L'autunno si conferma la stagione più pericolosa per gli attacchi ransomware, con un'impennata del 41% registrata a ottobre rispetto al mese precedente. Ma ciò che preoccupa maggiormente gli esperti di sicurezza informatica non è solo l'aumento numerico degli attacchi, quanto piuttosto un fenomeno completamente nuovo: la nascita di vere e proprie alleanze strategiche tra gruppi criminali, una sorta di "asse del male digitale" che sta ridisegnando il panorama delle minacce cyber. Mentre le aziende europee e nordamericane si preparano alle festività natalizie, i ricercatori avvertono che il periodo peggiore deve ancora arrivare.
Le nuove dinamiche del crimine informatico organizzato
A ottobre 2025 sono stati documentati 594 attacchi ransomware, un numero che evidenzia come il trend estivo di relativa stabilità sia ormai un ricordo. Il gruppo Qilin ha guidato questa ondata criminale con 170 attacchi (pari al 29% del totale), seguito da Sinobi e Akira, ciascuno responsabile del 15% degli episodi. Questa concentrazione di attività nelle mani di pochi attori principali racconta solo una parte della storia.
Secondo l'analisi di NCC Group, il vero cambiamento qualitativo riguarda la collaborazione senza precedenti tra organizzazioni criminali che in passato operavano in modo indipendente. Il ritorno sulla scena di LockBit 5.0, dopo le operazioni di polizia che avevano smantellato le versioni precedenti, ha segnato l'inizio di questa nuova era: il gruppo ha infatti stretto accordi con DragonForce e Qilin, creando una rete integrata per la condivisione di strumenti, infrastrutture e tattiche d'attacco.
Il settore industriale nel mirino
L'industria manifatturiera ha pagato il prezzo più alto, con 167 attacchi che rappresentano il 28% del totale mensile. Il settore dei beni di consumo, che include automotive, retail e tempo libero, ha subito 124 attacchi, mentre la sanità ne ha contati 64. Dal punto di vista geografico, il Nord America rimane l'obiettivo prediletto con il 62% degli attacchi, seguito dall'Europa con il 17% e dall'Asia con il 9%.
La ricerca annuale di Guidepoint Security rivela un dato allarmante: nonostante il numero di vittime si mantenga stabile tra 1.500 e 1.600 per trimestre dall'ultimo quadrimestre del 2024, il numero di gruppi ransomware attivi è cresciuto del 57% rispetto all'anno precedente. Questa proliferazione è dovuta principalmente all'abbassamento delle barriere d'ingresso nel crimine informatico: la diffusione online di builder ransomware ha permesso anche a criminali con competenze tecniche limitate di lanciare attacchi sofisticati.
Quando la criminalità diventa collaborativa
L'alleanza tra LockBit, DragonForce e Qilin non è solo una questione operativa, ma rappresenta una strategia di marketing criminale. NCC Group sottolinea come questa partnership serva a LockBit per ricostruire la propria reputazione dopo le operazioni di contrasto delle forze dell'ordine, dimostrando agli affiliati potenziali – i criminali che utilizzano questi servizi pagando una percentuale dei riscatti – che l'organizzazione è ancora operativa e influente.
Anche se non sono ancora stati documentati casi concreti di attacchi congiunti, questa struttura collaborativa facilita il reclutamento di nuovi affiliati e aumenta l'efficacia complessiva delle operazioni criminali. Nel frattempo, nuovi attori come The Gentlemen hanno fatto il loro ingresso sulla scena con 21 attacchi rivendicati contro istituzioni sanitarie, società di servizi finanziari e aziende IT.
L'evoluzione delle tecniche d'attacco
L'analisi trimestrale di Rapid7 documenta come il numero di gruppi ransomware attivi sia passato da 76 nel primo trimestre a 65 nel secondo, per poi schizzare a 88 nel terzo trimestre del 2025. Oltre alle alleanze, i ricercatori identificano l'innovazione tattica come fattore chiave: attacchi fileless (senza file), estorsione singola (furto dati senza crittografia), e addirittura servizi di supporto per affiliati dove criminali esperti negoziano i riscatti per conto di attaccanti meno esperti.
Coveware, azienda specializzata nella risposta alle estorsioni informatiche, evidenzia come i confini tra le diverse metodologie di intrusione stiano diventando sempre più sfumati. Gli attaccanti non si limitano più a violare direttamente gli account, ma manipolano le persone affinché concedano loro l'accesso: tecniche come l'impersonificazione del supporto SaaS o l'abuso delle procedure di helpdesk per ottenere autorizzazioni OAuth dimostrano come la fiducia umana sia diventata un vettore di penetrazione tecnologica.
Il quarto trimestre: tempesta perfetta in arrivo
Gli esperti concordano sul fatto che il peggio debba ancora arrivare. Il quarto trimestre dell'anno coincide tradizionalmente con il picco di attività criminale informatica, complici eventi come Black Friday, Cyber Monday e le festività natalizie. In questo periodo la spesa dei consumatori raggiunge l'apice e le aziende sono spesso operate con personale ridotto, creando opportunità ottimali per i cybercriminali.
Matt Hull, responsabile della threat intelligence di NCC Group, sottolinea che nel corso del 2025 sono state identificate oltre 200 varianti di ransomware differenti. "Con l'accelerazione delle attività ransomware e gli attacchi su larga scala che causano disruzioni economiche e operative generalizzate, il rafforzamento della sicurezza è più necessario che mai", avverte Hull. "Questo è il momento di rivedere i sistemi di sicurezza e testare i piani di risposta agli incidenti."
Nuove frontiere della vulnerabilità
L'analisi del terzo trimestre di Coveware conferma Akira e Qilin come le varianti ransomware più attive, evidenziando anche una tendenza emergente: alcuni gruppi stanno abbandonando completamente la crittografia dei dati, concentrandosi esclusivamente sul loro furto e sulla minaccia di pubblicazione. Le VPN, i gateway cloud e le integrazioni SaaS rimangono i principali vettori di compromissione delle credenziali.
Il trend ascendente registrato tra settembre (+28% rispetto ad agosto) e ottobre (+41% rispetto a settembre) arriva dopo mesi di relativa stabilità tra aprile e agosto, con una leggera diminuzione persino registrata tra aprile e giugno. Questo schema stagionale, con il risveglio delle attività criminali alla fine dell'estate nell'emisfero settentrionale, suggerisce che i gruppi ransomware seguano cicli operativi deliberati, intensificando gli sforzi proprio quando le organizzazioni sono più vulnerabili.