Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Chainalysis ha documentato un quadro paradossale del mercato dei ransomware nel 2025. Gli aggressori hanno dichiarato un aumento record del numero di vittime, ma l’importo totale dei riscatti in criptovaluta è rimasto praticamente invariato e, secondo alcune stime, è addirittura diminuito.
Secondo l’azienda, i pagamenti totali per ransomware on-chain (quelli effettivamente effettuati all’interno della blockchain e visibili nella cronologia delle transazioni pubbliche) nel 2025 ammontavano a circa 820 milioni di dollari, circa l’8% in meno rispetto alla stima rivista del 2024 di 892 milioni di dollari.
Chainalysis osserva che il totale del 2025 potrebbe aumentare con l’attribuzione di nuovi incidenti e transazioni, avvicinandosi ai 900 milioni di dollari. Secondo i dati di Chainalysis relativi alla prima metà del 2025 , la criptovaluta rimane il principale strumento di pagamento nell’economia della criminalità informatica.
Nonostante gli importi dei riscatti siano rimasti relativamente stabili, il numero di attacchi segnalati è aumentato notevolmente. Secondo eCrime.ch, il numero di vittime segnalate dai gruppi ransomware tramite Data Leaks Site (DLS) è aumentato del 50% su base annua. Allo stesso tempo, la percentuale di casi in cui le vittime hanno pagato potrebbe essere scesa al 28%, che sembra essere almeno il livello più basso osservato.
Chainalysis attribuisce il divario tra l’aumento degli attacchi e la stagnazione dei pagamenti a diversi fattori. Le aziende stanno rispondendo più rapidamente agli incidenti e sono più propense a rifiutare i pagamenti a causa della pressione normativa. Anche le operazioni internazionali contro gruppi, infrastrutture e catene di pagamento si stanno dimostrando efficaci.
Anche i difetti tecnici di alcune famiglie di ransomware hanno avuto un ruolo, con falle nella crittografia che hanno permesso di recuperare i dati senza dover pagare un riscatto. Allo stesso tempo, il mercato è diventato più frammentato: invece di pochi gruppi ransomware dominanti, sono emersi molti gruppi più piccoli e alcuni attacchi si sono spostati verso le piccole e medie imprese, dove i criminali informatici si aspettano risarcimenti più rapidi.
Allo stesso tempo, l’importo tipico del riscatto è aumentato significativamente. Secondo Chainalysis, il pagamento mediano è balzato del 368%, passando da 12.738 dollari nel 2024 a 59.556 dollari nel 2025. Gli autori del rapporto descrivono anche un inasprimento delle tattiche di negoziazione. Alcuni gruppi hanno aumentato la pressione attraverso contatti con dipendenti e clienti delle vittime, mentre altri si sono affidati al furto di dati e li hanno analizzati per formulare minacce più specifiche. Come dimostra l’indagine BlackCat dell’FBI , persino gli specialisti di sicurezza informatica a volte si rivolgono alle aziende di ransomware per ottenere un riscatto.
Chainalysis ha posto particolare enfasi sul ruolo dei broker di accesso iniziale (IaB), che vendono l’accesso alle reti compromesse. L’azienda ha stimato i propri ricavi on-chain nel 2025 in almeno 14 milioni di dollari, pressoché in linea con l’anno precedente. Tuttavia, si è osservato che l’impennata degli afflussi verso questi intermediari precede spesso di circa 30 giorni l’aumento dei riscatti e delle segnalazioni delle vittime.
Un’altra tendenza riguarda le infrastrutture. Secondo Chainalysis, i criminali informatici e gli attori statali utilizzano sempre più spesso gli stessi servizi, tra cui hosting “a prova di bomba” e reti proxy residenziali, per nascondere le proprie attività. Nel 2025, le forze dell’ordine e gli enti regolatori hanno aumentato la pressione su questo livello, prendendo di mira non solo gruppi specifici, ma anche i fornitori di infrastrutture e strumenti per il download di malware, aumentando i costi per l’intero mercato nero.
