Ransomware 2026: l'estorsione abbandona la cifratura
Il report Kaspersky del 12 maggio 2026 documenta la mutazione del ransomware: meno cifratura, più furto di dati, EDR killer sistemici e crittografia post-quant…
Contenuto
Il 12 maggio 2026, in coincidenza con l'International Anti-Ransomware Day, Kaspersky ha pubblicato il suo report annuale "State of ransomware in 2026" che traccia una mutazione radicale dell'ecosistema minaccioso. L'attacco sta abbandonando la logica classica della cifratura dei file per spostarsi verso l'estorsione pura basata sul furto e sulla minaccia di divulgazione di dati sensibili. Contemporaneamente, le difese endpoint diventano bersaglio tattico prioritario, mentre nuove famiglie di malware preparano la resilienza offensiva contro i computer quantistici.
- La quota di riscatti pagati è scesa al 28% nel 2025: gli attaccanti reagiscono eliminando la cifratura e puntando sulle conseguenze normative e reputazionali della divulgazione dati.
- La famiglia ransomware PE32 adotta la crittografia post-quantum ML-KEM (Kyber1024, Level 5 security) per proteggere le chiavi AES contro futuri sistemi quantistici.
- Gli operatori integrano "EDR killers" e tecniche BYOVD (Bring Your Own Vulnerable Driver) come fase deliberata e ripetibile del ciclo di attacco, non più come evasione opportunistica.
- Gli initial access brokers industrializzano l'accesso tramite RDWeb, che emerge come metodo di accesso remoto preferito insieme a RDP e VPN.
Il calo dei pagamenti al 28% ridisegna l'economia dell'attacco
Nel 2025 la percentuale di organizzazioni che hanno pagato il riscatto è scesa al 28%, secondo i dati del report Kaspersky. Questo crollo rappresenta uno spartiacque: gli attaccanti percepiscono che la cifratura, tradizionale leva di pressione sul business continuity, sta perdendo efficacia. Le imprese hanno investito sui backup, sulle strategie di recovery, sulla resilienza operativa. Il ransomware classico — cifra, chiedi, attendi — risulta sempre meno redditizio.
La risposta del threat actor è l'"encryptionless extortion": come documentato nel report, gruppi come ShinyHunters "leave out the 'ware' in 'ransomware'" e si concentrano sul furto puro di dati sensibili. L'arma non è più l'indisponibilità dei sistemi, ma la minaccia di pubblicazione su data leak site e le conseguenze incombenti: sanzioni GDPR, violazioni contrattuali, danno reputazionale misurabile in contratti persi e quotazioni in borsa. Il backup, per questo modello, diventa irrilevante: i dati sono già usciti, la copia offline non annulla la divulgazione.
Il report non specifica la metodologia esatta dietro il dato del 28%, né è possibile verificarlo indipendentemente nel dossier. Rimane tuttavia coerente con altri indicatori convergenti: la percentuale di organizzazioni colpite è diminuita nel 2025 in tutte le regioni rispetto al 2024, ma la minaccia non si è attenuata — si è solo trasformata in qualcosa di più difficile da contenere con gli strumenti tradizionali.
Dalla cifratura tradizionale alla crittografia post-quantum
Se da un lato alcuni attori abbandonano la cifratura, dall'altro le nuove famiglie la potenziano radicalmente. Il report Kaspersky documenta che PE32, nuova famiglia ransomware, sta "adopting post-quantum cryptography ciphers" implementando lo standard ML-KEM attraverso l'algoritmo Kyber1024, classificato Level 5 security — approssimativamente equivalente alla robustezza di AES-256.
L'architettura è ibrida: Kyber1024 genera segreti condivisi resistenti ai computer quantistici, che proteggono le chiavi AES sottostanti. È lo stesso paradigma che TLS 1.3 e QUIC stanno adottando nel lato difensivo, qui rovesciato in chiave offensiva. L'obiettivo non è immediato: i sistemi quantistici attuali non minacciano la crittografia asimmetrica tradizionale. La mossa è preparatoria, un investimento in resilienza offensiva a lungo termine contro la futura cryptanalysi quantistica.
Non è nota la prevalenza reale di questo trend: PE32 è citato come esempio tecnico emblematico, non come famiglia dominante. Il report non quantifica quante famiglie abbiano già implementato schemi post-quantum né quali siano le tempistiche di diffusione previste. Rimane un segnale di anticipazione strategica da parte degli sviluppatori di malware, non una trasformazione di massa già compiuta.
EDR killers e BYOVD: la sicurezza endpoint come obiettivo tattico
La neutralizzazione sistematica delle difese endpoint rappresenta il secondo campo di battaglia emerso dal report. Gli operatori ransomware del 2026 non cercano più di evitare l'EDR: lo aggrediscono direttamente. Il report documenta l'uso diffuso di strumenti "EDR killers" e tecniche BYOVD — "Bring Your Own Vulnerable Driver (BYOVD)" — per terminare processi di sicurezza e disabilitare agenti di monitoraggio.
La tecnica sfrutta driver legittimi e firmati, ma vulnerabili, che vengono caricati nel sistema target per eseguire operazioni a livello kernel al di fuori della visibilità dell'antivirus. Non si tratta più di evasione opportunistica, caso per caso: è diventata fase pianificata, ripetibile, integrata nei playbook di attacco. L'endpoint, da perimetro di difesa, si trasforma in teatro di combattimento dove l'attaccante e il difensore competono per il controllo dello stesso hardware.
Questo spostamento ha conseguenze progettuali concrete. Le architetture di sicurezza che puntano esclusivamente sull'endpoint come barriera principale mostrano fragilità strutturale: se l'agente può essere spento o accecato, il resto della kill chain procede indisturbato. La segmentazione di rete, il controllo degli accessi, il monitoraggio behaviorale a livello infrastrutturale acquistano peso relativo rispetto alla pura protezione perimetrale del singolo dispositivo.
RDWeb e l'industrializzazione dell'accesso iniziale
Il terreno di approdo dell'attacco viene preparato da un mercato maturo e strutturato. Gli initial access brokers (IAB) mantengono un ruolo centrale nel 2026, con un shift tecnico significativo: il report documenta un focus crescente sull'accesso a RDWeb come "preferred method of remote access", in risposta alla progressiva riduzione dell'esposizione pubblica RDP da parte delle organizzazioni più consapevoli.
RDWeb, Remote Desktop Web Access, permette l'accesso ai desktop virtuali tramite browser e HTTPS — apparentemente più controllabile, tecnicamente esposto a compromissione se l'infrastruttura sottostante (AD, gateway, certificati) presenta falle o configurazioni deboli. RDP, VPN e RDWeb rimangono i tre vettori principali commercializzati underground, ma il trend indica una risposta adattiva degli IAB alle contromisure difensive: dove il difensore chiude una porta, l'attaccante sposta la domanda su quella meno sorvegliata.
Parallelamente, il report registra sequestri significativi di infrastrutture criminali nel 2025-2026: i forum Nulled, Cracked, XSS, i data leak site di BlackSuit e 8Base, poi RAMP nel gennaio 2026 e LeakBase nel marzo 2026. Questa pressione law enforcement non ha ridotto l'offerta di accessi: ha solo spostato il mercato verso attori più resilienti e verso piattaforme più decentralizzate o transienti.
"Qilin was the most active group executing targeted attacks in 2025"
Il gruppo Qilin è emerso come attore dominante dal secondo trimestre 2025, seguito da Clop per gli attacchi supply-chain su larga scala e da Akira per stabilità operativa. Questa gerarchia, annotata nel report, conferma che l'ecosistema ransomware nel 2026 è caratterizzato da specializzazione funzionale: Qilin nei target mirati, Clop nella scalata massiva attraverso la supply chain, Akira nella continuità operativa.
Il dato sui danni al settore manufacturing — oltre $18 miliardi nei primi tre trimestri del 2025, secondo ricerca Kaspersky e VDC Research — non è verificabile indipendentemente nel dossier. Non è chiaro se la cifra includa solo downtime produttivo, riscatti pagati, costi di remediation o danno reputazionale complessivo. Resta comunque un indicatore di scala per un settore storicamente esposto per la convergenza OT/IT e la bassa tolleranza all'interruzione delle linee produttive.
Cosa fare adesso
Le mutazioni documentate nel report impongono un ricalibrazione delle strategie difensive, non un semplice aggiornamento degli strumenti.
Ridisegnare la protezione dati contro la divulgazione, non solo contro la perdita. I programmi di backup e disaster recovery restano efficaci contro la cifratura, ma non proteggono dalla pubblicazione di dati rubati. Serve data minimization, classificazione dei dati per criticità normativa, controlli di accesso granulari, e cifratura a riposo che renda il contenuto estratto meno immediatamente utilizzabile dall'attaccante.
Assumere che l'EDR possa essere accecato e costruire visibility alternativa. Il monitoraggio di rete, i log infrastrutturali centralizzati, le sonde behaviorale a livello proxy e DNS forniscono punti di osservazione indipendenti dall'integrità dell'agente endpoint. La correlazione cross-layer diventa essenziale: nessun singolo strumento deve essere la fonte unica di verità.
Trattare RDWeb con la stessa criticità di RDP ed espandere il perimetro zero-trust. L'accesso remoto via browser non è intrinsecamente più sicuro. Richiede hardening di Active Directory, certificate pinning, monitoraggio delle sessioni, e verifica continua dell'identità indipendentemente dal protocollo usato. La segmentazione micro-network e l'accesso just-in-time riducono la superficie esposta anche in caso di credenziali compromesse.
Preparare la post-quantum transition anche sul lato cifratura dei dati a riposo. Se gli attaccanti anticipano la cryptanalysi quantistica, i difensori non possono ritardare. L'inventario degli asset crittografici, la valutazione di algoritmi ibridi ML-KEM/X25519, e la roadmap di migrazione verso standard NIST devono entrare nel ciclo di pianificazione triennale, non rimanere esercizi accademici.
Un ecosistema che si adatta più velocemente delle difese
Il report Kaspersky del 2026 non descrive un rafforzamento lineare della minaccia, ma una sua riorganizzazione economica e tecnica. Il calo dei pagamenti ha disincentivato la cifratura come mezzo primario; la risposta è stata un'estorsione più pulita, più difficile da contenere con gli strumenti tradizionali, più radicata nelle vulnerabilità organizzative che nelle falle tecniche. La commoditizzazione dell'accesso iniziale abbassa la barriera all'entrata; la potenziamento crittografico e l'aggredimento delle difese endpoint alzano la resilienza operativa degli attori più evoluti.
La sfida per le organizzazioni non è più la recovery post-incidente, ma la prevenzione della compromissione iniziale e la riduzione dell'impatto della divulgazione. I backup salvano i sistemi, non la reputazione. L'EDR protegge gli endpoint, finché non viene spento. In questo scenario, la sicurezza che conta è quella che impedisce all'attaccante di arrivare ai dati, non quella che lo sconfigge una volta dentro.
Domande frequenti
Il backup è diventato inutile contro il ransomware?
No. I backup restano efficaci contro la cifratura dei file, che rimane una tecnica diffusa. Diventano inadeguati contro l'estorsione senza cifratura, dove la leva è la minaccia di divulgazione dati già rubati. Serve una strategia dual-layer: recovery per la disponibilità, data protection per la riservatezza.
La crittografia post-quantum dei ransomware è un rischio immediato?
Non immediato. I computer quantistici attuali non minacciano RSA o ECC. L'adozione di ML-KEM/Kyber1024 da parte di famiglie come PE32 è un investimento in resilienza offensiva a lungo termine, che prepara il malware alla futura cryptanalysi quantistica. I difensori devono anticipare la transizione con pari velocità.
Perché RDWeb è diventato preferito a RDP per gli attaccanti?
Le organizzazioni più mature hanno ridotto l'esposizione pubblica RDP tramite VPN, gateway hardened, e accesso condizionato. Gli IAB si sono spostati su RDWeb come alternativa meno sorvegliata, che offre comunque accesso remoto ai desktop virtuali tramite browser. È un esempio di adattamento adattivo del threat landscape alle contromisure difensive.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.