Il ransomware continua a mantenersi su livelli record anche nel 2026, ma il cambiamento più rilevante riguarda la struttura stessa dell’ecosistema criminale. Secondo il report “State of Ransomware Q1 2026” pubblicato da Check Point Research, il numero di gruppi attivi si sta riducendo, mentre cresce il peso operativo dei grandi operatori globali.
Nel primo trimestre dell’anno sono state registrate 2.122 organizzazioni vittime di ransomware pubblicate sui siti di divulgazione dei dati rubati, rendendo il Q1 2026 il secondo trimestre più alto mai osservato per volume di attacchi.
Il ransomware si consolida attorno a pochi grandi gruppi
Secondo l’analisi di Check Point, i primi 10 gruppi ransomware sono arrivati a rappresentare il 71% di tutte le vittime globali, invertendo la forte frammentazione che aveva caratterizzato gran parte del 2025.
Il gruppo più attivo resta Qilin, che guida la classifica per il terzo trimestre consecutivo con 338 vittime dichiarate. Cresce però rapidamente anche The Gentlemen, passato da 40 vittime nel quarto trimestre del 2025 a 166 nel primo trimestre del 2026, diventando uno dei protagonisti emergenti del panorama ransomware globale.
Anche LockBit conferma il proprio ritorno operativo dopo le azioni delle forze dell’ordine subite nel 2024. Il gruppo ha registrato 163 vittime nel trimestre, tornando nella fascia alta dell’ecosistema ransomware internazionale.
Attacchi più stabili e continui
Il report evidenzia come il ransomware non sia più caratterizzato soltanto da grandi campagne occasionali, ma da un livello di attività costantemente elevato. Nel primo trimestre del 2026 i siti di divulgazione monitorati da Check Point hanno registrato una media superiore a 700 vittime al mese, con oscillazioni minime tra gennaio, febbraio e marzo.
Secondo i ricercatori, il consolidamento favorisce gruppi più strutturati e resilienti, capaci di assorbire affiliati provenienti da operazioni minori e di mantenere capacità operative più mature.
The Gentlemen cresce grazie ad accessi precompromessi
Uno degli aspetti più interessanti del report riguarda l’ascesa di The Gentlemen. Check Point spiega che il gruppo ha potuto accelerare rapidamente la propria attività grazie a un ampio inventario di accessi già compromessi, invece di basarsi su attività lente di compromissione opportunistica.
L’attività del gruppo si è concentrata soprattutto nell’area APAC e in America Latina, evidenziando una tendenza sempre più marcata: gli attaccanti colpiscono dove dispongono già di accessi disponibili, più che dove il potenziale economico è maggiore.
Gli Stati Uniti restano il principale bersaglio
Dal punto di vista geografico, gli Stati Uniti rappresentano quasi la metà delle vittime globali segnalate, con il 49,6% degli incidenti rilevati nel trimestre.
Tra i settori più colpiti compaiono:
Produzione
Gli ambienti industriali e manifatturieri continuano a essere obiettivi privilegiati a causa della forte sensibilità ai tempi di fermo operativo.
Sanità
Il settore healthcare resta esposto a causa della criticità dei servizi e della complessità delle infrastrutture.
Servizi alle imprese e comparto industriale
Le organizzazioni con ecosistemi IT distribuiti, VPN esposte e accessi remoti vulnerabili continuano a rappresentare un bersaglio frequente per i gruppi ransomware.
L’AI accelera il ciclo degli attacchi
Secondo Sergey Shykevich, responsabile del gruppo Threat Intelligence di Check Point Software, il ransomware sta entrando in una fase in cui il numero degli operatori conta meno rispetto alla loro capacità operativa.
L’intelligenza artificiale starebbe inoltre comprimendo il ciclo di vita degli attacchi, accelerando il passaggio dall’accesso iniziale allo sfruttamento effettivo delle vulnerabilità.
Per questo motivo, Check Point sostiene che le aziende debbano spostarsi da una logica puramente reattiva a una strategia proattiva di riduzione dell’esposizione, intervenendo su identità, accessi, segmentazione di rete e percorsi di movimento laterale prima che gli attacchi possano propagarsi.
Check Point indica tre aree prioritarie per ridurre il rischio ransomware
Nel report, Check Point sostiene che le aziende debbano intervenire soprattutto su tre fronti per limitare il rischio di ransomware e ridurre le possibilità che gli attaccanti riescano a entrare o propagarsi nei sistemi aziendali.
Protezione integrata di rete, cloud e accessi remoti
La prima area riguarda la protezione coordinata di reti aziendali, ambienti cloud, data center e utenti che lavorano da remoto. L’obiettivo è bloccare malware, phishing, exploit e download malevoli prima che raggiungano dispositivi e infrastrutture critiche, utilizzando controlli di sicurezza basati anche sull’intelligenza artificiale.
Riduzione preventiva delle vulnerabilità esposte
La seconda direttrice riguarda l’identificazione preventiva delle debolezze realmente sfruttabili dagli attaccanti. Secondo Check Point, le aziende devono individuare vulnerabilità, configurazioni errate, VPN esposte e percorsi di accesso rischiosi prima che vengano utilizzati nei ransomware attack.
Protezione degli utenti e delle credenziali
L’ultimo fronte riguarda la sicurezza degli utenti, che restano uno dei principali punti di ingresso per gli attacchi ransomware. In questo caso l’obiettivo è proteggere email, browser, applicazioni SaaS ed endpoint contro phishing, furto di credenziali e malware, limitando anche eventuali movimenti laterali all’interno della rete aziendale.
