Un 2025 in salita per la cybersecurity industriale. Primavera ed estate 2025 non sono state “calde” soltanto dal punto di vista climatico: lo sono state anche sul fronte del ransomware. La telemetria raccolta da Nozomi Networks tra marzo e agosto conferma una crescita continua degli attacchi di successo ai sistemi industriali, con una creatività degli attori malevoli in aumento. Il caso del primo ransomware basato su intelligenza artificiale – rilevato proprio in questi mesi – rappresenta un punto di svolta nella capacità dei criminali di automatizzare e perfezionare operazioni complesse.
Parallelamente, l’ultimo Ransomware Threat Intelligence Report di Check Point Research, relativo al terzo trimestre 2025, evidenzia un panorama sempre più frammentato, resiliente e difficile da arginare, nonostante le operazioni delle forze dell’ordine.
Il risultato? Un ecosistema che cambia rapidamente, con volumi di attacco che restano elevati e un’attenzione crescente al settore manifatturiero.
La mappa del ransomware secondo Nozomi Networks
L’analisi basata sulla telemetria dei sensori Nozomi Networks mostra un quadro chiaro: il manufacturing rimane il bersaglio principale, rappresentando oltre l’83% dei ransomware rilevati negli ultimi sei mesi. Seguono trasporti (13,87%) e servizi al consumatore (1,16%). Numeri che confermano quanto gli ambienti industriali, spesso caratterizzati da reti complesse e sistemi legacy, continuino a essere vulnerabili.
I Paesi più colpiti
La distribuzione geografica degli incidenti vede:
- Stati Uniti: 56,42% degli alert
- Regno Unito: 14,53%
- Giappone: 6,7%
Gli Stati Uniti non solo guidano la classifica, ma risultano anche il Paese più violato nella seconda metà del 2024 e nei primi mesi del 2025.
Quando e come si diffonde il ransomware
Nozomi rileva un picco di attività nel mese di maggio, con un forte incremento degli alert attribuiti alla famiglia BlackSuit, evoluzione diretta del ransomware Royal. Non tutto, però, proviene dal traffico di rete: una parte significativa degli indicatori è stata registrata da sensori endpoint sulle macchine HMI, a dimostrazione dell’importanza di un modello di difesa stratificato.
Secondo gli analisti, è fondamentale ricordare che gli alert non coincidono sempre con un attacco in corso e che gli indicatori possono essere riutilizzati per finalità diverse. Tuttavia, la tendenza complessiva parla chiaro: i gruppi ransomware mantengono un’elevata operatività e un impatto crescente sulle aziende industriali.
Il punto di vista di Check Point: un ecosistema frammentato e resiliente
Il report di Check Point Research amplia ulteriormente il quadro. Nonostante gli interventi di polizia dei primi mesi dell’anno, il numero di attacchi è rimasto stabilmente tra 520 e 540 vittime al mese. La ragione principale è la frammentazione del modello ransomware-as-a-service (RaaS): quando un gruppo viene smantellato, gli affiliati migrano rapidamente verso un nuovo brand o ne fondano uno proprio.
Paesi e settori più colpiti
Check Point Research evidenzia che:
- Gli Stati Uniti rappresentano circa il 50% delle vittime globali
- La Corea del Sud entra per la prima volta nella top 10
- Germania, Regno Unito e Canada restano obiettivi costanti
Dal punto di vista settoriale, invece, manifatturiero e servizi aziendali valgono ciascuno circa il 10% degli attacchi, la sanità resta stabile all’8%, pur con una minore esposizione ai grandi gruppi per ragioni di opportunità criminale.
Trend in evoluzione
Il futuro del ransomware sarà guidato da:
- maggior automazione dei processi di intrusione ed estorsione,
- rapida nascita e morte di nuovi gruppi e brand,
- tecniche di estorsione più articolate, come l’uso dei “controlli dei dati”,
- crescente attività su piccoli siti di fuga di notizie.
La natura adattiva degli affiliati e la semplicità con cui è possibile cambiare “bandiera” rendono quasi inevitabile la persistenza di un volume elevato di incidenti nel tempo.
Perché il manufacturing resta il bersaglio principale
La combinazione tra infrastrutture OT, macchinari legacy, sistemi connessi ma non sempre aggiornati e dipendenza dalla continuità operativa rende le imprese manifatturiere particolarmente vulnerabili.
I criminali sanno che un fermo produttivo ha un costo immediato e elevato, molte aziende del settore hanno ancora visibilità parziale sulle loro reti OT/IT, la frammentazione delle linee produttive facilita l’introduzione di vettori di attacco.
Per questo il manufacturing continua a essere visto come un target ad alto potenziale di riscatto.
Come possono difendersi le aziende
Sia Nozomi Networks che Check Point convergono su un messaggio chiaro: non essere stati colpiti finora non significa essere protetti. Una postura di sicurezza moderna deve combinare prevenzione, detection e resilienza.
Ecco le raccomandazioni principali:
1. Rafforzare la sicurezza di rete ed endpoint. Una protezione efficace richiede monitoraggio continuo sia sul traffico di rete sia sugli endpoint industriali (HMI, PLC, workstation). Le soluzioni OT-native sono fondamentali per individuare comportamenti anomali prima che l’attacco si sviluppi completamente.
2. Avere backup offline e immutabili. La strategia più efficace contro la doppia e tripla estorsione resta la disponibilità di copie dei dati non raggiungibili dal ransomware.
3. Educare il personale. Phishing, credenziali rubate e configurazioni errate restano tra i vettori più comuni. Programmi di formazione ricorrenti sono essenziali, soprattutto in ambienti dove la sicurezza IT e OT convivono.
4. Monitorare il panorama RaaS. Le aziende devono tenere sotto osservazione i trend emergenti, compresi nuovi brand, tattiche degli affiliati e infrastrutture di esfiltrazione dei dati.
5. Adottare un approccio multilivello. La telemetria di Nozomi mostra chiaramente che la sola analisi del traffico non basta. Servono livelli multipli di difesa, dalla segmentazione alla protezione degli endpoint, fino al controllo degli accessi.
Un panorama ransomware in continua evoluzione
Le aziende che vogliono ridurre al minimo il rischio devono investire in una postura di sicurezza solida, visibile e resiliente. Perché, come sottolineano gli analisti, la differenza non la fa il “se” si verrà attaccati, ma il “quando” – e soprattutto il “come” ci si farà trovare preparati.