Sul ransomware è meglio non abbassare la guardia, perché questa minaccia continua a spopolare e perché davvero potrebbe colpire chiunque. Secondo il nuovo report di Yarix (divisione di Var Group), l’Italia nel 2025 è uscita dalla “top-5” dei Paesi più colpiti da attacchi “con ricatto”, dopo il quarto posto del 2024: adesso siamo sesti, dopo Stati Uniti, Canda, Germania, Regno Unito e Francia. Ma il medesimo studio, basato sull’analisi di oltre 522 mila eventi di sicurezza gestiti dal Security Operations Center di Yarix, testimonia una crescita degli attacchi ransomware a livello globale pari al 51% (2025 versus 2024), considerando quelli noti o rivendicati dagli autori.
Lo scenario sta cambiando e il ransomware è tutt’altro che una minaccia statica, come evidenziato anche da altri recenti studi. Yarix ha monitorato oltre 7.100 attacchi di questo tipo rivendicati pubblicamente e ha mappato 124 gruppi ransomware attivi. Le campagne si polarizzano tra alcuni collettivi ben strutturati e una sempre più ampia platea di piccoli gruppi o attori singoli: i primi dieci sono responsabili di circa il 56% degli attacchi ransomware del 2025, ma sono anche emerse decine di nuovi gruppi con impatto più limitato.
Si conferma, inoltre, un fenomeno ormai assodato, ovvero che il ransomware non colpisce più solo le grandi aziende ma anche e soprattutto le medie e le piccole, e quest’ultime sono il target del 67% dei casi rilevati da Yarix. La distribuzione geografica degli attacchi in Italia rispecchia il tessuto produttivo nazionale: in testa Lombardia (che concentra il 36% degli attacchi dello scorso anno), Emilia-Romagna (13%), Lazio(10%), Veneto (10%) e Piemonte (8%).
Catene di attacco più lunghe e complesse
Allargando lo sguardo a tutte le tipologie di attacco, il Soc di Yarix ha osservato nel 2025 circa 522 mila eventi di sicurezza (contro i 485mila del 2024), dei quali circa 158 mila si sono evoluti in incidenti veri e propri. Un dato significativo è l’aumento degli eventi di una certa gravità, cresciuti del 62% anno su anno.
Coerentemente con questo dato, nel 2025 si è anche vista una chiara concentrazione degli attacchi verso il settore manifatturiero (il 17,9% degli eventi di sicurezza ha riguardato quest’ambito) e quello informatico (8,3%), che meno di altri possono permettersi interruzioni di servizio. Per il manifatturiero, inoltre, pesa la presenza di sistemi produttivi obsoleti e la dispersione delle risorse IT e OT su più nodi, che aumentano la superficie di esposizione. Il settore IT, invece, è attrattivo per gli attaccanti per via della quantità e sensibilità dei dati trattati, da un alto, e per il gran numero di servizi esposti.
Al di là dei numeri, Yarix ha osservato le caratteristiche qualitative degli attacchi, che stanno evolvendo verso modelli operativi “più distribuiti, automatizzati e adattivi, in cui gli attori malevoli sfruttano in modo sempre più efficace la combinazione di vulnerabilità note, credenziali compromesse e superfici esposte”, ha spiegato l’azienda. Ciò si traduce in una maggiore velocità dell’attacco, o meglio di un accorciamento dei tempi tra l’accesso iniziale e il momento in cui si produce un impatto. Diventa, quindi, sempre più cruciale individuare tempestivamente i segnali, anche deboli, di una potenziale minaccia.
Altra tendenza è la crescita delle tecniche di accesso iniziale basate su abuso di credenziali valide, su servizi esposti su Internet e su phishing sempre più sofisticato. Nelle statistiche aumentano anche i casi di catene di attacco articolate, in cui più tecniche vengono combinate per aggirare i controlli di sicurezza.
“Il 2025 rappresenta un passaggio di maturità per il contesto cyber: non ci troviamo più soltanto di fronte a una crescita dei numeri, ma a un cambiamento profondo delle modalità con cui la minaccia si manifesta”, ha commentato Mirko Gatto, head of cybersecurity di Var Group. “Gli attacchi sono diventati più veloci, frammentati e capaci di adattarsi rapidamente, sostenuti da un ecosistema criminale ormai strutturato e dall’accesso sempre più diffuso a strumenti avanzati, compresi quelli basati sull’intelligenza artificiale. In questo quadro, il ransomware continua a essere uno degli strumenti principali di pressione economica, mentre la componente geopolitica incide in modo crescente anche sul panorama italiano, rendendo il rischio informatico strettamente legato agli equilibri globali. Per le organizzazioni, il cambiamento più significativo riguarda il ruolo stesso della sicurezza, che evolve da funzione prevalentemente tecnica a fattore strategico. In questo scenario, il vero vantaggio competitivo non sarà tanto evitare l’attacco, quanto essere in grado di governarlo, ridurne l’impatto e trasformarlo in un’opportunità di miglioramento continuo”.
L’hacktivismo colpisce l’Italia
Nel 2025 l’attività di hacktivismo contro obiettivi italiani è stata particolarmente intensa, tra attacchi DDoS e operazioni di defacement utilizzati come strumenti di pressione e propaganda. Le campagne hanno avuto momenti di picco, in corrispondenza di eventi geopolitici ad alta visibilità, in particolare modo legati alla guerra tra Russia e Ucraina (specie nei giorni di forte attenzione mediatica al ruolo dell’Italia nella Nato tra giugno e luglio, e poi durante la Conferenza sulla Ripresa dell’Ucraina ospitata a Roma) e alla Palestina. Nei giorni precedenti all’anniversario dell'eccidio di Hamas del 7 ottobre, ci sono stati attacchi DDoS di guppi pro-Israele verso le università di Roma e Bologna, ma si sono viste anche azioni di hacktivismo di segno opposto, con rivendicazioni che hanno fatto riferimenti ricorrenti alla Sumud Flotilla, citata come simbolo di resistenza.