La nuova analisi di Check Point Research (CPR) fotografa un panorama ransomware che nel terzo trimestre del 2025 raggiunge un livello critico di frammentazione. Nonostante i numerosi interventi delle forze dell’ordine all’inizio dell’anno, il numero di attacchi rimane stabile su livelli molto elevati. CPR registra 1.592 nuove vittime riconducibili a 85 gruppi di estorsione attivi, un incremento del 25% rispetto al 2024.
Il vuoto lasciato da gruppi noti come RansomHub e 8Base viene rapidamente colmato da operatori più piccoli e dinamici. Il mercato del ransomware-as-a-service (RaaS) assume così una forma particolarmente fluida, con una rete di attori che si muove in modo autonomo e poco prevedibile.
Secondo Sergey Shykevich, Threat Intelligence Group Manager di Check Point Software, il trimestre dimostra che il cambiamento non coincide con un calo dell’attività. L’ecosistema ransomware appare orientato verso modelli più automatizzati, caratterizzati da una maggiore condivisione delle informazioni e dall’elevata agilità degli affiliati.
Nel terzo trimestre il numero complessivo di gruppi attivi raggiunge il livello più alto mai osservato da Check Point. I dieci principali operatori rappresentano solo il 56% delle vittime, mentre ben 47 gruppi non superano le dieci compromissioni, un’indicazione di una forte presenza di affiliati indipendenti. Questo assetto accresce l’imprevedibilità per i difensori, poiché i gruppi minori non possiedono un incentivo reputazionale nel fornire decryptor in seguito al pagamento, aumentando il rischio di perdite irreversibili per le vittime.
LockBit ritorna con la versione 5.0
Uno degli elementi più rilevanti del trimestre è la ricomparsa di LockBit, dato per smantellato in passato. La nuova versione LockBit 5.0 introduce crittografia più robusta, supporto multipiattaforma per ambienti Windows, Linux ed ESXi e capacità di evasione avanzate. L’amministratore, noto come LockBitSupp, accompagna il ritorno con una politica di ingresso che richiede agli affiliati un deposito di 500 dollari.
CPR attribuisce già oltre 15 vittime alle nuove campagne di LockBit 5.0, un dato che segnala un possibile processo di riaggregazione degli affiliati attorno a un marchio percepito come stabile. Il gruppo mantiene una severa disciplina operativa e non pubblica le vittime sul proprio data-leak site, in una strategia che punta a rafforzare il controllo sulle negoziazioni.
Qilin domina il 2025
Tra i gruppi emergenti, Qilin rappresenta il caso più rilevante. Nel terzo trimestre registra una media di 75 vittime al mese, una cifra che raddoppia rispetto all’inizio dell’anno. Sebbene il gruppo dichiari motivazioni ideologiche, l’analisi di CPR descrive operazioni orientate esclusivamente al profitto, con campagne distribuite in numerosi settori e aree geografiche.
L’attività più intensa emerge in Corea del Sud, dove Qilin colpisce 30 realtà finanziarie tra agosto e settembre. Il programma RaaS risulta particolarmente competitivo grazie alla possibilità per gli affiliati di trattenere fino all’85% dei profitti, elemento che attira operatori già attivi in gruppi smantellati durante l’anno.
DragonForce e il marketing criminale
Tra gli attori emergenti si distingue DragonForce, che adotta un approccio inedito per il settore. La competizione non avviene soltanto tramite capacità tecniche o nuove varianti di malware, ma tramite un uso intensivo del branding e della comunicazione sui forum underground. DragonForce annuncia “coalizioni” con LockBit e Qilin, promuove servizi di “audit dei dati” per aumentare l’efficacia delle estorsioni e imprime una forte identità al proprio marchio.
Nel trimestre registra 56 vittime, con forte concentrazione in Germania e tra le aziende ad alto reddito. Il gruppo si configura come una realtà molto attiva nel reclutamento e nella costruzione di una reputazione in un mercato estremamente competitivo.
Aree geografiche più colpite
Gli Stati Uniti restano il principale bersaglio, con circa la metà delle vittime globali. La Corea del Sud entra nella top 10 per la prima volta, a causa della campagna finanziaria condotta da Qilin. Germania, Regno Unito e Canada confermano livelli elevati di esposizione, con operatori come INC Ransom, Safepay e lo stesso DragonForce molto attivi.
Settori più colpiti
Il ransomware continua a colpire in modo trasversale, con un impatto significativo sui servizi manifatturieri e aziendali, entrambi intorno al 10% del totale. Il settore sanitario rimane stabile all’8%, nonostante alcuni gruppi evitino consapevolmente queste infrastrutture per ridurre il rischio di interventi da parte delle forze dell’ordine. Altri operatori, tra cui Qilin e INC Ransom, non adottano restrizioni di questo tipo.
Un ecosistema che rimane resiliente
Il volume complessivo degli attacchi non subisce variazioni significative rispetto al trimestre precedente. Le forze dell’ordine colpiscono principalmente infrastrutture e amministratori dei programmi RaaS, lasciando però gli affiliati liberi di migrare verso nuovi gruppi o di fondarne di propri. Questo processo riduce l’efficacia degli interventi, che producono effetti limitati e temporanei.
Il ritorno di LockBit, unito alla proliferazione dei gruppi minori, indica un possibile scenario ibrido per i prossimi mesi, con un equilibrio tra decentralizzazione estrema e attrazione verso marchi storici più affidabili.
Azioni raccomandate per le organizzazioni
Le evidenze del trimestre confermano la necessità di una strategia di difesa multilivello. Le organizzazioni più esposte puntano su endpoint forti, segmentazione di rete, backup offline, formazione del personale contro phishing e credential theft, oltre a un monitoraggio costante delle nuove infrastrutture RaaS e dei movimenti degli affiliati.
Per ulteriori approfondimenti è disponibile la pubblicazione completa di Check Point Research.
