Ransomware senza cifratura: come il data extortion sta sostituendo l’attacco classico

Un cambio di paradigma silenzioso ma strutturale

Per oltre un decennio il ransomware ha seguito uno schema riconoscibile: infiltrazione nella rete, cifratura dei file, richiesta di riscatto in cambio della chiave di decrittazione. Le aziende hanno risposto investendo in backup, piani di disaster recovery e soluzioni di ripristino rapido, con risultati concreti. Secondo il Coveware Quarterly Ransomware Report Q2 2025, circa il 97% delle organizzazioni colpite da cifratura riesce oggi a ripristinare i propri dati senza pagare.

I criminali lo sanno. E hanno cambiato tattica.

Secondo il 2025 Cyber Risk Report di Resilience, basato su 827 sinistri analizzati dalla compagnia assicurativa, gli attacchi di sola sottrazione dati sono passati dal 49% dei casi estorsivi nella prima metà del 2025 al 65% nella seconda metà. Sull’intero anno, il 57,6% degli eventi estorsivi ha riguardato furto di dati senza alcuna cifratura, mentre solo il 13% ha utilizzato esclusivamente la cifratura. Il rimanente 29,4% ha combinato entrambe le tecniche.

La conferma arriva anche dal Red Report 2026 di Picus Labs, che certifica una svolta ancor più netta a livello di tooling offensivo: l’uso della tecnica “Data Encrypted for Impact”, ovvero il cuore del ransomware classico, è calato del 38% nel corso del 2025. Come documentato da ICT Security Magazine nell’analisi sul cybercrime 2026, gli attaccanti non ottimizzano più per il rumore della cifratura, ma per la persistenza silenziosa e l’esfiltrazione continua.

Il messaggio è inequivocabile: il backup è irrilevante quando la leva non è operativa ma reputazionale, regolamentare e legale. Siamo di fronte a una mutazione strutturale dell’ecosistema criminale, non a una semplice variazione tattica.

Il modello operativo: Cl0p e Dark Angels come archetipi

Due gruppi incarnano questa evoluzione con approcci complementari ma entrambi paradigmatici.

Cl0p (Snakefly): la fabbrica dell’estorsione su scala

Dal 2021 Cl0p ha progressivamente abbandonato la cifratura, concentrandosi in modo esclusivo sull’esfiltrazione massiva di dati attraverso zero-day su piattaforme enterprise di file transfer, senza stabilire persistenza nelle reti compromesse e senza distribuire payload ransomware tradizionali. Fonte: cybersecuritynews.com, Ransomware Attack 2025 Recap.

Il playbook del gruppo è ormai collaudato su cinque campagne di portata globale:

1. Acquisire uno zero-day exploit su software enterprise largamente diffuso;
2. Compromettere il maggior numero possibile di istanze prima del rilevamento;
3. Esfiltrare dati dai clienti downstream, spesso al di fuori della loro rete;
4. Monetizzare tramite estorsione scalare su ogni singola organizzazione colpita.

Dopo GoAnywhere MFT (2023), MOVEit Transfer (2023) e Cleo (fine 2024), nel Q4 2025 Cl0p ha lanciato una nuova campagna sfruttando la vulnerabilità critica CVE-2025-61882 in Oracle E-Business Suite versioni 12.2.3–12.2.14, abilitando remote code execution tramite server-side request forgery (SSRF). L’intera catena d’attacco, dall’intrusione all’esfiltrazione, è avvenuta senza distribuire alcun ransomware. Tra le vittime dell’ondata Oracle EBS, secondo Symantec Threat Intelligence: Schneider Electric, Emerson, Logitech, Harvard University, Washington Post.

La metodologia operativa è ottimizzata per la furtività: lateral movement con Mimikatz, PsExec e Cobalt Strike, disabilitazione di Windows Defender e dei processi di backup, esfiltrazione tramite strumento custom Teleport. Fonti dirette: Zscaler ThreatLabz; Coveware.

Un dato interessante emerge però dall’analisi longitudinale delle campagne: secondo il The NAS Guy Research (febbraio 2026), la campagna Oracle EBS 2025 ha generato uno dei livelli più bassi di monetizzazione mai registrati per Cl0p. Le organizzazioni stanno maturando nella valutazione costi/benefici del pagamento, ma questo non riduce il danno causato dall’esfiltrazione stessa.

Dark Angels: il cacciatore solitario di grandi prede

Il modello di Dark Angels è agli antipodi per scala, ma ugualmente illuminante. Il gruppo, attivo dal 2022 e collegato ad ambienti russi, non si avvale di affiliati RaaS né di initial access broker. Questo limita il numero degli attacchi ma li rende chirurgicamente mirati verso grandi organizzazioni enterprise. Il criterio per decidere se cifrare o meno è pragmatico: la cifratura viene distribuita solo se causa disruption operativa sufficiente ad aumentare la leva, altrimenti viene omessa. Fonte: Zscaler ThreatLabz.

Dark Angels infiltra le reti, esfiltra volumi di dati tipicamente compresi tra 1 e 100 TB, rimanendo in rete anche cinque mesi prima di agire, e solo successivamente valuta se distribuire il ransomware. L’obiettivo primario è operare sotto il radar: il gruppo preferisce non fare notizia e non disturbare le operazioni della vittima, perché questo massimizza la probabilità di ottenere il pagamento senza interventi di incident response aggressivi.

Questa strategia ha prodotto il riscatto singolo più alto mai registrato: 75 milioni di dollari pagati da una Fortune 50 company nel primo trimestre 2024, dopo l’esfiltrazione di 100 TB di dati aziendali. Il pagamento è stato confermato da Chainalysis e Zscaler. Secondo TechTarget/SearchSecurity, altri gruppi hanno già preso nota del modello Dark Angels e lo replicheranno: target singoli ad alto valore, volumi massicci di dati come leva, nessuna cifratura quando non necessaria.

Il contesto italiano: chi viene colpito e come

L’Italia rappresenta un bersaglio sproporzionato rispetto al proprio peso economico. Secondo il Rapporto Clusit 2025, con il 9,6% degli incidenti gravi a livello globale, l’Italia subisce una quota di attacchi nettamente superiore al suo 1,8% del PIL mondiale.

Il dato più rilevante per questa analisi arriva dall’Exprivia Threat Intelligence Report Italia 2025: nel 2025 l’Italia ha registrato 3.732 attacchi informatici con una media di circa 10 eventi al giorno, segnando un +82% nel volume rispetto ai valori di fine 2024. Il furto di dati da solo ha rappresentato circa il 70% degli eventi malevoli nel 2025, a grande distanza dal danno economico diretto (16%) e dall’interruzione dei servizi (circa il 7%). I threat actor preferiscono operazioni silenti: esfiltrazione graduale, monetizzazione dei dati, nessuna firma visibile.

Per quanto riguarda i settori in Italia più colpiti, le fonti Clusit, Exprivia e Check Point convergono su un quadro coerente.

Manifatturiero. Come documentato nell’approfondimento intersettoriale su ICT Security Magazine, il manifatturiero italiano è sotto pressione strutturale. Il Rapporto Clusit 2025 indica che nel primo semestre 2025 il settore ha già raggiunto il 90% degli attacchi subiti in tutto il 2024, passando dal settimo al quarto posto tra i più colpiti in Italia. L’Italia subisce il 25% di tutti gli attacchi globali al settore manifatturiero. Casi documentati: STIM (INC Ransom, 100 GB esfiltrati), Microdevice (Beast, 850 GB), SIAD, Mutti, Colacem. Fonte: techfromthenet.it analisi cybercrime 2025.

Pubblica Amministrazione. Secondo il Clusit, il 38% degli attacchi in Italia nel primo semestre 2025 ha colpito enti pubblici o strutture governative. Secondo il report CSIRT Italia primo semestre 2025, i principali bersagli sono stati PA locale, PA centrale e telecomunicazioni, con 91 attacchi ransomware registrati nel semestre. Le implicazioni per gli obblighi NIS2 in capo alla PA sono analizzate su ICT Security Magazine — NIS2 Governance Aziendale.

Sanità. Con 337 incidenti nel primo semestre 2025, il settore sanitario ha realizzato il 67% degli incidenti registrati in tutto il 2024, con gli attacchi a impatto critico raddoppiati rispetto all’anno precedente. Fonte: Clusit primo semestre 2025.

Finance, Media e Telco. Secondo il Check Point Research Global Threat Intelligence Report febbraio 2026, in Italia i settori più colpiti dal ransomware nel mese di febbraio 2026 sono PA, media e intrattenimento, e telecomunicazioni. Il settore finance ha registrato 1.432 fenomeni nell’intero 2025 (Exprivia). Akira è responsabile di oltre il 20% degli attacchi su MSP e telco.

Il vettore d’accesso prevalente in Italia rimane l’esposizione RDP e l’abuso di credenziali valide reperite sul dark web. Come documentato da ICT Security Magazine sul cybercrime 2026, la catena è ormai standardizzata: infostealer, log di credenziali, marketplace dark web, initial access broker, operatore ransomware/extortion. Picus Labs documenta che gli infostealer hanno raccolto oltre 2 miliardi di credenziali nel primo semestre 2025 (fonte Resilience).

Perché i backup non bastano più

Il punto critico di questa evoluzione è la sua implicazione pratica per le strategie difensive consolidate. Il backup era la risposta principale al ransomware classico. Secondo il Resilience 2025 Cyber Risk Report: “Questo spostamento ha reso le strategie di recupero basate sui backup largamente inefficaci contro la minaccia primaria, che è ora il danno reputazionale, regolamentare e legale derivante dall’esposizione dei dati rubati.”

Le ragioni sono strutturali.

Una volta che i dati sono stati esfiltrati, il backup è irrilevante: i dati sono già fuori dal perimetro. La violazione del GDPR è già avvenuta. L’obbligo di notifica al Garante Privacy e agli interessati scatta indipendentemente dalla cifratura, entro 72 ore in caso di rischio per i diritti e le libertà degli interessati. Gli obblighi di notifica NIS2 al CSIRT Italia (preallarme entro 24 ore, notifica entro 72 ore) si applicano indipendentemente dal vettore. Su questi aspetti si rimanda all’analisi di Massimiliano Nicotra e Marco Maria De Cesaris sugli adempimenti NIS2 e le scadenze 2026.

I procedimenti legali e le cause di class action possono partire in pochi giorni dalla disclosure pubblica: secondo il Resilience Report, i claim timelines si estendono ora routinariamente su due o tre anni, mentre litigation, perizie forensi contabili e procedimenti regolatori avanzano su binari paralleli.

Un ulteriore elemento di complessità riguarda l’affidabilità del pagamento: come documentato da Resilience, pagare per sopprimere i dati rubati si è rivelato inaffidabile perché i dati frequentemente riemergono su altri canali, gli obblighi di notifica rimangono applicabili e le cause collettive seguono comunque. Fonte: Insurance Business Magazine, gennaio 2026.

Implicazioni per le strategie di difesa

La risposta difensiva deve necessariamente evolversi da un modello centrato sul recovery a uno centrato sulla prevenzione dell’esfiltrazione. Come sintetizzato da Resilience: “Backups become irrelevant because the leverage is now reputational, regulatory, rather than operational.”

Data governance e classificazione. Non si può proteggere ciò che non si conosce. Una classificazione efficace dei dati sensibili, unita a politiche di accesso basate sul principio del least privilege, riduce il volume di informazioni esportabili in caso di compromissione. Il censimento dei dati in ambienti SaaS e cloud è il punto di partenza obbligato. Il Red Report 2026 di Picus Labs documenta che il 38% delle tecniche di attacco impiegate nel 2025 operava nella fase di Discovery e Collection, cioè mappatura e raccolta di dati prima dell’esfiltrazione vera e propria.

Identity e prevenzione del lateral movement. L’autenticazione multifattore su tutti gli accessi remoti, il monitoring delle sessioni privilegiate, il rilevamento anomalo dei movimenti laterali e la micro-segmentazione di rete sono i pilastri fondamentali.

Monitoraggio dell’esfiltrazione. Strumenti DLP (Data Loss Prevention), analisi del traffico verso destinazioni esterne non autorizzate e alerting su volumi anomali di dati in uscita devono integrare, e non sostituire, le difese perimetrali. Secondo la Relazione Annuale ACN 2025, nel caso Dark Angels “il furto di 100 TB implica settimane di attività con traffico anomalo verso l’esterno che le organizzazioni hanno mancato di rilevare.”

Third-Party Risk Management (TPRM). Gli attacchi alla supply chain software come quelli sfruttati da Cl0p dimostrano che la superficie d’attacco si estende ben oltre i propri sistemi. I vendor-related incidents hanno rappresentato il 22% delle perdite nel 2024, sceso al 18,8% nel 2025 (Resilience). Un programma strutturato di TPRM con monitoraggio continuo dei fornitori critici non è più optional. Su questo tema si rimanda agli approfondimenti su ICT Security Magazine sul Supply Chain Risk Management e sulla Supply Chain Security e SBOM.

Incident response con dimensione legale integrata. La risposta agli incidenti deve includere fin dall’inizio la dimensione legale e comunicativa: notifica tempestiva al Garante Privacy (entro 72 ore), gestione delle comunicazioni agli interessati, attivazione del team legale per la difesa da eventuali class action, e adempimenti NIS2 verso il CSIRT Italia. Per il quadro normativo aggiornato: ICT Security Magazine sulla governance aziendale NIS2.

Implicazioni per le polizze cyber

La trasformazione del modello estorsivo ha costretto il mercato assicurativo a un profondo ripensamento. Con il 57,6% dei sinistri estorsivi 2025 riconducibili a furto dati senza cifratura (Resilience), i profili di rischio si ridistribuiscono radicalmente.

Manifatturiero, sanità e retail hanno insieme rappresentato il 68% delle perdite di portafoglio nel 2025, con ciascun settore vulnerabile in modi strutturalmente diversi. Fonte: Risk & Insurance, febbraio 2026.

Le aree di maggiore pressione per il mercato assicurativo sono tre. Prima: costi di notifica, gestione degli interessati e difesa legale, che nel 2025 hanno eguagliato o superato i costi diretti di risposta agli incidenti, con claim timelines estesi routinariamente a due o tre anni. Seconda: business interruption di lungo periodo, non più limitata all’interruzione operativa immediata ma comprensiva del danno reputazionale e delle perdite commerciali per mesi o anni. Terza: esposizione da compromissione di fornitori critici, con le assicuratrici che iniziano a richiedere evidenza di TPRM come requisito di sottoscrizione.

Sul fronte della sottoscrizione, le compagnie stanno progressivamente integrando requisiti di controlli preventivi specifici per l’esfiltrazione come condizione per la copertura, andando oltre i tradizionali backup e piani di recovery. Secondo Resilience Cybersecurity Predictions 2026, nel 2026 ci sarà un dibattito sempre più acceso su cosa sia etico, legale e assicurabile in materia di pagamento di riscatti per sopprimere la pubblicazione di dati già esfiltrati. È una questione aperta che potrebbe ridisegnare i confini della copertura nei prossimi anni.

Il ransomware senza cifratura non è una variante del ransomware classico: è un modello di business criminale strutturalmente diverso, che sfrutta le asimmetrie del quadro normativo, la natura non reversibile della pubblicazione dei dati e la paura del danno reputazionale come leva principale.

Come certificato dal Red Report 2026 di Picus Labs e confermato dai dati di sinistro di Resilience, l’era in cui il ransomware significava file cifrati e il recovery significava ripristino da backup si sta concludendo. La risposta difensiva deve evolversi di conseguenza: dalla protezione dell’operatività alla protezione del dato come asset a rischio intrinseco di esposizione permanente.

La domanda che i CISO devono porre oggi non è “Riusciamo a ripristinare i sistemi dopo un attacco?”, ma “Siamo in grado di rilevare e bloccare l’esfiltrazione di dati sensibili prima che raggiunga l’esterno del perimetro?”. È una domanda diversa, che richiede risposte diverse e, come documentato da Lorenzo Giustiniani nell’analisi sulla cybersecurity per le PMI italiane, risposte che molte organizzazioni italiane non hanno ancora costruito.