Il ransomware Akira è diventato una delle minacce più temute per le aziende europee. Il 13 novembre 2025, CISA, FBI, il centro forense DC3, l’agenzia sanitaria HHS, il NCSC olandese ed Europol hanno aggiornato l’allerta congiunta sul gruppo: secondo quel documento, Akira ha compromesso almeno 342 organizzazioni in tutto il mondo dall’esordio nel marzo 2023 e ha incassato oltre 244 milioni di dollari in riscatti fino a fine settembre 2025. A giugno 2026 il gruppo resta operativo, veloce e in piena espansione verso il settore finanziario e l’industria europea.
Questa analisi raccoglie i numeri verificati, le tecniche di attacco, i settori colpiti, il confronto con i rivali Qilin e LockBit, le valutazioni degli esperti e cinque previsioni per il resto del 2026. L’obiettivo è capire perché Akira riesce a colpire così tante imprese italiane ed europee e cosa serve per difendersi.
Akira ransomware: cosa dice l’allerta congiunta di novembre 2025
L’aggiornamento dell’avviso AA24-109a, pubblicato il 13 novembre 2025, definisce Akira una “minaccia in escalation”. Le agenzie firmatarie attraversano tre continenti, segnale di quanto la campagna sia diventata transnazionale. La prima versione dell’allerta risale all’aprile 2024. In diciotto mesi il numero di vittime confermate è quasi raddoppiato, e il bottino dichiarato è passato dalla soglia dei 42 milioni di dollari alla cifra attuale di oltre 244 milioni.
Akira opera con il modello ransomware-as-a-service. Gli sviluppatori del nucleo gestiscono il codice e il sito di estorsione, mentre una rete di affiliati conduce le intrusioni e si divide il riscatto. Questo schema spiega la velocità di crescita: più affiliati significano più attacchi paralleli contro obiettivi diversi, dalla piccola manifattura del Nord Italia alle banche regionali europee.
Per i lettori che seguono l’evoluzione della minaccia, il fenomeno si inserisce in un anno record. Secondo il report di settore di TIM e Format Research, gli attacchi ransomware globali sono cresciuti del 42% nel 2025, e in Italia del 14%, con 166 casi censiti. Akira è uno dei motori principali di questa accelerazione, secondo solo a Qilin per volume di vittime rivendicate.
I numeri di Akira: 342 organizzazioni e 244 milioni di dollari
La cifra di riferimento più solida resta quella dell’avviso governativo: 342 organizzazioni compromesse e più di 244 milioni di dollari incassati. Alcune analisi indipendenti del 2026 spingono il conteggio oltre le 1.400 vittime e i 245 milioni di dollari, ma queste stime derivano da fonti secondarie che includono le rivendicazioni pubblicate sul sito di leak, non confermate dalle agenzie. In linea con il principio della cifra più conservativa, questa analisi tiene come dato primario i 342 obiettivi e i 244 milioni dell’allerta congiunta.
Il gruppo ha anche un focus crescente sulla finanza. Tra aprile 2024 e aprile 2025, Akira ha attaccato 34 organizzazioni del settore finanziario. Una campagna mirata contro l’infrastruttura di accesso remoto degli istituti di credito è partita a luglio 2025, sfruttando vulnerabilità nelle VPN SonicWall. Per le banche europee, già strette dalle regole di resilienza operativa, questo significa una pressione diretta su sistemi considerati critici.
Nel quadro più ampio, Akira ha chiuso il 2025 con circa 735 vittime rivendicate, in crescita del 188% rispetto al 2024, secondo i conteggi di Picus Security e Breachsense. È il secondo gruppo più attivo al mondo, dietro solo a Qilin. Nel primo trimestre 2026, secondo Check Point Research, i quattro gruppi di testa (Qilin, Akira, The Gentlemen e LockBit) hanno totalizzato il 41% di tutte le vittime, segno di una concentrazione del mercato criminale nelle mani di pochi marchi dominanti.
Come Akira ottiene l’accesso: VPN e CVE sfruttate
Il punto di ingresso preferito di Akira è l’accesso remoto. Il gruppo prende di mira VPN e gateway esposti su Internet, spesso privi di autenticazione a più fattori. Credenziali rubate, phishing e brute force completano il quadro. Una volta dentro, gli affiliati sfruttano vulnerabilità note per muoversi lateralmente, ottenere privilegi e disattivare le difese.
| Vettore | CVE sfruttata | Prodotto | Obiettivo tecnico |
|---|---|---|---|
| SSL VPN | CVE-2024-40766 | SonicWall | Accesso iniziale, campagna luglio 2025 |
| VPN / firewall | CVE-2020-3259, CVE-2023-20269, CVE-2020-3580 | Cisco ASA/FTD | Furto credenziali e accesso remoto |
| Escalation privilegi | CVE-2023-28252 | Windows CLFS | Privilegi di sistema |
| Hypervisor | CVE-2024-37085 | VMware ESXi | Bypass autenticazione |
| Backup | CVE-2023-27532, CVE-2024-40711 | Veeam Backup | Furto credenziali ed eliminazione backup |
La lezione operativa è netta. La maggior parte di queste falle ha una patch disponibile da mesi o anni. Akira non ha bisogno di zero-day costosi: si nutre di sistemi non aggiornati e di VPN senza secondo fattore. Le imprese italiane che espongono SonicWall, Cisco ASA o Veeam senza segmentazione restano bersagli facili, anche nel 2026.
Doppia estorsione e cifratura: da C++ a Rust Megazord
Akira applica la doppia estorsione. Prima esfiltra i dati, poi cifra i sistemi e minaccia di pubblicare le informazioni rubate se il riscatto non arriva. Questa tattica funziona anche contro chi ha backup solidi: ripristinare i file non basta, perché resta la minaccia della divulgazione. Per molte aziende sanitarie e manifatturiere il vero ricatto è sulla riservatezza, non solo sulla disponibilità.
Sul piano tecnico, il gruppo mantiene più cifratori, capaci di colpire Windows, Linux, VMware ESXi e Nutanix AHV. Il codice è passato dalla variante originale in C++ a payload basati su Rust, tra cui Megazord e Akira_v2. Rust offre prestazioni elevate e una maggiore difficoltà di analisi per i ricercatori. Prima di cifrare, Akira elimina le copie shadow, disattiva i software di sicurezza e prende di mira proprio le piattaforme di virtualizzazione e backup, così da spegnere la capacità di ripristino della vittima.
Chi vuole capire come funziona la cifratura sottostante e perché le funzioni crittografiche sono difficili da invertire può approfondire con la nostra guida alle funzioni hash e alla crittografia. La forza di Akira non sta nell’algoritmo, che usa schemi crittografici standard, ma nella velocità e nella catena di accesso.
Velocità d’attacco: meno di quattro ore dall’accesso alla cifratura
La caratteristica più allarmante di Akira è la rapidità. Secondo la società di ricerca Halcyon, citata nei report del 2026, il gruppo riesce a passare dall’accesso iniziale alla cifratura completa in meno di quattro ore. Questo comprime drasticamente la finestra di rilevamento e risposta. Un team di sicurezza che lavora su turni diurni può trovarsi i server cifrati prima ancora di accorgersi dell’intrusione.
La velocità ha conseguenze dirette sulla strategia difensiva. I controlli manuali e le revisioni periodiche non bastano. Servono rilevamento automatico delle anomalie, blocco immediato degli accessi remoti sospetti e una segmentazione che impedisca il movimento laterale. Per le PMI italiane, spesso prive di un security operations center attivo 24 ore su 24, la finestra di quattro ore è semplicemente troppo stretta per una reazione umana tempestiva.
I settori nel mirino: manifatturiero, finanza e sanità
Akira non sceglie a caso. Privilegia organizzazioni con alta dipendenza dalla continuità operativa e bassa tolleranza al fermo macchina. Il manifatturiero è il bersaglio principale, seguito da servizi finanziari, istruzione, sanità, tecnologia e settore alimentare e agricolo. In Italia, dove la manifattura e il “Made in Italy” pesano in modo decisivo sul PIL, questa preferenza si traduce in un rischio concreto per la spina dorsale industriale del Paese.
| Settore | Livello di esposizione | Dato di contesto |
|---|---|---|
| Manifatturiero | Molto alto | Bersaglio numero uno, filiere “Made in Italy” ad alto valore |
| Servizi finanziari | Alto e in crescita | 34 organizzazioni colpite tra apr. 2024 e apr. 2025 |
| Sanità | Alto | Esposizione massiccia di dati dei pazienti |
| Istruzione | Medio | Università e centri di ricerca |
| Tecnologia / IT | Medio | Fornitori e managed service provider |
| Alimentare e agricoltura | Medio | Infrastrutture logistiche e produttive |
La scelta dei settori non è solo opportunistica. Le aziende manifatturiere tendono a fermarsi del tutto quando i sistemi industriali si bloccano, e questo aumenta la disponibilità a pagare. Le banche, dal canto loro, gestiscono dati sensibili la cui esposizione comporta sanzioni e danni reputazionali enormi. Akira sa dove la leva dell’estorsione è più forte.
L’Europa sotto attacco: Francia in testa, Italia esposta
L’Europa è terreno di caccia primario per Akira. Uno studio del 2026 citato nei report di settore indica la Francia come bersaglio europeo dominante, con il 53,1% degli attacchi Akira rilevati nel continente. L’Italia non ha un conteggio nazionale ufficiale altrettanto preciso per Akira, ma resta tra i Paesi più colpiti dell’Unione per ransomware in generale.
Secondo l’ENISA Threat Landscape 2025, Germania e Italia guidano le classifiche delle vittime nell’Unione, con l’Italia spesso al secondo posto e oltre l’11% del totale europeo. Il quadro è aggravato dall’attività degli hacktivisti filo-russi come NoName057(16), che colpiscono la pubblica amministrazione con attacchi DDoS in parallelo alle campagne ransomware. Abbiamo analizzato i dati completi nell’approfondimento dedicato a ENISA 2025 e ai 4.900 incidenti cyber censiti.
Il contesto europeo è teso anche sul fronte istituzionale. Nel marzo 2026 la Commissione europea ha denunciato un attacco alla propria infrastruttura cloud, con sospetta esfiltrazione di dati e contenimento nel giro di poche ore. A febbraio 2026, falle critiche in Ivanti hanno aperto la strada a intrusioni contro enti europei. Akira si muove in questo ecosistema già fragile, sfruttando le stesse debolezze di accesso remoto.
Akira contro Qilin e LockBit: la classifica 2025-2026
Per inquadrare Akira serve un confronto con i rivali. Il 2025 ha visto Qilin imporsi come gruppo numero uno, con circa 958 vittime rivendicate e una crescita del 474% su base annua. Akira segue al secondo posto. LockBit, storico leader del settore, ha attraversato una fase di riorganizzazione dopo le operazioni di contrasto delle forze dell’ordine e ha perso terreno.
| Gruppo | Vittime 2025 (globali) | Crescita su 2024 | Bersaglio principale in UE |
|---|---|---|---|
| Qilin | ~958 | +474% | Industria e sanità |
| Akira | ~735 | +188% | Manifatturiero, finanza, PA |
| LockBit | In calo / riorganizzazione | Negativa | Manifatturiero |
| Play | In calo (-31,8%) | Negativa | Servizi |
| The Gentlemen | Emergente | In crescita | Vari settori |
| RansomHub | Top 10 | In crescita | Vari settori |
La differenza chiave tra Akira e Qilin sta nello stile operativo. Qilin punta sul volume e su una grande rete di affiliati. Akira combina volume e velocità, con una catena di attacco affinata e una predilezione per le VPN. Per un approfondimento sul leader del mercato, vale la pena leggere la nostra analisi su Qilin ransomware e le sue 701 vittime, e per il quadro nazionale l’inchiesta su ransomware in Italia con 166 casi e +14%.
Impatto economico e di mercato
Il paradosso del 2025-2026 è che le vittime aumentano mentre i pagamenti medi calano. Secondo Sophos, i pagamenti totali di riscatto sono scesi del 35%, da 1,25 miliardi di dollari nel 2023 a circa 813 milioni nel 2024, con il pagamento mediano dimezzato a un milione di dollari nel 2025. Sempre più organizzazioni rifiutano di pagare, sostenute da backup migliori e da una cultura della non-resa.
Questo non significa che il danno diminuisca. Il costo reale di un attacco va oltre il riscatto: comprende fermo operativo, ripristino dei dati, consulenze legali, sanzioni e perdita di reputazione. Per Akira, il rifiuto crescente di pagare spinge il gruppo a colpire di più, a esfiltrare dati più sensibili e a fare leva sulla minaccia di divulgazione. Il risultato è una corsa: più attacchi per compensare un tasso di pagamento più basso.
Per il mercato della cybersicurezza l’effetto è una domanda crescente di soluzioni di rilevamento, di servizi di risposta agli incidenti e di polizze assicurative cyber. Le imprese che espongono accesso remoto senza protezioni adeguate vedono salire i premi assicurativi o si trovano escluse dalla copertura. La pressione di Akira sta accelerando l’adozione dell’autenticazione a più fattori e della segmentazione di rete in tutta Europa.
Contesto storico: dall’esordio 2023 alla maturità criminale
Akira è comparso nel marzo 2023. In meno di un anno è entrato nel mirino delle agenzie, con la prima allerta congiunta CISA/FBI dell’aprile 2024. Da allora il gruppo ha mostrato una capacità di adattamento rara: ha riscritto i propri cifratori in Rust, ha esteso il bersaglio a Linux, ESXi e Nutanix, e ha cambiato i vettori di accesso seguendo le vulnerabilità del momento.
Questa traiettoria ricorda quella dei grandi gruppi precedenti, da Conti a LockBit, ma con un ciclo di evoluzione più rapido. Mentre le forze dell’ordine smantellano un’infrastruttura, ne nasce un’altra. Il modello ransomware-as-a-service rende il fenomeno resiliente: anche se il nucleo di Akira venisse colpito, gli affiliati migrerebbero verso il marchio successivo. La storia recente del settore, descritta nei report Clusit ed ENISA, mostra una consolidazione: nel primo trimestre 2026 i primi dieci gruppi hanno coperto la maggioranza delle vittime totali.
Cosa dicono gli esperti
La valutazione ufficiale è netta. Nell’avviso aggiornato del 13 novembre 2025, CISA, FBI e i partner internazionali definiscono Akira “una minaccia in escalation” e confermano i 342 obiettivi compromessi e i 244 milioni di dollari incassati, invitando le organizzazioni a rafforzare con urgenza l’autenticazione a più fattori e la gestione delle patch.
Sul piano del comportamento criminale, i ricercatori di Halcyon sottolineano che Akira può completare l’intero ciclo, dall’accesso iniziale alla cifratura, in meno di quattro ore, una velocità che rende quasi impossibile la risposta manuale. Check Point Research, nel report sullo stato del ransomware del primo trimestre 2026, osserva che Qilin, Akira, The Gentlemen e LockBit hanno capitalizzato l’instabilità del panorama criminale, totalizzando insieme il 41% di tutte le vittime.
Sul fronte europeo, l’ENISA evidenzia nel suo Threat Landscape 2025 la concentrazione delle vittime nei principali Stati membri, con Germania e Italia in testa, e segnala il ruolo crescente degli hacktivisti contro la pubblica amministrazione. Europol, co-firmataria dell’allerta su Akira, ricorda che il contrasto efficace richiede cooperazione internazionale e segnalazione tempestiva degli incidenti, principi al cuore della normativa europea.
NIS2 e la risposta normativa europea
La direttiva NIS2 ha ridisegnato gli obblighi di cybersicurezza in Europa. Ha ampliato l’ambito di applicazione a nuovi settori, tra cui la manifattura di prodotti critici, i servizi postali, la gestione dei rifiuti e le banche centrali. Proprio i comparti che Akira preferisce rientrano ora tra le entità essenziali e importanti, soggette a requisiti più severi.
Per le imprese italiane, NIS2 impone analisi del rischio, sicurezza della catena di fornitura, piani di gestione delle crisi e tempi stretti di notifica degli incidenti. Il mancato rispetto può costare sanzioni fino a 10 milioni di euro o al 2% del fatturato globale per le entità essenziali. Abbiamo analizzato lo stato di attuazione e i nodi aperti nel pezzo dedicato a NIS2 in Italia, le multe da 10 milioni e il livello di preparazione.
L’effetto collaterale della normativa è positivo per la difesa. Imponendo backup robusti e capacità di ripristino, NIS2 contribuisce alla cultura della non-resa che riduce i pagamenti. Allo stesso tempo, l’obbligo di notifica aumenta la visibilità reale del fenomeno, spiegando in parte perché i numeri delle vittime censite continuano a salire.
Come difendersi da Akira: misure pratiche
Le difese contro Akira sono note e replicano le raccomandazioni dell’avviso CISA/FBI. La priorità assoluta è chiudere i vettori di accesso remoto, che restano la porta d’ingresso principale del gruppo.
- Autenticazione a più fattori su tutte le VPN e gli accessi remoti, senza eccezioni. Akira vive di credenziali rubate e di VPN senza secondo fattore.
- Patch immediate per SonicWall, Cisco ASA/FTD, VMware ESXi e Veeam. Le CVE sfruttate hanno correzioni già disponibili.
- Backup offline e immutabili, testati regolarmente, isolati dalla rete principale per resistere all’eliminazione delle copie shadow.
- Segmentazione della rete per impedire il movimento laterale, soprattutto tra ambienti IT e sistemi di virtualizzazione.
- Rilevamento e risposta gestiti attivi 24 ore su 24, dato che la finestra di quattro ore esclude una reazione solo umana.
- Monitoraggio degli accessi anomali alle VPN e disattivazione automatica delle sessioni sospette.
Per chi gestisce server, irrobustire l’accesso remoto è il primo passo concreto. La nostra guida sulle chiavi SSH Ed25519 e l’hardening del server mostra come ridurre la superficie d’attacco sui sistemi esposti. La difesa contro Akira non richiede tecnologie esotiche, ma disciplina nell’igiene di base.
Previsioni per il resto del 2026
Sulla base dei dati attuali, ecco cinque previsioni ragionate per i prossimi mesi.
- Akira resterà nei primi tre gruppi mondiali. La crescita del 188% nel 2025 e la concentrazione del mercato rendono improbabile un crollo nel breve periodo.
- Il settore finanziario europeo subirà più attacchi mirati. La campagna SonicWall del 2025 contro le banche è solo l’inizio, complice la pressione sulle infrastrutture di accesso remoto.
- Crescerà la velocità degli attacchi. La soglia delle quattro ore scenderà ancora con l’automazione, costringendo le aziende ad adottare risposte automatiche.
- Il tasso di pagamento continuerà a scendere, spingendo Akira verso esfiltrazioni più aggressive e una doppia estorsione ancora più centrata sulla riservatezza dei dati.
- L’Italia vedrà più casi censiti, non solo per l’aumento reale degli attacchi ma anche per gli obblighi di notifica NIS2 che fanno emergere incidenti prima invisibili.
Domande frequenti su Akira ransomware
Che cos’è il ransomware Akira?
Akira è un gruppo ransomware-as-a-service attivo dal marzo 2023. Cifra i sistemi delle vittime e ruba i dati per la doppia estorsione. Secondo l’avviso CISA/FBI del novembre 2025 ha compromesso almeno 342 organizzazioni e incassato oltre 244 milioni di dollari.
Come entra Akira nelle reti aziendali?
Il vettore principale sono le VPN e gli accessi remoti esposti, spesso senza autenticazione a più fattori. Akira sfrutta vulnerabilità note in SonicWall (CVE-2024-40766), Cisco ASA, VMware ESXi e Veeam, oltre a credenziali rubate e phishing.
Quanto è veloce un attacco di Akira?
Secondo i ricercatori di Halcyon, Akira può passare dall’accesso iniziale alla cifratura completa in meno di quattro ore. Questa rapidità rende quasi impossibile una risposta solo manuale e richiede rilevamento automatico.
Quali settori italiani sono più a rischio?
Il manifatturiero è il bersaglio principale, seguito da servizi finanziari, sanità, istruzione e tecnologia. Le filiere “Made in Italy” sono obiettivi ad alto valore per via della bassa tolleranza al fermo macchina.
Conviene pagare il riscatto ad Akira?
Le autorità sconsigliano il pagamento. Non garantisce il recupero dei dati né impedisce la divulgazione, e finanzia ulteriori attacchi. La difesa migliore resta la prevenzione, con backup immutabili e ripristino testato.
Come ci si difende da Akira?
Le misure chiave sono autenticazione a più fattori su tutti gli accessi remoti, patch immediate dei prodotti VPN e di backup, segmentazione della rete, backup offline immutabili e rilevamento gestito attivo in modo continuo.
Approfondimenti correlati
- Qilin Ransomware: 701 Vittime, il Gruppo #1 [2026]
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
- ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo [2026]
- Attacco Ivanti: 600 IP, CVSS 9.8, UE Colpita [2026]
- Sicurezza online: la guida completa di shattered.io
Fonti esterne
- ENISA, Agenzia dell’Unione europea per la cibersicurezza
- Europol
- Agenzia per la Cybersicurezza Nazionale (ACN)
- Picus Security, analisi tecnica di Akira
- CSIS, incidenti cyber significativi
- BleepingComputer, copertura su Akira
Articolo pubblicato il 15 giugno 2026. I dati provengono dall’avviso congiunto CISA/FBI del novembre 2025, dall’ENISA Threat Landscape 2025, dai report di Check Point Research, Picus Security, Breachsense, Halcyon e Sophos, e dal report di settore TIM e Format Research per il 2025.
