Secondo l’edizione di aprile del Bitdefender Threat Debrief, che analizza in modo approfondito l’evoluzione del ransomware e delle minacce informatiche a livello globale, emerge un quadro in costante peggioramento.
Il rapporto, basato su fonti OSINT e sui dati provenienti dai siti di leak dei gruppi criminali, evidenzia come nel solo mese di marzo siano state registrate 855 vittime di ransomware, confermando una tendenza in crescita. Tra i fenomeni più rilevanti emerge il gruppo Handala, che ha registrato un’impennata significativa delle attività.
Il caso Handala
Nel marzo 2026 il gruppo ha dichiarato 23 vittime, un numero che rappresenta oltre la metà del totale annuale finora e che segna un netto aumento rispetto al 2025, quando le vittime complessive erano state 50.
Un dato particolarmente significativo riguarda la distribuzione geografica degli attacchi, circa un terzo ha colpito Israele, evidenziando un’escalation rispetto ai mesi precedenti. Nel contesto degli ultimi due anni, Handala si conferma il gruppo più attivo contro obiettivi israeliani, suggerendo un chiaro legame tra attività cyber e tensioni geopolitiche, in particolare quelle con l’Iran.
Nonostante le azioni di contrasto da parte delle autorità statunitensi, tra cui il sequestro di diversi domini associati al gruppo, Handala ha dimostrato una notevole capacità di adattamento e continuità operativa. Secondo agenzie federali USA, il gruppo potrebbe essere collegato al Ministero dell’Intelligence iraniano (MOIS), un’ipotesi che aiuterebbe a spiegare l’accesso a risorse avanzate, la resilienza alle indagini e la capacità di pianificare strategie per evitare interruzioni.
Gli attacchi attribuiti a Handala hanno colpito settori critici come sanità, finanza, istruzione e infrastrutture, oltre a includere bersagli di alto profilo, aumentando così l’impatto complessivo delle operazioni.
Tra ransomware e hacktivismo
Sebbene Handala utilizzi tecniche tipiche del ransomware, come l’esfiltrazione dei dati e la minaccia di pubblicazione, le sue motivazioni sembrano andare oltre il semplice profitto economico. Il gruppo appare orientato a generare impatto politico e psicologico, danneggiare la reputazione delle vittime e ottenere visibilità mediatica.
Secondo il report di Bitdefender queste caratteristiche lo collocano in una zona ibrida tra cybercriminalità e hacktivismo. Un attore che sfrutta strumenti tradizionali del ransomware per perseguire obiettivi strategici e ideologici. Il caso Handala non rappresenta un episodio isolato, ma riflette una trasformazione più ampia del panorama delle minacce.
Gli attacchi informatici stanno diventando uno strumento sempre più centrale nei conflitti moderni, utilizzati non solo per fini economici ma anche per influenzare, destabilizzare e amplificare le tensioni geopolitiche. In questo contesto, il cyberspazio si configura come un nuovo fronte di guerra, in cui attori statali e non statali operano con crescente sofisticazione, ridefinendo le regole del conflitto globale.