrypt specificamente per supportare il processo negoziale. Recon consente di prevedere con accuratezza i costi e le tempistiche di recupero, informazioni cruciali per determinare se la negoziazione di un pagamento abbia senso economico. L’azienda sottolinea che il proprio team di case manager specializzati negozia 24/7 per conto dei clienti, liberando i team interni per concentrarsi sul recovery tecnico.

Le questioni legali ed etiche della negoziazione

La decisione di negoziare con i ransomware operators solleva immediatamente complesse questioni legali che possono trasformare la vittima in potenziale criminale. Come documenta l’analisi di DLA Piper, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro americano ha emesso nell’ottobre 2020 un advisory alle aziende che pagano o facilitano un pagamento di riscatto, avvertendole che le vittime di attacchi ransomware e le terze parti che assistono queste vittime potrebbero violare le leggi federali se pagano o facilitano il pagamento a un individuo o entità sanzionata, intenzionalmente o meno.

Le penalità possono essere criminali o civili, e le violazioni sono reati di strict liability (cioè violazioni indipendentemente dalla colpevolezza). Le multe per violazioni possono essere sostanziali, arrivando fino a 20 milioni di dollari e reclusione. L’advisory nota che penalità civili possono essere imposte per violazioni di sanzioni anche se le parti che iniziano o facilitano la transazione non sapevano o non avevano ragione di sapere di essere coinvolte in una transazione proibita.

Questo crea un dilemma kafkiano: un’organizzazione sotto attacco deve rapidamente determinare l’identità del proprio attaccante – processo lungo e spesso inconcludente – prima di poter anche solo considerare un pagamento. Come nota l’intervista a Nexus nel febbraio 2024, “negoziare e pagare sono due cose molto diverse”, e la prima fase critica consiste proprio nel verificare che eventuali fondi non finirebbero in mani proibite.

La questione è ulteriormente complicata dalla proliferazione di leggi statali. Florida, North Carolina e Tennessee hanno approvato normative che proibiscono alle entità del settore pubblico di pagare riscatti, come riporta TechTarget. A livello internazionale, secondo l’analisi di Acronis, gli stati membri dell’Unione Europea possono imporre multe per i pagamenti di riscatti nell’ambito della Direttiva NIS (Network and Information Systems Security).

Melissa K. Ventrone, leader della practice cybersecurity, data protection and privacy presso lo studio legale internazionale Clark Hill e intervistata da TechTarget, sostiene che le vittime dovrebbero assumere negoziatori professionisti proprio per navigare questi rischi legali: “I negoziatori sapranno come eseguire verifiche per assicurarsi che i pagamenti non violino le sanzioni nazionali, e avranno esperienza nella gestione delle criptovalute necessarie per effettuare un pagamento di riscatto”. Le polizze di cyber insurance spesso richiedono esplicitamente l’uso di negoziatori professionali designati dall’assicuratore.

L’FBI mantiene una posizione pubblica di forte scoraggiamento verso i pagamenti. Tuttavia, come riporta TechTarget citando l’agente Paul Vassilakos, le autorità comprendono che pagare è “una decisione di business” e che “le entità devono prendere la decisione che è nel loro miglior interesse”, aggiungendo che attacchi ransomware passati hanno distrutto organizzazioni. Il consiglio implicito, come riportato nell’intervista Nexus, è di informare comunque l’FBI delle intenzioni: “Spiegare ‘guardate, siamo in difficoltà e a meno che non ci diciate diversamente, pagheremo’ rende molto difficile perseguire un’azienda in quella situazione”.

Come prevenire gli attacchi ransomware nel 2025

La prevenzione del ransomware nel 2025 richiede un approccio radicalmente diverso rispetto al passato, principalmente perché la natura degli attacchi è cambiata. Come documenta il rapporto Coveware Q2 2025, il 74% degli incidenti ora include esfiltrazione dati, rendendo insufficienti le strategie difensive focalizzate esclusivamente sulla prevenzione della criptazione. Bill Siegel avverte: “gli attaccanti non cercano solo i vostri backup – puntano alle persone, ai processi e alla reputazione dei vostri dati”.

Il social engineering è diventato il vettore dominante nel 2025. Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il secondo trimestre 2025 utilizzando ingegneria sociale altamente mirata per violare organizzazioni attraverso settori. La guida CISA #StopRansomware, aggiornata nel maggio 2023 in collaborazione con FBI, NSA e MS-ISAC, identifica come vettori primari le credenziali compromesse, vulnerabilità non corrette e forme avanzate di ingegneria sociale. I dati Coveware Q2 2025 mostrano che compromissione delle credenziali, phishing e sfruttamento di servizi remoti continuano a dominare l’accesso iniziale.

L’implementazione dell’autenticazione multifattoriale è ora considerata requisito minimo basilare. Il caso Change Healthcare del febbraio 2024 è partito da un singolo account senza MFA. Come evidenzia Microsoft nelle proprie linee guida sulla protezione ransomware, l’MFA tradizionale via SMS non basta più nel 2025: servono soluzioni resistenti al phishing basate su hardware key o biometria per resistere agli attacchi sempre più sofisticati.

La formazione del personale ha assunto importanza critica. Secondo l’IBM Cost of a Data Breach Report 2024, le organizzazioni che stabiliscono team di incident response e testano regolarmente i loro piani IR possono ridurre il costo medio di una violazione di 232.008 dollari. Come raccomanda CISA, il training non è un evento annuale ma un processo permanente. Nel contesto 2025, questo include simulazioni di impersonificazione di help desk, riconoscimento di tecniche di social engineering avanzate e consapevolezza delle tattiche di manipolazione psicologica.

I backup rappresentano l’ultima rete di salvataggio, ma devono essere implementati correttamente. Secondo il rapporto Sophos State of Ransomware 2024, il 94% delle organizzazioni colpite nel 2024 ha subito tentativi di compromissione dei propri backup da parte dei criminali. La soluzione passa attraverso storage immutabile con object lock e air-gapped backups fisicamente separati dalla rete. Veeam raccomanda test regolari di ripristino: non basta avere i backup, devono essere funzionanti e ripristinabili in tempi ragionevoli.

Protezione ransomware: resilienza nell’wra dell’esfiltrazione

La protezione efficace nel 2025 richiede l’accettazione di una verità scomoda: la compromissione è sempre più probabile. Come sottolinea Veeam nelle proprie best practice, l’obiettivo non è più prevenire ogni attacco ma costruire resilienza operativa. Un rappresentante di Coalition Incident Response stima che il 90% delle organizzazioni ha qualche forma di backup, ma la questione critica è la viabilità: “Sono stati testati? Coprono tutti i dati necessari per ripristinare le operazioni? I backup possono essere messi in funzione in modo tempestivo? Se un’azienda ha più terabyte di dati e non ha mai eseguito un backup, potrebbero volerci settimane per ripristinare completamente”.

L’architettura Zero Trust, promossa dal National Institute of Standards and Technology, parte dal principio “never trust, always verify”. Questo approccio limita drasticamente il movimento laterale: anche se un attaccante compromette un endpoint, non può automaticamente espandersi all’intera rete. L’implementazione dello Zero Trust include verifiche continue di identità, autorizzazione per ogni richiesta di accesso e segmentazione rigorosa della rete.

La statistica più significativa riguarda l’efficacia dei pagamenti. Secondo un rapporto di febbraio 2025 di Coveware, il 25% delle aziende colpite nell’ultimo trimestre del 2024 ha pagato un riscatto, rappresentando un minimo storico che Coveware definisce “pietra miliare significativa nella lotta contro il ransomware”. Il rapporto ha anche rilevato che il pagamento mediano era di 110.890 dollari, in calo del 45% rispetto al trimestre precedente. Questa tendenza riflette investimenti crescenti in sicurezza proattiva, backup robusti e training di incident response.

Il coinvolgimento delle forze dell’ordine può accelerare significativamente identificazione e contenimento. L’IBM Cost of a Data Breach Report 2024 documenta come le organizzazioni che coinvolgono le forze dell’ordine lo facciano più di 2 settimane più velocemente delle controparti DIY: 281 giorni in media per identificare (213) e contenere (68 giorni) una violazione quando le forze dell’ordine sono coinvolte, contro 297 giorni totali (220 per identificare, 77 per contenere) quando non lo sono.

Gli attacchi ransomware del 2025: nuovi pattern

Il panorama degli attacchi nel secondo trimestre 2025 si caratterizza per la predominanza di gruppi che hanno sfruttato social engineering mirato. Come documenta il rapporto Coveware, Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il trimestre, abbandonando attacchi opportunistici di massa per colpi di precisione. Akira mantiene la leadership quantitativa con il 19% degli attacchi documentati, seguito da Qilin al 13%, mentre i “lone wolf” operatori rappresentano il 9%.

La scomparsa improvvisa di RansomHub nell’aprile 2025 illustra la volatilità dell’ecosistema. Come nota il rapporto Coveware Q1 2025, l’infrastruttura del gruppo si è disconnessa intorno al 2 aprile. Questo evento sottolinea l’efficacia delle azioni di law enforcement che, pur non eliminando il fenomeno, stanno rendendo sempre più rischiosa l’operatività dei grandi brand ransomware.

I settori più colpiti nel Q2 2025 secondo Security Brief sono i servizi professionali (19,7%), healthcare (13,7%) e consumer services (13,7%). Ma la dimensione aziendale rivela la vera strategia criminale: le organizzazioni tra 11 e 1.000 dipendenti rappresentano il 64% delle vittime secondo il rapporto Coveware Q2 2025, configurando quello che viene definito “ransomware sweet spot” – abbastanza grandi da avere risorse per un pagamento significativo, ma con difese meno mature delle grandi enterprise.

Gli attacchi del 2024 hanno lasciato cicatrici profonde. UnitedHealth/Change Healthcare ha subito perdite stimate in 3,09 miliardi di dollari secondo Sangfor. Il pagamento record da 75 milioni di dollari versato a Dark Angels da un’azienda Fortune 50, come riportato da The SSL Store, ha probabilmente creato un incentivo perverso. Come nota Help Net Security, il rapporto Zscaler suggerisce che questa cifra potrebbe aver incoraggiato altri operatori a spingere per pagamenti sempre più alti.

Rimozione ransomware: il recupero senza pagamento

Trovarsi con sistemi compromessi rappresenta lo scenario peggiore, ma le opzioni di recupero senza pagamento esistono e sono sempre più utilizzate. La checklist CISA identifica l’isolamento immediato come primo passo critico: disconnettere dalla rete non solo i sistemi evidentemente compromessi, ma tutti quelli potenzialmente a rischio, considerando che molti gruppi mantengono accessi persistenti per settimane prima dell’attacco definitivo.

L’iniziativa No More Ransom, collaborazione tra Europol e oltre 180 partner, offre strumenti di decriptazione gratuiti per oltre 160 varianti di ransomware. Tra le nuove aggiunte del 2024-2025 figurano decryptor per FunkSec, Phobos, DoNex, HomuWitch e BlackBasta. Kaspersky e altri vendor mantengono database simili, costantemente aggiornati.

Tuttavia, come spiega Cynet, per le varianti moderne che utilizzano implementazioni corrette di AES-256, la decriptazione senza chiave è matematicamente impossibile. In questi casi, le opzioni sono ripristinare da backup o accettare la perdita. Il ripristino richiede prima la certezza assoluta che ogni traccia del malware sia stata eliminata.

Il tempo di recupero varia drasticamente. Secondo Cigent, la media per un attacco ransomware è di circa 22 giorni, anche se le organizzazioni più piccole con alti livelli di preparazione possono recuperare in pochi giorni, mentre quelle più grandi meno preparate dovrebbero pianificare settimane o persino mesi di downtime. Come documenta BlackFog, quasi un terzo delle PMI americane colpite non recupera mai completamente e chiude definitivamente.

La decisione di pagare resta la più difficile. L’FBI continua a sconsigliare il pagamento, ma come nota l’esperto intervistato da Help Net Security, “se fosse solo questione legale ed etica, per principio non si dovrebbe mai pagare. Ma a volte il pagamento si riduce a decisione di business piuttosto che questione etica”. Secondo TechTarget, le organizzazioni devono valutare quanto tempo richiederebbe il recupero, quanto costerebbe quel recupero, il valore di eventuali dati persi e l’impatto del downtime.

Ransomware 2025: dalla tecnologia alla strategia organizzativa

Il ransomware nel 2025 rappresenta una minaccia multidimensionale che richiede risposte altrettanto complesse. Con pagamenti medi di 1,13 milioni di dollari nel secondo trimestre, il 26% delle vittime che paga, e il 74% degli attacchi che include ora furto di dati, l’ecosistema è radicalmente mutato. L’emergere dei negoziatori professionali come figure indispensabili sottolinea quanto la risposta al ransomware sia diventata specialistica, richiedendo competenze che spaziano dalla cybersecurity alla psicologia criminale, dal diritto internazionale alla gestione delle crisi.

Le operazioni di law enforcement stanno ottenendo risultati tangibili, anche se questi gruppi dimostrano resilienza nel riorganizzarsi. La frammentazione del modello RaaS, l’ascesa dei lone wolf attackers, e lo shift verso data exfiltration come metodo primario di estorsione stanno ridefinendo il panorama. Parallelamente, gli investimenti crescenti in prevenzione, backup immutabili, formazione del personale e architetture Zero Trust stanno progressivamente spostando il bilancio di potere.

Le organizzazioni che emergeranno più forti saranno quelle che avranno compreso una verità fondamentale: il ransomware nel 2025 non è solo problema tecnologico ma sfida organizzativa che richiede preparazione culturale, processi collaudati, e la capacità di prendere decisioni difficili sotto pressione estrema. In questa nuova realtà, avere accesso ai negoziatori professionali può significare la differenza tra recupero gestibile e disastro irrecuperabile.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi