Nel 2025 le minacce informatiche non sono più solo questione di virus e malware tradizionali: l’estorsione digitale e l’inganno mirato costituiscono il cuore dell’attacco moderno. Ransomware e phishing si alimentano a vicenda, compenetrandosi in strategie sempre più aggressive e sofisticate; da una parte, cryptolocker che non si limitano a cifrare dati, ma esfiltrano prima informazioni riservate; dall’altra, campagne d’ingegneria sociale che usano l’intelligenza artificiale per mascherare l’inganno dietro comunicazioni personali e credibili. In questo quadro, le aziende e i governi sono messi alle strette: adattarsi rapidamente non è un vantaggio, è un’esigenza.
Esfiltrazione, frammentazione e automazione
Il modello classico del ransomware – cifratura dei dati e richiesta di riscatto – non basta più. Nel 2025 i gruppi criminali stanno puntando con decisione sull’exfiltrazione: molti attacchi cominciano con la copia silenziosa di archivi sensibili e continuano con la minaccia di pubblicazione, anche se la cifratura non viene mai attivata. Secondo Veeam, uno dei trend emergenti è che il tempo fra compromissione iniziale e attacco finale si è drasticamente ridotto, e che gli aggressori usano la pressione reputazionale insieme alla tecnicità dell’attacco.
Le organizzazioni vittime che accettano di pagare il riscatto sono ancora numerose – secondo TechRadar, l’80 % di chi ha subito un attacco ha effettivamente corrisposto la richiesta, anche se solo in parte. Tuttavia, i pagamenti complessivi sembrano in leggera contrazione, sorpresa attribuibile al rafforzamento delle azioni legali e alle difficoltà operative per alcuni criminali che preferiscono attaccare obiettivi più piccoli o meno protetti.
Il panorama è anche frammentato: gruppi dominanti come LockBit sono sotto pressione legale e operativa, e la scena si è fatta polverizzata, con nuove sigle che emergono e si alternano. Black Kite documenta un aumento delle vittime di ransomware nelle catene di fornitura, dove un attacco a un vendor si propaga in più aziende. Palo Alto Networks, tramite il proprio gruppo Unit 42, segnala che in Q1 2025 è aumentato il numero di vittime pubblicate su siti di “data leak” rispetto all’anno precedente (2314 vittime segnalate vs 1086).
Un segnale particolarmente inquietante viene dalla ricerca accademica: è stato messo a punto un prototipo di Ransomware 3.0, orchestrato da un modello di linguaggio (LLM) che genera in autonomia payload adattivi e varianti polimorfiche, riducendo la dipendenza da intervento manuale. Questo tipo di ransomware self-composing rappresenta una sfida completamente nuova per le difese tradizionali.
Modelli evoluti, AI, vishing e attacchi basati su identità
Se il ransomware è l’arma pesante, il phishing è la spia che apre le porte. Nel 2025 le campagne di phishing superano la semplice email fraudolenta: le strategie includono URL malevoli, codici QR, vishing (phishing via voce), smishing (via SMS), e kit pronti (PhaaS) basati su AI per generare pagine credibili. Secondo l’APWG, nel primo trimestre 2025 sono stati osservati 1.003.924 attacchi di phishing, il valore più alto dagli ultimi anni, e le campagne con QR sono ormai una modalità consolidata.
Talvolta, il phishing è ormai una fase del percorso d’attacco: Talos ha rilevato che nel 50 % dei casi il phishing è il vettore iniziale che permette all’attaccante di ottenere accesso, spesso combinato con tecniche di pretexting via voce nel vishing. In molti casi il vishing da solo rappresenta oltre il 60 % degli engagement di phishing, dato che dimostra quanto il canale voce stia tornando centrale nella truffa digitale.
Le tecniche si fanno più sofisticate: AI generativa e sistemi di linguaggio sono usati per creare esche personalizzate, email corrette nel tono e nel contenuto, oltre a pagine phishing dinamiche e adattabili (polymorphic phishing) che sfuggono ai filtri tradizionali. Zscaler segnala che nel 2025 le campagne di phishing guidate da AI sono in crescita, con attacchi che cambiano struttura e imitano con più precisione contesti reali.
Da ultimo, un dato critico: uno studio recente su oltre 12.500 professionisti ha rilevato che la formazione anti-phishing, per quanto diffusa, non ha avuto un effetto sulla riduzione dei clic sugli URL malevoli o sul miglioramento dei tassi di segnalazione. In pratica: continuare ad addestrare le persone non è sufficiente se non si affianca a controlli tecnici e mitigazioni attive.
Il phishing del 2025 non è più attesa e invio massivo: è ingegnoso, modulato, personalizzato e spesso invisibile.
Convergenza, reazione e strategia difensiva
La linea fra phishing e ransomware si assottiglia sempre di più: spesso un attacco inizia con un indebita credenziale rubata o un accesso ottenuto con inganno, per poi diventare una rete di esfiltrazione o cifratura. Le organizzazioni quindi non possono trattare le due minacce come compartimenti stagni.
Il primo fronte difensivo è l’identità: sistemi robusti come passkey/FIDO2, MFA condizionale, validazione continua del contesto e revoca automatica delle sessioni sospette diventano elementi centrali. Il login non è più una barriera finale, bensì una zona da controllare costantemente.
Al contempo, è vitale potenziare le difese sul perimetro email: i filtri devono essere URL-first, con sandboxing dei collegamenti e ispezione avanzata del traffico. Serve inoltre un’analisi del comportamento heuristico per rilevare pagine phishing in tempo reale.
I backup rimangono un pilastro: disporre di copie immutable, testate, isolate e distribuite è una condizione imprescindibile per resistere a ransomware che minacciano la pubblicazione dei dati. Ma accanto ai backup serve un playbook di risposta che includa negoziazione, attivazione forense, coordinamento legale e comunicazione con le autorità.
Sul piano organizzativo, non bastano strumenti: occorre una cultura di resilienza. La formazione continua deve essere misurabile, integrata con simulazioni realistiche e accompagnata da metriche di rischio; inoltre, le imprese devono superare la frammentazione tecnologica e adottare una strategia di gestione dell’esposizione (exposure management) che includa superfici di attacco, asset critici e responsabilità di terze parti.
Da ultimo, è essenziale monitorare attivamente il panorama esterno: ransomware group emergenti come RansomHub, Cl0p, Qilin sono particolarmente attivi, e l’attacco verso le supply chain è in crescita, rendendo propedeutico il monitoraggio dei fornitori e la verifica continua di contratti, API, credenziali condivise e permessi esterni. Unit 42 ha rilevato nei primi mesi del 2025 un’impennata nei casi pubblicati su leak site, con attori come Cl0p e RansomHub fra i più citati.
