Akamai Technologies ha pubblicato il nuovo State of the Internet Report (SOTI) 2025, intitolato Ransomware Report 2025: Building Resilience Amid a Volatile Threat Landscape. Dal documento emerge una preoccupante evoluzione degli attacchi ransomware, visto che alla tradizionale doppia estorsione, che resta la tattica più diffusa, si affianca ora un approccio ancora più aggressivo, definito quadrupla estorsione.

Questa nuova modalità prevede l’aggiunta di attacchi DDoS con lo scopo di interrompere le operazioni aziendali e colpire anche partner, clienti e media, ampliando così la pressione sulle vittime affinché paghino il riscatto. Un salto di qualità che rende gli attacchi informatici veri e propri eventi di crisi aziendale, con impatti che vanno ben oltre la semplice perdita di dati.

Dal ransomware classico alla quadrupla estorsione

Tradizionalmente, il ransomware si basava sulla crittografia dei dati della vittima, accompagnata dalla minaccia di divulgarli pubblicamente in caso di mancato pagamento: la cosiddetta doppia estorsione. Ora, secondo Akamai, i criminali informatici sfruttano una combinazione più ampia di leve coercitive con la quale, oltre alla cifratura e alla minaccia di esposizione, puntano a minare la continuità operativa tramite DDoS e a danneggiare l’immagine aziendale colpendo terze parti coinvolte nell’ecosistema.

Come spiega Steve Winterfeld, Advisory CISO di Akamai, “gli attacchi ransomware non riguardano più solo la crittografia. I criminali sfruttano dati sottratti, interruzioni dei servizi e divulgazioni pubbliche per aumentare la pressione. Questi metodi stanno trasformando gli attacchi in vere e proprie crisi aziendali, costringendo le organizzazioni a ripensare le strategie di difesa e risposta”.

L’impatto di GenAI e LLM nella crescita degli attacchi

Uno degli elementi chiave messi in luce dal report riguarda il ruolo dell’IA generativa che sta abbassando la soglia di ingresso per i cybercriminali, permettendo anche a chi ha competenze limitate di creare codici di ransomware sofisticati o di condurre campagne di social engineering più convincenti.

Il risultato è un aumento della frequenza e della portata degli attacchi, che diventano più efficaci e difficili da contrastare. L’IA, quindi, non è solo un alleato per le aziende, ma anche un’arma nelle mani di chi cerca di sfruttare vulnerabilità e debolezze umane o tecnologiche.

L’evoluzione dei gruppi criminali: hacktivisti e RaaS

Akamai ransomware

Un altro trend in crescita riguarda l’uso delle piattaforme Ransomware-as-a-Service (RaaS), che consentono a gruppi ibridi di combinare motivazioni politiche, ideologiche e finanziarie. Questi nuovi attori, a metà strada tra hacktivismo e cybercrime, amplificano l’impatto delle loro azioni sfruttando infrastrutture già pronte e facilmente accessibili.

Un esempio citato nel report è quello del gruppo Dragon RaaS, nato come derivato di Stormous. Inizialmente focalizzato sulle grandi aziende, nel 2024 ha cambiato target puntando su imprese più piccole, spesso meno protette e quindi più vulnerabili, dimostrando come la dinamica degli attacchi stia mutando per massimizzare l’efficacia con il minimo sforzo.

Cryptominer e TrickBot: minacce parallele

Ovviamente, non c’è solo il ransomware. Akamai segnala infatti anche il ruolo crescente dei cryptominer, software malevoli che sfruttano le risorse delle vittime per generare criptovalute. Pur perseguendo obiettivi differenti, adottano tattiche simili ai gruppi ransomware. Colpiscono in particolare istituti scolastici e organizzazioni non profit, bersagli scelti per la loro scarsa disponibilità di risorse da investire in sicurezza.

Il report evidenzia inoltre l’attività della famiglia di malware TrickBot, in circolazione da anni e ancora oggi tra le più redditizie, contando che dal 2016 avrebbe estorto oltre 724 milioni di dollari in criptovalute alle vittime. L’unità Akamai Guardicore Hunt ha recentemente collegato TrickBot a quattro campagne sospette pianificate contro cinque clienti, a conferma della sua pericolosità persistente.

Normative, resilienza e strategie di difesa

Oltre all’analisi tecnica, il report dedica ampio spazio al quadro normativo che disciplina la risposta agli attacchi ransomware. Secondo James A. Casey, Vice President e Chief Privacy Officer di Akamai, le normative di cybersecurity già in vigore si applicano agli incidenti di ransomware, ma sempre più spesso emergono leggi che disincentivano il pagamento dei riscatti.

Casey sottolinea come le aziende debbano rafforzare le proprie difese adottando modelli come lo Zero Trust e la microsegmentazione, oltre a implementare sistemi di gestione dei rischi e procedure di segnalazione rapida degli incidenti. La resilienza, conclude, si costruisce con investimenti continui in prevenzione e con una strategia proattiva che tenga conto della rapida evoluzione delle minacce.

(Immagine in apertura: Shutterstock)