Kaspersky ha pubblicato il nuovo report per l’International Anti-Ransomware Day 2026.
Il ransomware cambia forma: meno sola crittografia, più furto dati, estorsione e pressione reputazionale. Nel 2025 crescono strumenti come EDR killer, broker di accesso e canali Telegram per dati rubati e tra i gruppi più attivi emergono Qilin, Clop e Akira, mentre The Gentlemen guarda già al 2026.Per le aziende diventano centrali backup offline, aggiornamenti, EDR e difesa multilivello.

Kaspersky torna in pista in occasione dell’International Anti-Ransomware Day 2026, ricorrenza fissata il 12 maggio. Il nuovo report dell’azienda analizza le principali tendenze emerse nel 2025 e anticipa alcuni scenari attesi nel 2026.

Il quadro che emerge è meno legato all’immagine classica del ransomware, fatta solo di file bloccati e richiesta di riscatto. Gli attacchi stanno diventando più organizzati, più automatizzati e più orientati al furto di dati sensibili.

La crittografia resta una minaccia, ma non è più l’unico strumento: sempre più gruppi puntano sulla sottrazione delle informazioni, sulla pubblicazione dei dati e sulla pressione normativa o sulla reputazione verso le aziende colpite.

Kaspersky ransomware: cosa cambia nel 2026

Nel 2025 si registra un lieve calo della percentuale complessiva di organizzazioni colpite rispetto al 2024. Questo dato, però, non deve far abbassare la guardia.

Gli attaccanti stanno industrializzando le proprie attività: usano metodi di intrusione automatizzati, acquistano accessi già compromessi e sfruttano infrastrutture remote per entrare nelle reti aziendali.

Secondo i dati del Kaspersky Security Network, nel 2025 l’America Latina ha registrato la percentuale più alta di aziende colpite da ransomware, pari all’8,13%. Seguono Asia-Pacifico con il 7,89%, Africa con il 7,62%, Medio Oriente con il 7,27%, CSI con il 5,91% ed Europa con il 3,82%.

Il dato europeo è più basso, ma non rassicurante. Le aziende restano bersagli appetibili, soprattutto quando gestiscono dati sensibili, infrastrutture critiche o servizi essenziali.

Kaspersky ransomware: attacchi senza crittografia

Una delle tendenze più rilevanti riguarda gli attacchi estorsivi senza crittografia. In questi casi, i criminali non bloccano necessariamente i sistemi. Rubano i dati e minacciano di pubblicarli.

Per un’azienda, il danno può essere enorme anche senza computer cifrati. Entrano in gioco reputazione, obblighi normativi, rapporti con clienti e possibili sanzioni.

Questo modello cambia anche la difesa: non basta più concentrarsi solo sul ripristino dei file. Serve monitorare l’esfiltrazione dei dati, controllare il traffico in uscita e individuare movimenti anomali dentro la rete.

Il ransomware diventa quindi più vicino a una campagna di spionaggio e pressione commerciale. L’obiettivo non è solo interrompere l’operatività, ma monetizzare ogni informazione sottratta.

Kaspersky ransomware: Telegram, dark web e accessi in vendita

I canali Telegram e i forum del dark web restano centrali per la distribuzione di dataset, credenziali e accessi compromessi. Anche quando le autorità colpiscono una piattaforma, l’ecosistema tende a riorganizzarsi.

Nel gennaio 2026 è stato sequestrato RAMP, uno dei principali forum usati per pubblicizzare servizi ransomware e aggiornamenti operativi. Nel marzo 2026 è stato chiuso anche LeakBase, forum impiegato per la diffusione di dati rubati.

Queste operazioni aiutano a colpire l’infrastruttura criminale. Tuttavia, il report evidenzia un problema noto: nuovi portali possono emergere nel tempo, spesso con nomi diversi e dinamiche simili.

In questo contesto cresce anche il ruolo degli Initial Access Broker: sono intermediari che vendono credenziali compromesse e accessi alle reti aziendali. Così, anche gruppi meno tecnici possono avviare campagne ransomware partendo da accessi già pronti.

EDR killer e crittografia post-quantistica

Tra gli strumenti più usati compaiono gli EDR killer, software progettati per disattivare soluzioni di rilevamento e risposta sugli endpoint prima dell’esecuzione del malware.

Questi strumenti rendono gli attacchi più metodici: prima neutralizzano le difese, poi entrano nella fase di furto dati, cifratura o estorsione.

Il report segnala anche un’evoluzione più inquietante: alcune famiglie ransomware stanno adottando standard di crittografia post-quantistica. Si tratta di tecniche pensate per resistere, in futuro, anche a tentativi di decrittografia basati su computer quantistici.

Non è un dettaglio tecnico secondario. Mostra come alcuni gruppi stiano pensando già alla durata futura dei propri attacchi, rendendo più difficile il recupero dei dati anche negli anni successivi.

Qilin, Clop, Akira e The Gentlemen

Tra i gruppi più attivi del 2025, Kaspersky ha identificato Qilin come operatore dominante nel panorama ransomware-as-a-service, soprattutto dopo il sequestro delle attività di RansomHub.

Al secondo posto compare Clop, seguito da Akira. Questi nomi mostrano un ecosistema in continua rotazione, dove alcuni gruppi spariscono, altri rallentano e nuovi attori prendono spazio.

Guardando al 2026, il report segnala The Gentlemen come uno dei gruppi più rilevanti da osservare. La crescita rapida, l’organizzazione strutturata e la maggiore attenzione alle estorsioni basate sui dati lo rendono un attore da monitorare con cura.

The Gentlemen rappresenta anche un cambio di stile: meno campagne rumorose e indiscriminate, più operazioni scalabili, mirate e costruite come attività criminali organizzate.

Come difendersi dal ransomware

Kaspersky ha consigliato alle aziende di attivare protezioni anti-ransomware su tutti gli endpoint. L’azienda ha citato anche Kaspersky Anti-Ransomware Tool for Business, disponibile gratuitamente per computer e server.

Un altro passaggio essenziale riguarda gli aggiornamenti: software e sistemi non aggiornati restano una porta d’ingresso per chi sfrutta vulnerabilità già note.

La difesa deve poi concentrarsi sui movimenti laterali e sull’esfiltrazione dei dati. Monitorare il traffico in uscita aiuta a individuare collegamenti sospetti verso infrastrutture malevole.

I backup offline restano fondamentali, devono essere separati dalla rete, protetti dagli intrusi e verificati con test regolari. Avere una copia non basta, se poi il ripristino non funziona in emergenza.

Per le aziende più esposte servono anche soluzioni EDR, anti-APT, threat intelligence aggiornata e formazione continua dei team SOC. Il ransomware non si affronta più con un solo strumento, ma con una difesa a più livelli.

Ransomware sempre più organizzato

Il report di Kaspersky racconta un’evoluzione netta. Il ransomware non è più solo un malware che cifra i file. È un ecosistema criminale con broker, forum, canali di vendita, servizi a noleggio, strumenti anti-difesa e modelli di estorsione più raffinati.

Per le aziende, la priorità diventa prevenire l’accesso iniziale, rilevare movimenti sospetti, proteggere i dati e preparare piani di risposta. Aspettare l’attacco non è più una strategia.

L’Anti-Ransomware Day 2026 serve proprio a ricordare questo: la minaccia cambia, ma anche le difese devono evolvere. Backup, aggiornamenti, controlli sugli accessi, formazione e monitoraggio continuo restano la base per ridurre il rischio.