Negli ultimi mesi la scena della cybersecurity è stata scossa da una ripresa aggressiva delle operazioni ransomware attribuite al gruppo Qilin. Secondo l’analisi di Cisco Talos, nella seconda metà del 2025 il collettivo ha compromesso in media oltre 40 nuove organizzazioni al mese, con picchi superiori alle 100 vittime in giugno ed agosto. Nato nel 2022 ed ormai evolutosi in una piattaforma RaaS, Qilin adotta la doppia estorsione: cifratura dei sistemi e furto dei dati con minaccia di pubblicazione. Il settore manifatturiero è il più colpito (circa un quarto dei casi), seguito da servizi professionali e commercio all’ingrosso; geograficamente l’impatto è concentrato in Nord America ed Europa (Usa, Canada, Regno Unito, Francia, Germania). 

Sul piano tecnico il gruppo si distingue per strumenti modulari e multipiattaforma: ingressi iniziali tramite dispositivi di accesso remoto compromessi o vulnerabilità note, spostamento laterale sfruttando tool legittimi (living-off-the-land) e pre-selezione dei file sensibili — talvolta visualizzati con programmi banali come Notepad o Paint prima dell’esfiltrazione. La fase di attacco è spesso bifasica: un componente si propaga nella rete, un altro esegue la cifratura. I dati trafugati vengono pubblicati su portali ospitati su infrastrutture offshore difficili da tracciare; in alcuni casi gli aggressori offrono persino consulenza legale per facilitare il pagamento. Le stime indicano riscatti superiori ai 50 milioni di dollari solo nel 2024 e non esistono decrittatori pubblici per le varianti più recenti, che inoltre tendono a cancellare tracce compromettendo l’analisi forense. Cisco Talos raccomanda misure urgenti: patching tempestivo delle vulnerabilità, Mfa, segmentazione di rete, backup off-line, monitoraggio dei comportamenti anomali e formazione del personale. Per settori critici —trasporti inclusi— la risposta deve essere coordinata tra imprese, autorità e centri di risposta per limitare impatto operativo ed economico.