Ransomware nel 2025: nuovi modelli di estorsione

Introduzione

Il ransomware continua ad essere una delle principali minacce per aziende, organizzazioni pubbliche e persino individui. Ma nel 2025 non si tratta più soltanto di cifrare dati e chiedere un riscatto: gli attori malintenzionati hanno affinato le loro tattiche, adottando modelli di estorsione più sofisticati, multilivello e che generano pressioni non solo tecniche ma anche reputazionali, legali ed economiche.

Modelli di estorsione che stanno emergendo

Ecco i principali modelli che stanno prendendo piede nel panorama ransomware del 2025:

1. Double Extortion (“doppia estorsione”)
   Non basta più cifrare i dati: gli attaccanti prima esfiltrano (rubano) dati sensibili, poi richiedono il riscatto sia per il decrittamento sia per non pubblicare o vendere i dati rubati. Questo modello è ormai lo standard per molte gang ransomware.
2. Triple Extortion
   Un passo oltre: si aggiungono elementi come attacchi DDoS, minaccia alla reputazione tramite divulgazione pubblica, coinvolgimento di fornitori, clienti o partner dell’azienda vittima. In pratica, l’estorsione non colpisce solo la vittima diretta, ma si allarga a chi ha rapporti commerciali o di fiducia con essa.
3. Estorsione senza cifratura (pure extortion / encryption-less ransomware)
   In questo modello i criminali non cifrano i file (o non lo fanno subito) ma si concentrano al massimo sulla minaccia di rendere pubblici i dati esfiltrati se non viene pagato un riscatto. È meno “rumoroso” (dal punto di vista tecnico), ma molto efficace come leva per la pressione psicologica e reputazionale.
4. Uso dell’Intelligenza Artificiale e dei modelli LLM
   I ransomware del futuro cercano di sfruttare AI / LLM (Large Language Models) per automazione, generazione di phishing più mirato, personalizzazione dell’estorsione, evasione di rilevamento. Ad esempio, il report di Akamai evidenzia come alcuni gruppi usano GenAI per scrivere codice malware o potenziare le campagne di social engineering.
   C’è anche ricerca accademica su prototipi di ransomware orchestrati da LLM (che eseguono, ricompongono il codice in modo adaptivo) che mostrano come il “malware inteligente” sarà una sfida reale.
5. Aumento delle richieste medie di riscatto e pressione finanziaria e reputazionale
   I dati indicano che il valore medio dei riscatti è salito—non solo per cifratura, ma soprattutto nei casi dove la fuga dei dati è usata come leva. Tra le tattiche c’è anche la “minaccia di rivelare” cronologie, segreti industriali, dati clienti, oppure creare un conto alla rovescia (deadline) perché l’azienda sia sotto pressione di tempo.
6. Leak site / pubblicazione dati / vendite sul dark web
   Divulgazione parziale dei dati come prova, vendita dei dati rubati se il riscatto non viene pagato, uso pubblico dei leak per scoraggiare il rifiuto. Questo avviene sempre più frequentemente, come elemento centrale dell’estorsione.

Implicazioni per le aziende

Questi nuovi modelli di estorsione comportano rischi e sfide diverse rispetto al passato. Ecco cosa le aziende devono considerare:

• Backup non è più sufficiente da solo: anche se hai ottimi backup, il furto dei dati può comunque causare danni gravissimi, perché puoi essere esposto a pubblicazioni o vendite dei dati o a pressioni reputazionali.
• Gestione della reputazione: preparare piani di comunicazione, capire come rispondere mediaticamente, legale e regolamentare se i dati estratti diventano pubblici.
• Interventi rapidi e detections precoce: ridurre al minimo il tempo di latenza tra compromissione, identificazione e risposta. Monitorare leak site, attività sospette.
• Protezione della supply chain e dei fornitori: spesso gli attacchi partono da vulnerabilità nei fornitori o partner, che hanno accessi, credenziali privilegiate o dati sensibili condivisi.
• Policy di extorsione e decisione sul pagamento: alcune aziende stabiliscono politiche chiare su sé pagare o meno, considerando implicazioni legali, costi reputazionali, rischio ricorsivo.
• Uso delle tecnologie emergenti: AI, threat intelligence, automazione, strumenti di anonimizzazione/segmentazione, che possono aiutare a ridurre gli attacchi o mitigare gli effetti.

Come prepararsi

Ecco un approccio pratico per definire o aggiornare la tua strategia contro ransomware nel 2025:

1. Valutazione del rischio: identificare asset più critici, dati sensibili, possibili vettori di attacco (servizi esposti, vulnerabilità note, accessi RDP, credenziali condivise).
2. Aumentare la resilienza dei dati: policy 3-2-1 per backup; verificare encryptions; test di recovery; backup offsite; versioning; protezione delle copie di backup (immutabilità, air-gap).
3. Monitoraggio continuo e threat intelligence: tenere d’occhio siti di leak, gruppi ransomware attivi, indicatori di compromissione, attacchi su partner/settori simili.
4. Policy per incident response e gestione estorsioni: chi decide se pagare, come, coinvolgimento legale, comunicazione con stakeholder, pianificazione preventiva.
5. Formazione specifica per phishing & social engineering: poiché molti attacchi iniziano con phishing mirato, furto di credenziali o inganno, serve formazione che mostri scenari reali e uso di tattiche sofisticate (deepfake, AI, impersonation).
6. Segmentazione della rete e gestione accessi privilegiati: ridurre la capacità di propagazione di un attacco; limitare privilegi; uso di MFA obbligatorio; controlli sui privilegi amministrativi; rendere difficile il movimento laterale.

Conclusione

Nel 2025, il ransomware non è mai stato così dinamico: non basta proteggere i file, bisogna difendere dati, reputazione, relazioni, fiducia. I modelli di estorsione si evolvono per mettere le vittime sotto pressione non solo tecnica, ma legale, economica e sociale. Le aziende che non aggiornano le loro difese rischiano non solo danni economici, ma perdite di credibilità difficili da sanare.