Nel primo semestre del 2025, il numero di vittime note di ransomware è aumentato del 70% rispetto agli anni precedenti. A dirlo è l’Acronis Cyberthreats Report H1 2025, una delle analisi più autorevoli nel panorama della sicurezza informatica. Per chi opera come ethical hacker, questo dato non è solo allarmante: è un segnale chiaro che le difese tradizionali non bastano più, e che l’ecosistema delle minacce si sta evolvendo più rapidamente delle contromisure.
Ransomware-as-a-Service: l’industria del crimine
Il report evidenzia come il modello Ransomware-as-a-Service (RaaS) sia diventato il motore principale dell’escalation. Gruppi come Cl0p, Akira e Qin offrono piattaforme modulari che permettono anche a cybercriminali non esperti di lanciare attacchi sofisticati. In pratica, il ransomware è diventato un prodotto commerciale, con dashboard, supporto tecnico e aggiornamenti regolari.
Dal punto di vista tecnico, questi kit RaaS integrano exploit zero-day, bypass per EDR e payload cifrati che si adattano dinamicamente all’ambiente bersaglio. Per un ethical hacker, analizzare questi strumenti significa confrontarsi con codice polimorfico, tecniche di living-off-the-land e meccanismi di persistence avanzati.
Phishing e IA: il nuovo vettore d’ingresso
Un altro trend evidenziato da Acronis è l’uso crescente dell’intelligenza artificiale per generare campagne di phishing e social engineering. I messaggi sono sempre più convincenti, personalizzati e contestuali. L’IA viene usata per imitare lo stile comunicativo di colleghi, dirigenti o fornitori, rendendo difficile distinguere un’email legittima da una malevola.
Come ethical hacker, questo impone una revisione dei modelli di threat detection: non basta più analizzare gli header o i link sospetti, serve un’analisi semantica e comportamentale. Inoltre, la formazione degli utenti deve essere continua e adattiva, perché l’ultimo click — quello che attiva il ransomware — è quasi sempre umano.
Settori più colpiti: sanità, istruzione, pubblica amministrazione
Il report Acronis mostra che i settori più bersagliati sono quelli con infrastrutture legacy e budget limitati per la cybersecurity. In particolare:
- Sanità: ospedali e cliniche sono bersagli ideali per la pressione psicologica e la criticità dei dati.
- Istruzione: università e scuole hanno reti ampie, utenti eterogenei e spesso poca segmentazione.
- Pubblica amministrazione: enti locali e nazionali gestiscono dati sensibili ma spesso usano software obsoleto.
Per gli ethical hacker, questi ambienti rappresentano sfide complesse: bisogna bilanciare interventi tecnici con sensibilizzazione, audit e supporto alla governance.
Crittografia e doppia estorsione
Il ransomware moderno non si limita a cifrare i dati. La tecnica della doppia estorsione — cifratura + minaccia di pubblicazione — è ormai lo standard. Alcuni gruppi arrivano a tripla estorsione, coinvolgendo anche clienti e fornitori delle vittime.
Dal punto di vista dell’analisi forense, questo impone una revisione dei log, dei flussi di rete e dei meccanismi di esfiltrazione. Gli ethical hacker devono saper individuare tunnel cifrati, connessioni C2 camuffate e payload nascosti in formati non convenzionali (es. immagini, documenti PDF).
Difesa: cosa non sta funzionando
Il report evidenzia che molte aziende continuano a investire in antivirus tradizionali e firewall perimetrali, ignorando la necessità di segmentazione, backup offline e monitoraggio continuo. Inoltre, la mancanza di piani di risposta agli incidenti rende inefficaci anche le soluzioni tecniche più avanzate.
Come ethical hacker, è fondamentale promuovere un approccio zero-trust, con autenticazione forte, controllo granulare degli accessi e verifica continua dell’integrità dei sistemi. La sicurezza non è un prodotto, ma un processo.
Il ruolo dell’ethical hacker nel 2025
In questo scenario, l’ethical hacker non è solo un tester o un pentester. È un educatore, un architetto di sicurezza e un analista strategico. Deve saper comunicare con il management, tradurre i rischi tecnici in impatti economici e proporre soluzioni sostenibili.
Il report Acronis è un campanello d’allarme, ma anche un’opportunità: chi sa leggere tra le righe può anticipare le mosse degli attaccanti, rafforzare le difese e contribuire a una cultura della sicurezza condivisa.