I 10 ransomware più attivi del 2025

Scopri i 10 ransomware più attivi del 2025. Classifica, tecniche, gruppi criminali e consigli pratici per difendere i dati aziendali.

Come ormai ben sappiamo, il ransowmare è diventata una costante nel panorama cyber. I gruppi criminali hanno trasformato le campagne di estorsione in imprese vere e proprie, con modelli di business replicabili, divisione dei ruoli e obiettivi precisi. Quello che una volta era un codice malevolo distribuito su larga scala, oggi è un’operazione mirata a settori critici e aziende ad alto profilo.

Nel 2025 abbiamo assistito al dominio di collettivi cybercriminali che hanno affinato le tecniche di intrusione, perfezionato le strategie di ricatto e ampliato il raggio d’azione. A cambiare non è stata solo la quantità di attacchi, ma la qualità delle operazioni. Quest’ultima si è composta di target selezionati, esfiltrazione preventiva, estorsione multipla e una comunicazione pubblica aggressiva tramite i Data Leak Site (DLS).

I 10 ransomware più attivi del 2025
Trend comuni e modelli operativi
Raccomandazioni finali

i 10 ransomware piu attivi del 2025 image

In virtù di questa evoluzione, abbiamo stilato la classifica dei 10 ransomware più attivi dell’anno. Non è stato un semplice esercizio di osservazione, ma un’analisi atta a comprendere la direzione della minaccia e il metodo migliore per difendersi.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

I 10 ransomware più attivi del 2025

10. Safepay

Attivo prevalentemente in Europa centrale, Safepay ha fatto registrare una forte attività in Germania, dove nel secondo trimestre del 2025 ha colpito quasi il 40% delle aziende presenti sul territorio. Si tratta di un gruppo relativamente nuovo ma già ben strutturato, con un proprio leak site e modalità operative ispirate ai grandi nomi del settore. Utilizza esfiltrazione dati, minaccia di pubblicazione e attacchi mirati via RDP compromessi.

9. Akira

Emerso a marzo 2023, il ransomware e il collettivo alle sue spalle hanno continuato la propria escalation anche nel 2025. Nel primo trimestre dell’anno, Akira si è concentrato in Italia e in Europa meridionale, colpendo principalmente PMI italiane localizzate in Veneto, Lombardia, Emilia-Romagna e Piemonte. Come altri esponenti del settore, anche questo ransomware adotta la tattica della doppia estorsione, unita a un’infrastruttura Tor dedicata.

8. Lynx

Nato come erede operativo del collettivo RansomHub, Lynx è un ransomware specializzato in attacchi a infrastrutture cloud e ambienti Azure. Infatti, nel corso del 2025, ha preso di mira soprattutto aziende statunitensi nei settori tech, education e sanità. Le campagne di spear phishing e l’abuso di credenziali compromesse sono le sue principali tecniche di accesso iniziale.

7. Play

Divenuto noto in Italia nel 2023 per l’attacco a Microgame, nel 2025 Play è tornato sotto i riflettori grazie a una serie di attacchi coordinati al settore finanziario sudamericano. Utilizza una tecnica di cifratura parziale, velocizzando la fase di criptazione e riducendo i tempi di permanenza rilevabile nei sistemi. Il gruppo adotta un linguaggio comunicativo spavaldo, con leak pubblici e countdown aggressivi.

6. Qilin

Nato come un fork indipendente, Qilin ha registrato una crescita del 70% delle vittime tra il primo e il secondo trimestre del 2025. I suoi target principali sono le aziende manifatturiere e logistiche, spesso attaccate durante i weekend o nei cambi di turno. Scritto interamente in linguaggio Go, Play adotta una pipeline automatizzata per l’enumerazione delle risorse e l’individuazione dei file critici.

5. DragonForce

Conosciuto principalmente per le sue attività di propaganda hacktivista, DragonForce ha virato nel 2025 verso operazioni a scopo di lucro. Si è imposto tra i gruppi mid-tier più pericolosi, sfruttando falle note in Apache e Fortinet per il primo accesso. Di grande interesse è la sua combinazione di ransomware-as-a-service e skill offensivi interni, che lo rendono un collettivo ibrido e altamente flessibile.

4. Cl0p

Uno dei gruppi più temuti al mondo, Cl0p ha continuato a colpire nel 2025 con operazioni massicce basate su zero-day e vulnerabilità in MOVEit, GoAnywhere, PaperCut e altri software enterprise. Le sue operazioni di esfiltrazione dati sono tra le più sofisticate, con centinaia di GB rubati e leak site strutturati per la pubblicazione dei file trafugati. È considerato un gruppo di livello APT (Advanced Persistent Threat).

3. BlackSuit

Sopravvissuto alla caduta dell’infrastruttura avvenuta a metà 2025, BlackSuit si è riorganizzato rapidamente. Le nuove varianti del suo ransomware, scritte in Rust, sono più evasive e compatibili con ambienti misti Linux/Windows. Colpisce in modo selettivo ospedali, enti pubblici e servizi critici, sfruttando spesso attacchi tramite supply chain.

2. Interlock

Conosciuto per l’aggressività delle sue campagne e la capacità di compromettere ambienti cloud e ibridi, Interlock è diventato uno dei principali attori del ransomware-as-a-service. La piattaforma include builder personalizzati, analisi post-esfiltrazione e supporto tecnico per affiliati. Si tratta, a conti fatti, di una vera e propria macchina da guerra criminale che ha colpito in USA, Canada, Italia e Brasile.

1. LockBit

Anche in questo 2025, LockBit si conferma il gruppo ransomware più attivo dell’anno. Nonostante numerose operazioni internazionali contro la sua rete, mantiene un numero elevato di affiliati e una cadenza costante di attacchi. Il suo ransomware è aggiornato regolarmente, include moduli anti-forensics, kill switch e crittografia ibrida AES/RSA. È stato osservato in azione su ospedali, multinazionali e PA.

Trend comuni e modelli operativi

La maggior parte dei ransomware attivi nel 2025 ha adottato la classica tattica multi-fase ormai ben nota. Si inizia con una prima compromissione tramite phishing, exploit o credenziali rubate. Quindi si passa alla privilege escalation, poi all’esfiltrazione dei dati e infine alla cifratura di quelli critici. Sempre più collettivi cybercriminali scelgono di colpire ambienti ibridi, cloud e on-premise, sfruttando strumenti legittimi, come RDP, PsExec e PowerShell. Questo per poter effettuare movimenti laterali nella rete interna della vittima senza destare sospetti.

Un altro trend ormai consolidato è l’automatizzazione delle fasi preliminari. Molti gruppi utilizzano builder dedicati, dashboard di controllo e script personalizzati per identificare asset critici, disattivare sistemi di sicurezza e organizzare i file esfiltrati. Questa efficienza riduce la permanenza dell’attaccante all’interno dei sistemi e aumenta la probabilità di successo prima che la vittima possa reagire. Inoltre, si diffonde l’uso di payload polimorfici e AI-driven per eludere gli antivirus.

Anche la comunicazione post-attacco si è raffinata. I gruppi mantengono leak site sempre aggiornati, pubblicano countdown per esercitare pressione sulle vittime e offrono portali dedicati per negoziare il pagamento in criptovaluta. In alcuni casi, il ricatto viene esteso anche ai clienti e partner delle aziende colpite, ampliando l’impatto e aumentando la probabilità di ottenere il riscatto.

Raccomandazioni finali

Il panorama ransomware del 2025 ci dimostra che i gruppi criminali raffinano costantemente le loro tecniche. Dall’automazione della catena d’attacco, all’integrazione con marketplace clandestini, ogni passo viene ottimizzato per massimizzare il danno e forzare il pagamento. I dati esfiltrati non servono solo come leva, ma sono una merce preziosa nel dark web e oggetto di ulteriori estorsioni.

Per le aziende, questo scenario impone un’innalzamento del loro livello di sicurezza operativa. Segmentazione della rete, backup offline, autenticazione multifattore ovunque possibile e verifica costante dell’integrità dei sistemi, sono oggi il minimo sindacale. È essenziale investire in monitoraggio attivo e threat intelligence, rafforzare la formazione interna e simulare regolarmente scenari di compromissione.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.