Il panorama del ransomware vede una nuova, preoccupante alleanza tra tre dei gruppi più noti del settore: LockBit, Qilin e DragonForce. Questa coalizione segna un punto di svolta nelle strategie delle organizzazioni cybercriminali, orientate a condividere risorse, tecniche e infrastrutture per rafforzare la propria capacità operativa e aumentare l’efficacia degli attacchi ransomware. L’annuncio della collaborazione è arrivato poco dopo il ritorno sulla scena di LockBit, gruppo che ha vissuto un duro colpo nel 2024 con un’importante operazione di polizia internazionale che aveva portato al sequestro della sua infrastruttura e ad alcuni arresti tra i suoi membri.

Il nuovo patto e le sue implicazioni

Il nuovo patto tra LockBit, Qilin e DragonForce mira non solo a ottimizzare le operazioni, ma anche a ristabilire la reputazione di LockBit tra gli affiliati dopo il colpo subito. Gli analisti di settore sottolineano che questa alleanza potrebbe scatenare una nuova ondata di attacchi mirati alle infrastrutture critiche, ampliando il raggio d’azione verso settori finora considerati meno a rischio.

Qilin e l’evoluzione delle minacce

Qilin si conferma come uno dei gruppi ransomware più attivi degli ultimi mesi, con oltre 200 vittime solo nel terzo trimestre del 2025 e una particolare attenzione alle organizzazioni nordamericane. Questo incremento delle attività coincide con il lancio di LockBit 5.0, nuova versione del ransomware in grado di colpire sistemi Windows, Linux ed ESXi, presentata sul forum darknet RAMP nel settembre 2025.

Nuovi attori e diversificazione degli attacchi

Il ritorno di LockBit e la sua alleanza strategica avviene in un contesto in cui anche altri attori come Scattered Spider stanno cercando di affermarsi con nuovi modelli di ransomware-as-a-service. Il fenomeno si accompagna a una crescita notevole dei siti di data leak, passati da 51 a 81 in meno di due anni, e a una diversificazione dei settori colpiti: oltre a servizi professionali e tecnici, sono sempre più coinvolti manifattura, costruzioni, sanità, finanza, istruzione e intrattenimento.

Espansione geografica e vulnerabilità

Non passa inosservato anche l’ampliamento geografico degli attacchi, con nuove ondate di ransomware che colpiscono paesi come Egitto, Thailandia e Colombia, mentre Stati Uniti, Germania, Regno Unito, Canada e Italia restano tra le nazioni più bersagliate. L’aumento delle superfici digitali d’attacco, dovuto all’adozione massiccia di servizi cloud e dispositivi IoT, rende le organizzazioni nordamericane particolarmente vulnerabili.

Statistiche recenti e motivazioni

Nel solo terzo trimestre del 2025 sono stati registrati almeno 1429 episodi di ransomware e digital extortion a livello globale, con Qilin, Akira, INC Ransom, Play e SafePay responsabili di circa il 47% degli attacchi. Il movente resta principalmente finanziario, ma si rilevano anche spinte geopolitiche e ideologiche, soprattutto contro realtà occidentali.