La frammentazione dei ransomware raggiunge il picco, LockBit torna in forze
Frammentazione dell'ecosistema ransomware: un fenomeno allarmante nel 2025
La frammentazione dei ransomware raggiunge il suo picco, LockBit torna in forze. Entrando nel 2025, il panorama dei ransomware si è evoluto drasticamente, raggiungendo un punto critico. frammentazione senza precedentiGruppi informatici tradizionali come REvil o Conti si sono sciolti o riorganizzati, ma hanno lasciato un vuoto che è stato rapidamente colmato da decine di gruppi nuovi o rivitalizzati. Tra questi, Lockbit ha fatto un ritorno esplosivo, riemergendo con tattiche migliorate e una presenza aggressiva nella comunità dei criminali informatici.
Cos'è la frammentazione del ransomware e perché è importante?
La frammentazione nel contesto del ransomware si riferisce a:
- Suddividere grandi gruppi in cellule più piccole e decentralizzate,
- Creazione di nuove varianti di ransomware da parte di singoli hacker o hacktivisti,
- Maggiore accessibilità della tecnologia Ransomware-as-a-Service (RaaS).
Questa frammentazione crea una rete imprevedibile ed estremamente pericolosa di aggressori che:
- Evita più facilmente il rilevamento
- Attacca più bersagli contemporaneamente
- Utilizza tecniche varie e più difficili da contrastare
Statistiche preoccupanti del 2025:
- su 2.800 varianti uniche di ransomware individuati solo nei primi quattro mesi dell'anno
- Il numero di attacchi di doppia estorsione è aumentato del 38% rispetto al 2024
- Gli attacchi ai sistemi sanitari sono aumentati 65%, diventando il principale settore target
LockBit: il ritorno di un colosso nel mondo del cybercrime
LockBit, uno dei gruppi ransomware più noti degli ultimi anni, sta riemergendo sotto i riflettori degli analisti della sicurezza con una nuova versione del suo strumento: LockBit-NG (prossima generazione)Questa nuova iterazione porta con sé alcune innovazioni preoccupanti:
- Meccanismo di crittografia autoadattativo avanzato
- Rilevamento automatico dei backup locali per l'eliminazione
- Funzionalità di intercettazione della rete interna tramite PowerShell e WMI
LockBit-NG opera secondo un classico modello RaaS, fornendo l'infrastruttura necessaria ad altri hacker in cambio di una quota dei profitti. Questo approccio contribuisce direttamente a proliferazione del fenomeno della frammentazione.
La nuova strategia di LockBit: meno rumore, più efficienza
Rispetto alle vecchie versioni, la nuova LockBit sottolinea:
- Filtraggio degli obiettivi: esclude le piccole reti senza potenziale finanziario
- Crittografia silenziosa: esfiltrazione iniziale dei dati, quindi crittografia in background
- Consegna tramite spear-phishing
In che modo il darknet contribuisce alla crescita della frammentazione del ransomware?
Le piattaforme su Web scuro gioca un ruolo cruciale in questa nuova ondata di frammentazione. Sui forum dedicati, ora vendono:
- Kit ransomware automatizzati, facilmente personalizzabili
- Server di comando e controllo (C2) chiavi in mano
- Accesso alle infrastrutture compromesse (Initial Access Brokers)
Anche gli hacker amatoriali possono lanciare attacchi sofisticati senza conoscenze approfondite, con conseguenti:
- Numero crescente di attacchi falliti ma distruttivi
- Pressione crescente sui team IT
- Diversificazione dei vettori di minaccia
Chi sono le vittime preferite della nuova ondata di ransomware?
I gruppi nuovi e decentralizzati evitano i rischi maggiori e scelgono gli obiettivi preciso, localizzato dove il livello di protezione è inferiore:
- Ospedali regionali e cliniche private
- Aziende di trasporto e logistica
- Autorità locali e piccole scuole
- Studi contabili e studi legali
Queste organizzazioni spesso hanno:
- Vecchia infrastruttura
- Budget IT limitati
- Procedure di backup e ripristino scadenti
Misure di protezione per le organizzazioni nel 2025
Di fronte a questa varietà di minacce, qualsiasi azienda dovrebbe rivedere il proprio piano di protezione informatica. Le raccomandazioni principali includono:
- Implementazione di un sistema avanzato di rilevamento e risposta (EDR/XDR)
- Segmentazione delle reti interne e controllo rigoroso dei privilegi
- Backup isolato (air-gapped) e test regolari di ripristino dei dati
- Campagne di formazione regolari sulla sicurezza informatica per i dipendenti
- Simulazione periodica di attacchi ransomware (scenari tabletop)
Zero Trust: la filosofia difensiva del futuro
Adottare un modello di tipo Zero Trust assumere:
- Verifica continua dell'identità e delle azioni di tutti gli utenti
- Limitare l'accesso solo alle risorse contestualmente necessarie
- Monitoraggio del comportamento e auto-riparazione automatica
Il futuro del ransomware: cosa possiamo aspettarci?
L'attuale frammentazione non sembra rallentare. Gli analisti ritengono che continueremo a vedere:
- Integrazione di malware con intelligenza artificiale generativa per un phishing perfettamente adattato al target
- Altri attacchi alla supply chain che sfrutta le partnership tra aziende
- L'ascesa delle criptovalute oscure per i pagamenti più difficili da tracciare
Da una prospettiva aziendale e istituzionale, è fondamentale adottare un approccio proattivo e collaborativo. L'individuazione diventa insufficiente senza un solido piano di prevenzione e risposta.
Conclusione: adattamento continuo in uno scenario informatico volatile
La frammentazione del panorama ransomware non rappresenta solo una nuova fase, ma un cambiamento radicale. LockBit e altri gruppi hanno dimostrato che flessibilità e decentralizzazione sono armi pericolose nelle mani dei criminali informatici. Allo stesso tempo, una difesa efficace richiede un approccio integrato, personalizzato e costantemente aggiornato.
Hai sicuramente capito quali sono le novità del 2025 in tema di cybersecurity, se sei interessato ad approfondire le tue conoscenze in materia ti invitiamo ad esplorare la nostra offerta formativa dedicata alla cybersecurity nella categoria Cybersecurity. Che tu sia alle prime armi o voglia migliorare le tue competenze, abbiamo il corso adatto a te.
