Nel primo trimestre del 2026, 2.122 aziende sono apparse nei siti di rivendicazione dei gruppi ransomware. È un dato in chiaroscuro perché corrisponde a -12,2% rispetto al record assoluto dell’ultimo trimestre 2025, ma è anche il secondo trimestre più alto mai registrato, con un +117% rispetto a fine 2024. L’informazione appare nel report The State of Ransomware – Q1 2026 di Check Point Research. È tuttavia da precisare che il primo trimestre del 2025 era stato gonfiato da una campagna straordinaria del gruppo Cl0p, che aveva mesos a segno circa 390 vittime. Escludendo questa anomalia, la crescita reale figura essere del 5,3%.

Il cambiamento più rilevante del periodo in esame riguarda la composizione dei gruppi: dopo due anni di frammentazione progressiva, l'ecosistema mostra un’inversione netta di rotta con i dieci gruppi più attivi che hanno rivendicato il 71% delle vittime. Un fattore determinante che ha spinto gli affiliati verso le piattaforme più strutturate e remunerative è stata probabilmente la pressione delle Forze dell'Ordine, unita alla competizione interna e all'instabilità degli operatori minori.

Il nuovo podio dei gruppi ransomware più attivi include Qilin, The Gentlemen e LockBit. Qilin si è riconferma per il terzo trimestre consecutivo come l'operazione ransomware più attiva, con la rivendicazione di 338 vittime. Al secondo posto si è insediato il gruppo in rapida ascesa The Gentlemen, che ha registrato un aumento del proprio volume da 40 vittime nel Q4 2025 a 166 nel Q1 2026.

I gruppi ransowmare più attivi nei primi tre mesi del 2026

Al quarto posto globale è tornato LockBit, che ha pubblicato 163 vittime nei primi tre mesi del 2026, con un aumento del 106% rispetto al Q4 2025. L’andamento degli attacchi fa pensare che il programma stia ricostruendo la propria base di affiliati e che ci sia un cambio strategico sulle preferenze geografiche: LockBit ha distribuito le vittime recenti in modo più equilibrato tra Europa, America Latina e altre regioni, invece che restare concentrato sugli USA come in passato.

Questa caratteristica non è peculiare, perché anche The Gentlemen segue uno schema simile: solo il 13% delle vittime attaccate dal gruppo ha sede negli Stati Uniti; l'attività in questo caso si è concentrata in Asia-Pacifico e America Latina.

Vale la pensa spendere qualche parola anche su DragonForce, che mantiene capacità tecniche genuine con supporto multi-piattaforma e un servizio di data audit che analizza dataset rubati superiori ai 300 GB per identificare le informazioni più preziose ai fini dell'estorsione. Sul fronte vittimologico, a subire il maggior numero di attacchi si riconfermano i settori con alta sensibilità ai tempi di inattività e ambienti complessi, mentre i vettori d’ingresso preferenziali sono i dispositivi esposti su internet (VPN, firewall, appliance di rete).