Un aumento del 146% nei tentativi di attacco ransomware bloccati dalla piattaforma Zero Trust Exchange di Zscaler in 12 mesi; il furto di 238 terabyte di dati sensibili da parte dei principali gruppi criminali. Sono questi i numeri più impressionanti che emergono dallo Zscaler ThreatLabz 2025 Ransomware Report, che analizza il periodo incluso tra aprile 2024 e aprile 2025 e ne dipinge un panorama in rapido deterioramento. Lato cybercrime, il ransomware ha perso sempre più la sua natura originaria, per trasformarsi in un meccanismo di estorsione basato sulla minaccia di divulgazione dei dati sottratti (gli attacchi pubblicizzati nei cosiddetti leak site sono cresciuti del 70% nel periodo di analisi), alla luce del successo della leva psicologica sulle vittime.

Inoltre, è evidente la corsa a volumi di esfiltrazione inediti: i 10 principali gruppi ransomware hanno sottratto 238 terabyte nell’arco di un anno, contro i 123 dell’anno precedente. Una crescita del 92% che conferma come la priorità sia il controllo dei dati, non la paralisi dei sistemi.

I settori maggiormente colpiti

Il report elenca i comparti più bersagliati dalle operazioni ransomware: guidano la classifica manifatturiero (1.063 attacchi), tecnologico (922) e sanitario (672). La scelta dei target non è casuale: imprese manifatturiere globalizzate hanno supply chain estese, le aziende tech sono ricche di proprietà intellettuali, gli ospedali custodiscono dati sanitari di valore strategico: in tuti i casi un’interruzione o una fuga di dati può mettere in ginocchio l’attività nell’arco di poche ore.

Esfiltrazione dei dati da parte dei principali gruppi ransomware

Il dato che più sorprende è quello del settore Oil & Gas, che registra un incremento record del 935% di attacchi in 12 mesi. Una vera esplosione che, secondo gli analisti Zscaler, si spiega con il crescente livello di automazione delle infrastrutture critiche, che ha ampliato a dismisura la superficie di attacco che comprende anche architetture legacy e che purtroppo spesso è protetta da procedure e soluzioni di sicurezza datate.

Dal punto di vista geografico, i dati raccolti da Zscaler sono in linea con le aspettative: circa la metà degli incidenti si verifica negli Stati Uniti (3.671 episodi), a notevole distanza seguono Canada (5%) e Regno Unito (4%). L’Europa appare frammentata con percentuali minori, ma comunque consistenti in termini assoluti.

I gruppi dominanti e le new entry

Nel contesto di un ecosistema criminale sempre più frammentato e competitivo, pochi gruppi ransomware riescono a dettare il ritmo. RansomHub si conferma il più attivo, con 833 vittime pubblicate. Seguono Akira con 520 casi attribuiti e una crescente rete di affiliati e broker di accesso, quindi Clop, con 488 episodi. Quest’ultimo è specializzato negli attacchi alla supply chain e nell’abuso di vulnerabilità nei software diffusi su larga scala. L’ultimo anno ha visto poi emergere 34 nuove famiglie di ransomware, che portano il numero complessivo dei gruppi tracciati da Zscaler a 425. Invariato resta il modello operativo scalabile del Ransomware-as-a-Service.

Attacchi ransomware per settore in base ai siti di rivendicazione

Impossibile ignorare la tendenza del ricorso a strumenti di Intelligenza Artificiale generativa da parte dei gruppi ransomware. In particolare, lo sfruttamento di modelli di AI consente di perfezionare e rendere più persuasivi i testi delle email di phishing, generare con maggiore efficacia contenuti di social engineering e automatizzare il riconoscimento dei dati di maggior valore esfiltrati. Questo rafforza la capacità degli attaccanti di personalizzare le campagne e ridurre gli errori che in passato potevano tradire le attività illecite.

La difesa nell’era dello Zero Trust

Il report di ThreatLabz insiste sulla necessità di un cambio di passo strutturale nella protezione aziendale, con l’abbandono delle architetture di sicurezza basate su modelli tradizionalia favore di una filosofica Zero Trust nativa cloud arricchita da moduli di AI per ridurre al minimo la superficie d’attacco, impedire movimenti laterali all’interno delle infrastrutture e soprattutto contenere l’uscita dei dati.