Il ransomware è diventato un ecosistema. Difendersi richiede lo stesso livello di organizzazione.
Per anni abbiamo parlato di ransomware come di un evento, un attacco, una richiesta di riscatto, un ripristino dei sistemi. Questo schema non esiste più. Il ransomware si è trasformato in un ecosistema criminale strutturato, con una propria catena di fornitura, marketplace dedicati e reti di affiliazione. Capirlo è il primo passo per difendersi davvero.
Bitdefender ha identificato un fenomeno sempre più frequente, cioè gruppi di primo piano come Qilin, The Gentlemen, DragonForce e Coinbase Cartel colpiscono organizzazioni già attaccate in precedenza da altri gruppi. Non si tratta di attori emergenti che riciclano vecchi bersagli, ma di operatori consolidati che attingono agli stessi bacini di vittime. Un segnale che qualcosa di strutturale sta cambiando nel mondo del crimine informatico.
I principali gruppi ransomware colpiscono le stesse vittime
La prima ragione è il cosiddetto affiliate crossover. Molti gruppi ransomware operano come franchising il modello RaaS (Ransomware as a Service) dove gli affiliati si spostano liberamente da un gruppo all’altro portando con sé gli accessi già acquisiti. The Gentlemen era un ex affiliato di Qilin, DragonForce aveva annunciato una partnership con lo stesso gruppo. Gli accessi non appartengono a un singolo brand criminale, bensì seguono le persone.
La seconda ragione è più strutturale ed è quella che preoccupa di più. La mercificazione degli strumenti di attacco. Esistono marketplace criminali dove credenziali rubate, accessi compromessi e infrastrutture di attacco vengono venduti a più acquirenti contemporaneamente. I cosiddetti infostealer, ovvero i malware in grado di rubare token di sessione, password e credenziali salvate nel browser, che alimentano costantemente questo mercato, rendendo possibile che gruppi diversi acquistino le stesse informazioni e attacchino le stesse organizzazioni, anche a distanza di mesi.
Si tratta di un vero e proprio modello di business efficiente per i criminali. Comprare accessi già pronti invece di sviluppare autonomamente tecniche di intrusione riduce i costi operativi, accelera gli attacchi e rende più difficile l’attribuzione. Per i gruppi ransomware è semplicemente più conveniente. Il rovescio della medaglia, per loro, è una crescente dipendenza da fornitori terzi una concentrazione dell’ecosistema che potrebbe renderli vulnerabili a disruption nella catena di approvvigionamento criminale.
Cosa accade alle aziende
Un attacco ransomware non si esaurisce con il pagamento del riscatto o il ripristino dei sistemi. I dati rubati continuano a circolare nei marketplace criminali, esponendo l’organizzazione a nuove compromissioni da parte di altri gruppi, anche a lungo termine. Diventa, quindi, fondamentale monitorare non solo i gruppi e le loro affiliazioni, ma anche gli strumenti che utilizzano, in particolare gli infostealer derivati da famiglie note come Lumma e Redline. Le piattaforme di sicurezza devono essere in grado di operare su più livelli: analisi comportamentale, monitoraggio del traffico di rete, protezione delle API e Threat intelligence aggiornata e contestualizzata. Come dicevamo in partenza il ransomware si è organizzato. La risposta deve fare lo stesso.
Per approfondire clicca su Bitdefender Threat Debrief | June 2026