Il panorama della cybersicurezza globale è sotto attacco da una nuova minaccia devastante. Qilin, il ransomware più aggressivo del 2025, ha colpito oltre 40 nuove vittime ogni mese nella seconda metà dell’anno, con picchi di oltre 100 organizzazioni compromesse in giugno e agosto. L’allarme arriva dall’analisi di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity.
L’evoluzione del ransomware as a service
Scoperto nel 2022, Qilin si è trasformato rapidamente in una sofisticata piattaforma di ransomware-as-a-service (RaaS). Il gruppo criminale fornisce strumenti e supporto tecnico a cybercriminali di tutto il mondo, democratizzando l’accesso a tecnologie di attacco avanzate.
Il modello operativo si basa sulla “doppia estorsione”: i dati delle vittime vengono simultaneamente cifrati e sottratti. Questa strategia aumenta drasticamente la pressione psicologica sulle organizzazioni, minacciando la pubblicazione di informazioni sensibili oltre al blocco dei sistemi.
Settori e aree geografiche più colpite
Il settore manifatturiero rappresenta il bersaglio principale, costituendo circa il 25% delle vittime totali. Seguono i servizi professionali e il commercio all’ingrosso, settori caratterizzati da elevata digitalizzazione e dati sensibili.
Geograficamente, gli attacchi si concentrano in Nord America ed Europa. Stati Uniti, Canada, Regno Unito, Francia e Germania risultano i paesi più esposti, probabilmente per la maggiore capacità economica delle organizzazioni target.
Tecniche di attacco sempre più sofisticate
L’analisi di Cisco Talos rivela tecniche di infiltrazione estremamente raffinate. Gli attacchi iniziano tipicamente attraverso la compromissione di dispositivi di accesso remoto o lo sfruttamento di vulnerabilità note nei sistemi aziendali.
Una volta penetrati nella rete, i cybercriminali utilizzano strumenti legittimi per il movimento laterale, rendendo difficile la detection. Particolarmente inquietante è l’utilizzo di programmi innocui come Notepad o Paint per visualizzare i file rubati, suggerendo una pianificazione meticolosa nella selezione dei dati più sensibili.
Il business milionario del cybercrime
L’impatto economico di Qilin è devastante: solo nel 2024 il gruppo ha incassato oltre 50 milioni di dollari in riscatti. Le varianti più recenti del ransomware sono particolarmente evolute, senza strumenti di decrittazione pubblici disponibili.
I dati rubati vengono pubblicati nel dark web attraverso infrastrutture offshore difficilmente rintracciabili. In alcuni casi, le vittime vengono invitate a contattare un avvocato tramite il sito degli attaccanti, un servizio che facilita il pagamento del riscatto.
Strategie di difesa contro la minaccia
Cisco Talos raccomanda misure di sicurezza immediate e concrete. L’aggiornamento tempestivo di tutti i software, particolare quelli per l’accesso remoto e i backup, rappresenta la prima linea di difesa.
L’implementazione dell’autenticazione a più fattori, la segmentazione della rete e il monitoraggio comportamentale sono strumenti essenziali. La formazione del personale e il backup offline dei dati critici completano una strategia di protezione efficace.
La minaccia Qilin rappresenta l’evoluzione del cybercrime moderno, richiedendo una risposta coordinata tra aziende, istituzioni e governi. La capacità di adattamento del gruppo criminale e il suo impatto sui settori strategici impongono un approccio proattivo alla cybersecurity, dove la prevenzione diventa l’unica strategia vincente contro questa forma avanzata di criminalità digitale.