Mentre LockBit veniva smantellato e RansomHub spariva dai radar il 1° aprile 2025, un nuovo nome ha preso il controllo dell’estorsione digitale: Qilin. Il gruppo ransomware noto in passato come Agenda ha chiuso il 2025 come l’operazione più prolifica al mondo, superando le 700 vittime rivendicate sul proprio leak site e cementando un primato che si è esteso al 2026. Per le aziende italiane ed europee, già seconde solo alla Germania nelle classifiche di rischio ENISA, l’ascesa di Qilin coincide con l’entrata in vigore degli obblighi NIS2 più stringenti. Ecco i numeri, i nomi e le previsioni che contano.
Qilin ransomware: chi è il gruppo numero 1 del 2025
Qilin (il nome evoca una creatura mitologica della tradizione cinese) è emerso intorno a luglio 2022 con il marchio originario di Agenda, poi ribattezzato. Si tratta di un’operazione ransomware-as-a-service (RaaS): gli sviluppatori costruiscono e mantengono il malware, mentre una rete di affiliati conduce gli attacchi veri e propri e incassa la quota maggiore dei riscatti. Questo modello industriale spiega la rapidità con cui Qilin ha scalato le classifiche quando i concorrenti hanno iniziato a crollare.
Secondo l’analisi di Industrial Cyber, a fine ottobre 2025 il gruppo aveva tagliato il traguardo del 700° attacco dell’anno, consolidando la posizione di operatore ransomware più attivo del panorama globale. Il report GRIT 2026 di GuidePoint Security colloca Qilin in cima alla classifica dei gruppi più attivi del 2025, un anno in cui sono state censite 124 famiglie ransomware distinte, record assoluto e +46% rispetto al 2024. Il gruppo Cisco Talos, che ha investigato decine di casi, descrive un’organizzazione capace di colpire in modo sistematico il settore manifatturiero usando strumenti legittimi per muoversi all’interno delle reti.
L’arsenale tecnico è il tratto distintivo. Qilin utilizza un encryptor scritto in Golang con modalità di cifratura multiple selezionabili dall’affiliato, affiancato da malware personalizzato in Rust e C per attacchi cross-platform su Windows, Linux ed ESXi. La strategia è la doppia estorsione: i dati vengono prima esfiltrati e poi cifrati, così che il rifiuto di pagare comporti sia il blocco operativo sia la pubblicazione delle informazioni rubate.
701 vittime nel 2025: i numeri dell’escalation
La crescita di Qilin nel 2025 ha avuto una traiettoria verticale. Industrial Cyber documenta un balzo dalle 185 rivendicazioni di fine aprile alle 701 di fine anno, una progressione del 280% in pochi mesi. Cisco Talos ha registrato un picco di circa 100 casi a giugno 2025, valore quasi replicato ad agosto, con ogni mese dell’anno (tranne gennaio) sopra i 40 casi pubblicati sul leak site. The Record riporta che nel solo mese di ottobre 2025 il gruppo, ritenuto di base russa, ha aggiunto oltre 185 vittime.
Il ritmo non si è fermato con il nuovo anno. Nelle prime due settimane di gennaio 2026 Qilin ha pubblicato oltre 55 nuove vittime, e una guida MoxFive di giugno 2026 stima oltre 500 organizzazioni colpite nel solo 2026 e circa 1.500 dal lancio. La tabella seguente riassume le metriche chiave dell’operazione.
| Metrica Qilin | Valore | Fonte |
|---|---|---|
| Vittime rivendicate nel 2025 | 701 | Industrial Cyber |
| Crescita aprile-dicembre 2025 | +280% | Industrial Cyber |
| Picco mensile (giugno 2025) | ~100 casi | Cisco Talos |
| Nuove vittime ottobre 2025 | oltre 185 | The Record |
| Nuove vittime (prime 2 settimane 2026) | oltre 55 | MoxFive |
| Vittime totali dal lancio (2022) | circa 1.500 | MoxFive |
I dati vanno letti con cautela, perché le metodologie variano: alcune fonti contano le rivendicazioni sul leak site, altre gli attacchi confermati. Il quadro complessivo resta però inequivocabile. Qilin ha trasformato un’operazione di nicchia in una macchina da estorsione su scala industriale nell’arco di un solo anno.
Come Qilin ha approfittato del crollo di LockBit e RansomHub
L’ascesa di Qilin non è casuale: riempie un vuoto di mercato. Cybereason descrive un 2025 segnato dal collasso simultaneo dei gruppi un tempo dominanti. RansomHub è andato offline il 1° aprile 2025, come confermato anche da ENISA. LockBit, già colpito dall’operazione internazionale Cronos, ha continuato a perdere affiliati. Everest e BlackLock hanno subito chiusure improvvise, fallimenti operativi e defacement delle proprie infrastrutture.
Gli affiliati orfani di quelle piattaforme hanno avuto bisogno di una nuova casa, e Qilin l’ha offerta con condizioni aggressive. Cybereason documenta una ripartizione dei riscatti in cui gli affiliati trattengono tra l’80% e l’85% del pagamento, lasciando agli operatori solo il 15-20%. È una quota più generosa rispetto agli standard storici del settore, pensata proprio per attrarre i criminali in cerca di un nuovo fornitore di malware.
Il vero elemento di rottura è però il livello di servizio. La piattaforma Qilin include una funzione “Call Lawyer”, ovvero la possibilità di coinvolgere una consulenza legale durante la negoziazione per aumentare la pressione psicologica sulla vittima, oltre a spazio di archiviazione per i dati rubati, servizi di spam e strumenti di negoziazione assistita. Il ransomware non è più solo codice malevolo, ma un pacchetto completo di “servizi all’estorsione”.
Settori e Paesi colpiti: manifattura nel mirino
La distribuzione settoriale di Qilin rispecchia quella dell’intero ecosistema ransomware del 2025. Cisco Talos individua il manifatturiero come settore più colpito, con circa il 23% dei casi, seguito da servizi professionali e scientifici (circa 18%) e commercio all’ingrosso (circa 10%). Sanità, costruzioni, retail, istruzione e finanza si attestano ciascuno intorno al 5%. È una concentrazione che penalizza l’Europa industriale, e l’Italia in particolare, dove la manifattura rappresenta una quota dominante del tessuto produttivo.
Sul piano geografico, Talos colloca gli Stati Uniti al primo posto tra i Paesi bersaglio, seguiti da Canada, Regno Unito, Francia e Germania. La presenza europea è massiccia. Il report CrowdStrike sul panorama europeo 2025 conferma che Regno Unito, Germania, Francia, Italia e Spagna sono le nazioni più attaccate del continente, con il 92% dei casi che combina cifratura dei file e furto di dati. Dal gennaio 2024 i leak site hanno elencato oltre 2.100 vittime europee.
La domanda di riscatto resta calibrata sul profilo della vittima. Cybereason indica un intervallo tipico tra 50.000 e 800.000 dollari per le richieste Qilin, cifre che riflettono il forte orientamento del gruppo verso le piccole e medie imprese, l’ossatura dell’economia italiana ed europea e spesso l’anello più debole sul fronte difensivo.
L’Italia nel mirino: i dati ENISA e TIM
Per misurare l’esposizione italiana servono i numeri delle istituzioni. L’ENISA Threat Landscape 2025 colloca l’Italia al secondo posto in Europa tra gli Stati membri citati nelle rivendicazioni di ransomware e data breach, con l’11,33% del totale, dietro la sola Germania (23,4%) e davanti a Spagna (9,8%), Francia (9,5%) e Belgio (3,7%). Sul fronte dei ceppi più diffusi nelle organizzazioni europee, ENISA indica Akira in testa con l’11,6%, seguito proprio da Qilin con il 7,5%.
Il Cyber Security Report 2026 di TIM, pubblicato il 9 giugno 2026 in collaborazione con il Politecnico di Milano, fotografa una crescita degli attacchi ransomware del +42% a livello globale nel 2025. In Italia i casi rivendicati sono stati 166, in aumento del 14%. La concentrazione geografica è marcata: circa quattro incidenti su dieci hanno colpito il Nord-Ovest, e la sola Lombardia ha assorbito oltre il 30% del totale nazionale. La tabella seguente confronta i Paesi UE più esposti secondo ENISA.
| Paese UE | Quota rivendicazioni ransomware/data breach | Ceppo più diffuso in UE | Quota ceppo |
|---|---|---|---|
| Germania | 23,4% | Akira | 11,6% |
| Italia | 11,33% | Qilin | 7,5% |
| Spagna | 9,8% | RansomHub (offline da apr. 2025) | n.d. |
| Francia | 9,5% | Inc Ransom | n.d. |
| Belgio | 3,7% | Play / Cl0p | n.d. |
Per un’analisi dettagliata dei dati nazionali rimandiamo all’approfondimento dedicato su ransomware in Italia secondo i 166 casi del rapporto 2026, mentre l’inquadramento europeo completo è disponibile nella nostra lettura dell’ENISA Threat Landscape 2025.
NIS2 e le sanzioni: cosa rischiano le aziende italiane
L’escalation di Qilin arriva nel momento in cui l’Italia stringe le viti normative. Il Decreto Legislativo 4 settembre 2024 n. 138, che recepisce la direttiva NIS2 (UE 2022/2555), è in vigore dal 16 ottobre 2024 e ha trasformato l’Agenzia per la Cybersicurezza Nazionale (ACN) nell’autorità competente e punto di contatto unico. La registrazione sulla piattaforma ACN si è chiusa il 28 febbraio 2025: secondo le sintesi disponibili, l’elenco nazionale ha superato le 20.000 organizzazioni, di cui oltre 5.000 classificate come soggetti essenziali, con più di 30.000 registrazioni complessive.
Le sanzioni sono il vero deterrente. Per i soggetti essenziali le multe arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, a seconda di quale importo sia maggiore. Per i soggetti importanti il tetto scende a 7 milioni di euro o all’1,4% del fatturato. L’apparato sanzionatorio non si limita alle multe: prevede misure interdittive sulle attività e responsabilità personali per gli organi di gestione.
Cambiano anche gli obblighi di notifica degli incidenti, operativi dal 15 gennaio 2026 in base alla determinazione attuativa ACN. La tabella riassume scadenze e sanzioni che ogni soggetto in perimetro deve conoscere.
| Obbligo NIS2 (D.Lgs. 138/2024) | Soggetti essenziali | Soggetti importanti |
|---|---|---|
| Sanzione massima (importo fisso) | 10 milioni di euro | 7 milioni di euro |
| Sanzione massima (% fatturato mondiale) | 2% | 1,4% |
| Pre-notifica incidente | entro 24 ore | entro 24 ore |
| Notifica completa | entro 72 ore | entro 72 ore |
| Relazione finale | entro 1 mese | entro 1 mese |
Per chi deve mettersi in regola, il quadro completo degli adempimenti è descritto nella nostra guida alla direttiva NIS2 in Italia. Le aziende del settore finanziario devono inoltre incrociare questi obblighi con quelli del Regolamento DORA, ormai pienamente applicabile.
Le voci degli esperti: cosa dicono ACN, Clusit ed ENISA
Il consenso tra gli analisti è netto: il ransomware resta la minaccia numero uno per il sistema produttivo italiano. Bruno Frattasi, Direttore generale dell’ACN, ha più volte ribadito in sede pubblica che la resilienza cibernetica del Paese si gioca sulla capacità delle organizzazioni di prevenire e notificare tempestivamente gli incidenti, sottolineando come la collaborazione tra pubblico e privato sia la prima linea di difesa contro l’estorsione digitale.
Gabriele Faggioli, presidente di Clusit, ha osservato in più occasioni che gli attacchi non crescono solo in numero, ma in capacità di causare danni concreti, evidenziando come il modello RaaS abbia abbassato la barriera d’ingresso per criminali poco specializzati. È esattamente la dinamica che ha alimentato la crescita di Qilin, capace di reclutare gli affiliati lasciati orfani dai gruppi caduti.
Sul fronte tecnico, gli analisti di Cisco Talos avvertono che Qilin si affida a strumenti legittimi già presenti negli ambienti delle vittime, una tecnica nota come living-off-the-land che rende l’individuazione molto più difficile per i sistemi di difesa tradizionali. Cybereason aggiunge che il collasso dei gruppi rivali ha consolidato il potere nelle mani di poche operazioni dominanti, aumentando la professionalizzazione del fenomeno. L’ENISA, nel suo Threat Landscape 2025, classifica il ransomware tra le principali minacce per l’Unione, con l’Italia stabilmente nel gruppo dei Paesi più colpiti.
Confronto tra i principali gruppi ransomware del 2026
Qilin non opera in un vuoto. Il panorama 2025-2026 è dominato da un ristretto club di operazioni che si contendono affiliati e vittime. Akira resta il ceppo più diffuso nelle organizzazioni europee secondo ENISA, mentre Inc Ransom mantiene una presenza significativa nel ransomware industriale (13 incidenti nel solo primo trimestre 2025 secondo Dragos). Cl0p e Play restano famiglie consolidate, mentre RansomHub è uscito di scena ad aprile 2025.
La differenza competitiva di Qilin sta nella combinazione di tre fattori: una quota di ripartizione tra le più generose (fino all’85% per gli affiliati), un encryptor multipiattaforma maturo e un livello di “assistenza all’estorsione” che nessun rivale ha replicato con la stessa ampiezza. È la stessa logica di consolidamento che ha caratterizzato altri settori criminali, ridotti a pochi attori dominanti dopo le operazioni delle forze dell’ordine.
Per le imprese europee la conseguenza è paradossale. Meno gruppi non significa meno rischio, ma rischio più concentrato e più professionale. Lo smantellamento di un’operazione, come avvenuto con LockBit, libera affiliati esperti che migrano rapidamente verso la piattaforma successiva, accelerandone la crescita anziché frenare il fenomeno complessivo.
Impatto sul mercato della cybersecurity in Europa
L’effetto economico dell’estorsione digitale va ben oltre il riscatto. Secondo Unit 42 di Palo Alto Networks, la richiesta mediana iniziale è salita da 1,25 milioni di dollari nel 2024 a 1,5 milioni nel 2025, mentre il pagamento mediano tra le organizzazioni che hanno ceduto è raddoppiato, passando da 267.500 a 500.000 dollari. La cifratura era presente nel 78% dei casi di estorsione del 2025, segno che il furto di dati da solo non basta più a garantire il pagamento.
Sul versante difensivo, il report ORDR 2026 indica che il ransomware colpisce ogni anno il 76% delle organizzazioni, e che il 96% degli attacchi prende di mira i repository di backup per impedire il ripristino. Questo dato sta riscrivendo le priorità di spesa: i backup immutabili e i piani di incident response testati sono diventati requisiti, non più optional. Check Point registra un aumento dell’attività ransomware del 48% su base annua, a fronte di una crescita complessiva degli attacchi del 18%.
Per il mercato europeo della sicurezza informatica, la combinazione di minaccia in crescita e pressione normativa NIS2 sta generando una domanda senza precedenti di servizi gestiti di rilevamento e risposta, valutazioni di conformità e assicurazioni cyber. La spesa difensiva sta migrando dalla periferia (firewall e antivirus) verso il monitoraggio continuo delle identità: Unit 42 segnala infatti che il 65% degli accessi iniziali sfrutta tecniche basate sulle credenziali.
Contesto storico: dall’era LockBit al consolidamento
Per capire il 2026 bisogna guardare indietro. Tra il 2020 e il 2023 il ransomware era dominato da poche grandi famiglie, con LockBit nel ruolo di leader incontrastato e migliaia di vittime rivendicate. L’operazione Cronos del febbraio 2024, condotta da una coalizione internazionale di forze dell’ordine, ha inferto il primo colpo strutturale, sequestrando infrastrutture e chiavi di decifrazione.
Il vuoto è stato riempito prima da RansomHub, poi crollato anch’esso, in un ciclo di ascesa e caduta che si è ripetuto più volte. Questo “effetto idra”, in cui ogni testa tagliata ne fa ricrescere altre, è la cifra del ransomware contemporaneo. La differenza del 2025-2026 è la velocità: Qilin è passato da gruppo secondario a leader globale in meno di dodici mesi, una transizione che in passato richiedeva anni.
Il parallelo con altri episodi europei è istruttivo. L’attacco che ha paralizzato diversi aeroporti europei nel 2026 ha mostrato quanto un singolo anello debole nella catena di fornitura possa propagarsi su scala continentale, esattamente il tipo di scenario che la NIS2 mira a prevenire imponendo obblighi anche ai fornitori critici.
Come si propaga un attacco Qilin: la catena tecnica
Accesso iniziale e movimento laterale
La catena di attacco Qilin segue uno schema ricorrente. L’accesso iniziale avviene tipicamente tramite credenziali rubate, VPN esposte o phishing mirato. Una volta dentro, gli affiliati ricorrono al living-off-the-land, abusando di strumenti di amministrazione legittimi (PowerShell, PsExec, software di accesso remoto) per muoversi lateralmente senza generare allarmi. Il furto di credenziali dai browser, incluse le password salvate in Chrome, è una tecnica documentata negli ultimi mesi.
Esfiltrazione e cifratura
Prima della cifratura, i dati sensibili vengono copiati su server controllati dagli attaccanti. Solo a quel punto scatta l’encryptor Golang, che disabilita i meccanismi di ripristino, cancella le copie shadow e prende di mira i backup. La richiesta di riscatto include sempre la minaccia di pubblicazione sul leak site, con un conto alla rovescia pubblico per massimizzare la pressione. La possibilità di attivare la funzione “Call Lawyer” trasforma la negoziazione in un confronto asimmetrico in cui la vittima è messa di fronte a competenze legali studiate per accelerare il pagamento.
Come difendersi: misure pratiche per le imprese
La difesa contro Qilin richiede un approccio a più livelli, allineato peraltro alle misure di base imposte dalla NIS2. Il punto di partenza è la gestione delle identità: poiché due accessi iniziali su tre sfruttano le credenziali, l’autenticazione a più fattori resistente al phishing e il monitoraggio degli account privilegiati sono prioritari. La nostra guida all’igiene di sicurezza online raccoglie le pratiche fondamentali da cui partire.
- Backup immutabili e isolati: dato che il 96% degli attacchi punta ai backup, copie offline o write-once sono l’unica vera assicurazione contro la cifratura.
- Segmentazione della rete: limitare il movimento laterale riduce drasticamente il raggio d’azione di un affiliato che ottiene l’accesso iniziale.
- Rilevamento comportamentale: poiché Qilin abusa di strumenti legittimi, le difese basate su firme non bastano; serve l’analisi delle anomalie di comportamento.
- Piano di risposta testato: la pre-notifica entro 24 ore richiesta dalla NIS2 è realistica solo con procedure provate in anticipo.
- Gestione delle patch: chiudere rapidamente le vulnerabilità esposte su internet elimina uno dei vettori di accesso preferiti.
5 previsioni per il ransomware in Europa nel 2026-2027
Sulla base dei dati raccolti, ecco cinque scenari plausibili per i prossimi diciotto mesi:
- Qilin manterrà la leadership ma diventerà un bersaglio. Il suo dominio attirerà l’attenzione delle forze dell’ordine internazionali, con un’operazione di smantellamento probabile entro il 2027, sul modello di Cronos contro LockBit.
- La frammentazione tornerà. Se Qilin verrà disarticolato, gli affiliati migreranno verso nuove piattaforme, ripetendo il ciclo dell’idra e generando almeno due o tre operazioni emergenti.
- Le PMI italiane resteranno il bersaglio preferito. La concentrazione su richieste da 50.000-800.000 dollari indica che il modello di business punta sul volume di vittime medio-piccole, non sui grandi nomi.
- Le prime sanzioni NIS2 arriveranno entro fine 2026. Con gli obblighi di notifica operativi da gennaio 2026, è verosimile che l’ACN apra i primi procedimenti sanzionatori per mancata notifica o misure inadeguate.
- L’AI accelererà sia attacco che difesa. Gli affiliati useranno l’automazione per scalare la ricognizione, mentre i difensori adotteranno il rilevamento comportamentale potenziato dall’AI come standard di mercato.
Domande frequenti su Qilin ransomware
Che cos’è Qilin ransomware?
Qilin, in passato noto come Agenda, è un’operazione ransomware-as-a-service emersa nel 2022. Nel 2025 è diventato il gruppo più attivo al mondo, con oltre 700 vittime rivendicate, sfruttando un encryptor in Golang, la doppia estorsione e una rete di affiliati che trattiene fino all’85% dei riscatti.
Perché Qilin è diventato così attivo nel 2025?
Qilin ha riempito il vuoto lasciato dal collasso di RansomHub (offline dal 1° aprile 2025), LockBit, Everest e BlackLock. Gli affiliati orfani di quei gruppi sono migrati verso Qilin, attratti da una quota di guadagno generosa e da servizi avanzati come la funzione “Call Lawyer”.
L’Italia è tra i Paesi più colpiti?
Sì. Secondo l’ENISA Threat Landscape 2025, l’Italia è seconda in Europa con l’11,33% delle rivendicazioni di ransomware e data breach, dietro solo alla Germania. Il rapporto TIM 2026 conta 166 casi nazionali nel 2025, in aumento del 14%, concentrati soprattutto in Lombardia.
Quali sanzioni prevede la NIS2 in caso di incidente?
Per i soggetti essenziali le multe arrivano a 10 milioni di euro o al 2% del fatturato mondiale; per i soggetti importanti a 7 milioni o all’1,4%. Gli incidenti vanno pre-notificati all’ACN entro 24 ore, con notifica completa entro 72 ore e relazione finale entro un mese.
Conviene pagare il riscatto a Qilin?
Le autorità sconsigliano il pagamento, che non garantisce il recupero dei dati né impedisce la pubblicazione e finanzia ulteriori attacchi. La difesa più efficace resta la prevenzione: backup immutabili, autenticazione forte e un piano di risposta testato che consenta il ripristino senza cedere all’estorsione.
Come si distingue Qilin dagli altri gruppi ransomware?
Qilin combina tre elementi distintivi: una ripartizione dei riscatti tra le più alte del settore (fino all’85% agli affiliati), un encryptor multipiattaforma scritto in Golang con varianti in Rust e C, e un pacchetto di servizi di supporto all’estorsione che nessun rivale offre con la stessa ampiezza.
Related Coverage
- Ransomware Italia: 166 Casi, +14% e 507 Attacchi [2026]
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
- Ransomware Aeroporti UE: 217 Voli, 1,5M Dati [2026]
- ENISA 2025: 4.900 Incidenti Cyber, 80% Hacktivismo [2026]
- Regolamento DORA: 22.000 Entità, Multe 2% [2026]
- Sicurezza online: violazioni, password, HTTPS e phishing
Fonti esterne di approfondimento: ENISA Threat Landscape 2025, analisi Cybereason su Qilin, The Record, Agenzia per la Cybersicurezza Nazionale e il testo del D.Lgs. 138/2024 in Gazzetta Ufficiale.
