Il panorama del ransomware ha raggiunto nel terzo trimestre del 2025 un livello di frammentazione senza precedenti, con ben 85 gruppi attivi di ransomware e di estorsione. Questo dato segna un nuovo record e riflette un cambiamento strutturale profondo nel mercato, che un tempo era dominato da pochi grandi operatori ransomware-as-a-service. Ora, la pressione delle forze dell'ordine e la crescente competizione hanno portato alla nascita di molteplici gruppi minori, spesso gestiti da ex affiliati che agiscono in modo indipendente. Il risultato è una decentralizzazione che rende il settore più imprevedibile e difficile da monitorare.
Attività e distribuzione dei gruppi
Durante il trimestre, sono stati pubblicati su oltre 85 siti di leak ben 1592 nomi di nuove vittime, con una media di 535 divulgazioni mensili. Il potere si è distribuito: i dieci principali gruppi ora rappresentano solo il 56 percento delle vittime, contro il 71 percento di inizio anno. La caduta di piattaforme di rilievo come RansomHub, 8Base e BianLian ha favorito la nascita di 14 nuovi gruppi solo negli ultimi tre mesi, portando il totale annuale a 45 nuove sigle.
Resilienza dell’ecosistema ransomware
Le azioni delle forze dell’ordine non hanno però ridotto in modo significativo il volume degli attacchi. Gli affiliati, infatti, tendono a migrare o ricostituirsi rapidamente dopo la chiusura di un gruppo, alimentando così un ecosistema sempre più resistente e diffuso. Le nuove crew, spesso poco longeve, non sentono l’obbligo di mantenere promesse verso le vittime, e i tassi di pagamento dei riscatti continuano a scendere, oscillando tra il 25 e il 40 percento.
Il ritorno di LockBit e la possibile ricentralizzazione
Un cambio di rotta è rappresentato dal ritorno di LockBit, che a settembre 2025 ha lanciato la versione 5.0, offrendo nuove varianti per Windows, Linux ed ESXi, portali di negoziazione personalizzati e tecniche di cifratura più veloci ed elusione avanzata. La presenza di un marchio noto come LockBit aumenta la fiducia delle vittime nella possibilità di ricevere realmente una chiave di decrittazione, incentivando i pagamenti e attirando nuovi affiliati. Se LockBit riuscirà a catalizzare nuovamente il mercato, potremmo assistere a una nuova fase di ricentralizzazione, che avvantaggerebbe il monitoraggio ma aumenterebbe la portata degli attacchi coordinati.
Tendenze geografiche e settoriali
Dal punto di vista geografico, gli Stati Uniti restano l’obiettivo principale, mentre la Corea del Sud fa il suo ingresso nella top ten mondiale grazie a campagne mirate. I settori più colpiti sono manifatturiero, servizi business e sanità. In questo scenario, il ransomware si conferma guidato dalla logica del profitto più che da motivazioni ideologiche.