Nel 2024 i gruppi ransomware hanno incassato circa 813,55 milioni di dollari in pagamenti di riscatti: la cifra è in flessione del 35% rispetto al picco di 1,25 miliardi di dollari dell’anno precedente. Sulla carta questa sarebbe una buona notizia, perché da sempre gli esperti reputano che la profittabilità sia la maggiore leva di espansione degli attacchi. Il problema è che, nello stesso periodo, il numero totale di incidenti ransomware segnalati è cresciuto. Siamo pertanto di fronte a una situazione contraddittoria in cui il rapporto tra eventi e pagamenti è fortemente sbilanciato. I dati e la relativa analisi per comprendere le nuove dinamiche ransomware sono inclusi nel report 2025 Crypto Crime Report di Chainalysis.

Dal 2018 al 2023 il ransomware ha vissuto un’epoca di massimo splendore in termini di profitti, ma l’ultimo anno ha segnato un punto di svolta. Diversi fattori si sono concatenati: meno della metà degli incidenti denunciati ha portato a un pagamento effettivo da parte delle vittime. Vittime che peraltro sono sempre più resilienti perché dotate di backup immutabili con policy di recovery testate e documentate. Inoltre, è importante il ruolo dei Governi, con importanti azioni di disturbo a livello internazionale contro gruppi come LockBit e ALPHV/BlackCat e una maggiore attenzione normativa verso i servizi di riciclaggio delle crypto valute. Non ultimo, è da ricordare che molte compagnie assicurative hanno ristretto la copertura del pagamento ransomware, eliminandola o subordinandola alla presenza di piani di disaster recovery.

Secondo gli esperti, tutto questo ha spinto i threat actor globali, inclusi gli APT, gli affiliati ai servizi Ransomware-as-a-Service, i battitori liberi e i gruppi specializzati in estorsione dati, a ridefinire approcci e finalità. In linea generale sono accelerati i tempi delle trattative e l’esfiltrazione dei dati è diventata la principale leva per fare pressione sulle vittime. Questa strategia sta pagando? Nel 2024 non sembra. L’analisi della pipeline criminale, infatti, mostra che, nonostante le vittime pubblicate sui siti di rivendicazione abbiano superato qualsiasi precedente storico, la percentuale di chi paga continua a diminuire, con una netta inversione della curva storica.

Questo nonostante l’incremento delle piattaforme di leak attive, che nel 2024 erano più del doppio rispetto al 2023. Anzi, analizzando i dati pubblicati i ricercatori hanno riscontrato una forte ridondanza dei dati, con vittime riportate più volte, e talvolta casi completamente inventati e gonfiare i dati.

La situazione è tale da avere spinto molti gruppi criminali a rivedere il proprio modus operandi. Per esempio, il monitoraggio stretto dei servizi di riciclaggio ha spinto molti attaccanti a lasciare i proventi dei riscatti nei wallet personali invece che incassarli tramite piattaforme di exchange, per paura di essere individuati e arrestati. La prova è nei dati: nel 2024 l’uso degli exchange di criptovalute per il riciclaggio del denaro è calato dal 10-15% degli ultimi anni a valori residuali.

La pressione investigativa ha prodotto un altro effetto tangibile: il mercato del ransomware si è frazionato. Al posto di pochi gruppi dominanti c’è una costellazione di piccoli gruppi che colpiscono le PMI, con richieste di denaro modeste. Per parlare di cifre, il riscatto medio richiesto è incluso tra 150.000 e 250.000 dollari, mentre alle grandi imprese vengono chieste cifre a 7-8 zeri, spesso non corrisposte dalle vittime.

Alcune delle maggiori novità sono poi di carattere geografico. Una tempo era la Russia a dominare la scena, oggi emergono altri stati come per esempio l’Iran, da cui provengono almeno quattro varianti di ransomware da parte di un unico operatore con partnership internazionali. Inoltre, i meccanismi di rebranding, join e split nella scena RaaS danno vita a gruppi geograficamente globali.

La conclusione è che il modello di business del ransomware sembra avviarsi a una rimodulazione. La partita resta aperta, ma la buona notizia è che le difese tecnologiche, organizzative e legislative stanno finalmente intaccando in modo tangibile l’economia del ransomware.