Negli ultimi mesi il ransomware è tornato a rappresentare una delle minacce più imprevedibili e dannose per le organizzazioni di ogni settore. L’emergere di Qilin, un collettivo sempre più strutturato e aggressivo, ha contribuito a ridefinire il panorama del cybercrime globale, introducendo dinamiche tecniche e operative che stanno mettendo in difficoltà anche le difese più avanzate.
Una recente analisi di Cisco Talos evidenzia come Qilin abbia intensificato le proprie attività nella seconda metà del 2025. Parallelamente, altri report internazionali confermano una trasformazione significativa dell’ecosistema ransomware, caratterizzata da attacchi più mirati, nuove tattiche di esfiltrazione e una crescente pressione sulle aziende che operano in settori strategici.
Una minaccia in rapida evoluzione
Identificato per la prima volta nel 2022, Qilin è rapidamente passato dall’essere un collettivo emergente a uno dei protagonisti più influenti nel panorama ransomware. La sua crescita è legata alla trasformazione in una piattaforma ransomware-as-a-service strutturata, capace di fornire a criminali affiliati strumenti modulari, documentazione tecnica e aggiornamenti continui.
Questo modello industrializzato spiega l’aumento significativo degli attacchi osservati da Cisco Talos nella seconda metà del 2025. In diversi mesi Qilin ha superato le 100 compromissioni, con una distribuzione geografica concentrata soprattutto in Nord America ed Europa. Particolarmente colpito il settore manifatturiero, che da solo rappresenta circa un quarto delle vittime totali, seguito dai servizi professionali e dal commercio all’ingrosso.
La capacità del gruppo di adattarsi a contesti tecnologici diversi, unitamente all’ampia disponibilità di strumenti per gli affiliati, ha reso Qilin una minaccia trasversale, in grado di colpire tanto piccole realtà quanto aziende di grandi dimensioni.
Le tecniche operative
L’efficacia delle operazioni Qilin deriva dalla flessibilità e dalla natura modulare della catena d’attacco. Le intrusioni iniziano spesso con la compromissione di sistemi di accesso remoto non adeguatamente protetti o con lo sfruttamento di vulnerabilità note per le quali non sono state applicate le patch.
Una volta ottenuto l’accesso, gli attaccanti si muovono lateralmente utilizzando strumenti legittimi presenti nei sistemi operativi, rendendo difficile la rilevazione tramite difese tradizionali. Durante questa fase, secondo Cisco Talos, vengono spesso utilizzate applicazioni comuni per visualizzare manualmente i dati esfiltrati e selezionare quelli ritenuti più sensibili.
La strategia della doppia estorsione prevede quindi l’esfiltrazione dei dati seguita dalla cifratura, eseguita da due componenti distinte: una dedicata alla propagazione e una alla cifratura. I dati sottratti vengono poi pubblicati su siti nel dark web basati su infrastrutture offshore, a volte accompagnati da istruzioni per contattare un referente degli attaccanti, con l’obiettivo di facilitare la negoziazione del riscatto.
L’assenza di strumenti pubblici di decrittazione per le varianti più recenti conferma la capacità del gruppo di rinnovare continuamente il proprio arsenale, aumentando la complessità delle attività di recovery.
Il mercato del ransomware
Il 2025 segna un punto di svolta per l’economia del ransomware. Secondo un recente rapporto Coveware, nel terzo trimestre dell’anno solo il 23% delle organizzazioni colpite ha pagato il riscatto, il valore più basso degli ultimi anni. Questo dato, pur non indicando una riduzione della minaccia, evidenzia una maggiore maturità delle aziende nella gestione degli incidenti e un miglioramento della capacità di resistere alla pressione estorsiva.
Parallelamente, si registra una diminuzione degli importi medi versati, soprattutto negli attacchi ad alto volume rivolti alle PMI, dove le richieste sono più contenute e la probabilità di pagamento è inferiore rispetto al passato. Le intrusioni mirate verso grandi aziende restano invece potenzialmente più remunerative, ma richiedono un livello di impegno e competenze tecniche maggiore.
L’ecosistema criminale si sta quindi ridefinendo lungo due linee principali: da una parte gruppi che puntano alla quantità con campagne massive e automatizzate, dall’altra collettivi più strutturati che investono in attacchi mirati e ad alto valore. A fare la differenza, in entrambi i casi, è la capacità di esercitare pressione attraverso la minaccia di pubblicazione dei dati, ormai parte integrante della strategia estorsiva.
Insider, velocità, precisione
Il miglioramento delle difese tecniche ha spinto molti gruppi ransomware a sviluppare nuove strategie, spesso incentrate sul fattore umano. I tentativi di coinvolgere dipendenti interni attraverso offerte economiche sono sempre più frequenti. In cambio di credenziali o accesso ai sistemi aziendali, alcuni collettivi offrono percentuali del riscatto a personale con privilegi elevati.
Parallelamente, la velocità degli attacchi è aumentata: la finestra temporale tra compromissione iniziale ed esfiltrazione si è ridotta, rendendo più difficile intervenire in tempo. Le negoziazioni con le vittime sono più rapide e più aggressive, segno di una maggiore professionalizzazione del modello operativo.
Questa evoluzione evidenzia un cambiamento significativo: non si tratta più di attacchi opportunistici, ma di operazioni che combinano capacità tecniche, tattiche psicologiche e sfruttamento delle vulnerabilità umane.
I vettori più frequenti nel 2025
Le analisi condotte nel 2025 mostrano alcuni vettori ricorrenti nella maggior parte degli incidenti ransomware.
Il più comune resta la compromissione degli accessi remoti tramite VPN, RDP o cloud gateway non protetti o non aggiornati. La facilità con cui questi sistemi possono essere sfruttati rende il lavoro degli attaccanti più semplice, soprattutto in contesti dove mancano controlli di autenticazione forti e segmentazione della rete.
L’esfiltrazione dei dati è ormai una costante: gli attaccanti eseguono una ricognizione interna finalizzata a individuare repository critici, per poi sottrarre informazioni sensibili prima della cifratura. Strumenti legittimi vengono utilizzati per mascherare le attività, rendendo complesso il rilevamento tramite sistemi basati su firme.
A livello globale, i collettivi più attivi includono gruppi orientati al volume come Akira e gruppi più specializzati come Qilin, affiancati da altri come Lone Wolf, Lynx, ShinyHunters e KAWA4096. Pur operando in modo diverso, condividono la capacità di combinare vulnerabilità note, automazione e tecniche di living-off-the-land.
Difendersi dalle nuove minacce
La difesa contro ransomware avanzati richiede un approccio integrato che unisca prevenzione, visibilità e capacità di risposta. Un elemento centrale è la gestione tempestiva delle patch, in particolare per i sistemi esposti e per i servizi di accesso remoto, che rappresentano la porta d’ingresso più sfruttata dagli attaccanti.
La protezione delle identità digitali riveste un ruolo altrettanto cruciale. L’adozione della multifactor authentication e di controlli granulari sugli accessi, supportati da tecnologie Cisco integrate nelle architetture Hypergrid, consente di ridurre sensibilmente il rischio associato a credenziali compromesse.
La segmentazione della rete limita i movimenti laterali, mentre il monitoraggio continuo permette di rilevare attività sospette anche quando gli attaccanti utilizzano strumenti legittimi. Le piattaforme Cisco adottate da Hypergrid offrono visibilità centralizzata, capacità di correlazione degli eventi e analisi avanzata dei comportamenti.
La gestione dei backup richiede nuove attenzioni: copie offline, test periodici dei ripristini e isolamento delle infrastrutture di backup sono elementi indispensabili per garantire continuità operativa in caso di cifratura dei dati.
Infine, la formazione delle persone rimane una componente fondamentale. Le tattiche di ingegneria sociale mostrano quanto sia importante affiancare alle misure tecniche un programma di sensibilizzazione continuo e strutturato.
Cosa devono aspettarsi le aziende italiane
Le tendenze osservate indicano che il 2026 sarà caratterizzato da una maggiore pressione verso settori produttivi, infrastrutture OT e supply chain complesse, aree tipicamente sensibili agli attacchi ransomware. La crescente interconnessione tra sistemi, unita alla presenza di asset difficili da aggiornare, aumenta la superficie di rischio per molte realtà italiane.
Le estorsioni diventeranno più sofisticate e si focalizzeranno sempre più sull’impatto reputazionale, con modelli di pubblicazione dei dati mirati e selettivi. Allo stesso tempo, la rapidità delle campagne richiederà maggiore attenzione al monitoraggio continuo. Le tecnologie Cisco integrate nei servizi Hypergrid offrono un vantaggio concreto grazie alla capacità di individuare comportamenti anomali e correlare eventi in tempo reale.
Il contesto normativo, inoltre, porterà a una maggiore attenzione verso la governance della sicurezza e la gestione strutturata degli incidenti. Le organizzazioni che investiranno in architetture integrate, visibilità centralizzata e processi maturi saranno in una posizione più solida per affrontare lo scenario emergente.
L’ascesa di Qilin consolida un dato ormai evidente: il ransomware si è trasformato in un fenomeno industriale, sostenuto da piattaforme RaaS mature e da un ecosistema criminale in continua evoluzione. Le campagne non sono più improvvisate, ma operazioni strutturate che combinano competenze tecniche, velocità operativa e tattiche psicologiche.
Per affrontare minacce di questo tipo non bastano più strumenti isolati. Serve una strategia di sicurezza integrata, in grado di proteggere identità, reti e dati in modo coordinato. L’adozione di tecnologie Cisco all’interno delle architetture Hypergrid permette alle aziende di ottenere visibilità, controllo e capacità di risposta in un contesto in cui la velocità degli attaccanti rappresenta un fattore critico.
Prepararsi al 2026 significa investire in una postura di sicurezza moderna, capace di rilevare prima, reagire più rapidamente e preservare la continuità del business anche in presenza di minacce avanzate come quelle portate avanti da Qilin.
Se vuoi conoscere meglio le nostre soluzioni Contattaci! Con una consulenza completamente gratuita potrai scoprire come possiamo aiutarti.
Puoi chiamarci al numero +39 0382 528875, scriverci all’indirizzo info@hypergrid.it, visitare il nostro sito https://hypergrid.it. O più semplicemente cliccare il pulsante qui sotto per prenotare un appuntamento online gratuito con il nostro team.
Devi effettuare l'accesso per postare un commento.