{"id":139,"date":"2026-06-15T08:28:47","date_gmt":"2026-06-15T08:28:47","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/15\/qilin-ransomware-2026\/"},"modified":"2026-06-15T08:30:14","modified_gmt":"2026-06-15T08:30:14","slug":"qilin-ransomware-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/15\/qilin-ransomware-2026\/","title":{"rendered":"Qilin Ransomware: 701 Vittime, il Gruppo #1 [2026]"},"content":{"rendered":"\n

Mentre LockBit veniva smantellato e RansomHub spariva dai radar il 1\u00b0 aprile 2025, un nuovo nome ha preso il controllo dell’estorsione digitale: Qilin<\/strong>. Il gruppo ransomware noto in passato come Agenda ha chiuso il 2025 come l’operazione pi\u00f9 prolifica al mondo, superando le 700 vittime rivendicate sul proprio leak site e cementando un primato che si \u00e8 esteso al 2026. Per le aziende italiane ed europee, gi\u00e0 seconde solo alla Germania nelle classifiche di rischio ENISA, l’ascesa di Qilin coincide con l’entrata in vigore degli obblighi NIS2 pi\u00f9 stringenti. Ecco i numeri, i nomi e le previsioni che contano.<\/p>\n\n\n\n

Qilin ransomware: chi \u00e8 il gruppo numero 1 del 2025<\/h2>\n\n\n\n

Qilin (il nome evoca una creatura mitologica della tradizione cinese) \u00e8 emerso intorno a luglio 2022 con il marchio originario di Agenda<\/strong>, poi ribattezzato. Si tratta di un’operazione ransomware-as-a-service (RaaS): gli sviluppatori costruiscono e mantengono il malware, mentre una rete di affiliati conduce gli attacchi veri e propri e incassa la quota maggiore dei riscatti. Questo modello industriale spiega la rapidit\u00e0 con cui Qilin ha scalato le classifiche quando i concorrenti hanno iniziato a crollare.<\/p>\n\n\n\n

Secondo l’analisi di Industrial Cyber, a fine ottobre 2025 il gruppo aveva tagliato il traguardo del 700\u00b0 attacco dell’anno, consolidando la posizione di operatore ransomware pi\u00f9 attivo del panorama globale. Il report GRIT 2026 di GuidePoint Security colloca Qilin in cima alla classifica dei gruppi pi\u00f9 attivi del 2025, un anno in cui sono state censite 124 famiglie ransomware distinte<\/strong>, record assoluto e +46% rispetto al 2024. Il gruppo Cisco Talos, che ha investigato decine di casi, descrive un’organizzazione capace di colpire in modo sistematico il settore manifatturiero usando strumenti legittimi per muoversi all’interno delle reti.<\/p>\n\n\n\n

L’arsenale tecnico \u00e8 il tratto distintivo. Qilin utilizza un encryptor scritto in Golang<\/strong> con modalit\u00e0 di cifratura multiple selezionabili dall’affiliato, affiancato da malware personalizzato in Rust e C per attacchi cross-platform su Windows, Linux ed ESXi. La strategia \u00e8 la doppia estorsione: i dati vengono prima esfiltrati e poi cifrati, cos\u00ec che il rifiuto di pagare comporti sia il blocco operativo sia la pubblicazione delle informazioni rubate.<\/p>\n\n\n\n

701 vittime nel 2025: i numeri dell’escalation<\/h2>\n\n\n\n

La crescita di Qilin nel 2025 ha avuto una traiettoria verticale. Industrial Cyber documenta un balzo dalle 185 rivendicazioni di fine aprile alle 701 di fine anno, una progressione del 280% in pochi mesi. Cisco Talos ha registrato un picco di circa 100 casi a giugno 2025<\/strong>, valore quasi replicato ad agosto, con ogni mese dell’anno (tranne gennaio) sopra i 40 casi pubblicati sul leak site. The Record riporta che nel solo mese di ottobre 2025 il gruppo, ritenuto di base russa, ha aggiunto oltre 185 vittime.<\/p>\n\n\n\n

Il ritmo non si \u00e8 fermato con il nuovo anno. Nelle prime due settimane di gennaio 2026 Qilin ha pubblicato oltre 55 nuove vittime, e una guida MoxFive di giugno 2026 stima oltre 500 organizzazioni colpite nel solo 2026 e circa 1.500 dal lancio. La tabella seguente riassume le metriche chiave dell’operazione.<\/p>\n\n\n\n

Metrica Qilin<\/th>Valore<\/th>Fonte<\/th><\/tr><\/thead>
Vittime rivendicate nel 2025<\/td>701<\/td>Industrial Cyber<\/td><\/tr>
Crescita aprile-dicembre 2025<\/td>+280%<\/td>Industrial Cyber<\/td><\/tr>
Picco mensile (giugno 2025)<\/td>~100 casi<\/td>Cisco Talos<\/td><\/tr>
Nuove vittime ottobre 2025<\/td>oltre 185<\/td>The Record<\/td><\/tr>
Nuove vittime (prime 2 settimane 2026)<\/td>oltre 55<\/td>MoxFive<\/td><\/tr>
Vittime totali dal lancio (2022)<\/td>circa 1.500<\/td>MoxFive<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

I dati vanno letti con cautela, perch\u00e9 le metodologie variano: alcune fonti contano le rivendicazioni sul leak site, altre gli attacchi confermati. Il quadro complessivo resta per\u00f2 inequivocabile. Qilin ha trasformato un’operazione di nicchia in una macchina da estorsione su scala industriale nell’arco di un solo anno.<\/p>\n\n\n\n

Come Qilin ha approfittato del crollo di LockBit e RansomHub<\/h2>\n\n\n\n

L’ascesa di Qilin non \u00e8 casuale: riempie un vuoto di mercato. Cybereason descrive un 2025 segnato dal collasso simultaneo dei gruppi un tempo dominanti. RansomHub \u00e8 andato offline il 1\u00b0 aprile 2025, come confermato anche da ENISA. LockBit, gi\u00e0 colpito dall’operazione internazionale Cronos, ha continuato a perdere affiliati. Everest e BlackLock hanno subito chiusure improvvise, fallimenti operativi e defacement delle proprie infrastrutture.<\/p>\n\n\n\n

Gli affiliati orfani di quelle piattaforme hanno avuto bisogno di una nuova casa, e Qilin l’ha offerta con condizioni aggressive. Cybereason documenta una ripartizione dei riscatti in cui gli affiliati trattengono tra l’80% e l’85%<\/strong> del pagamento, lasciando agli operatori solo il 15-20%. \u00c8 una quota pi\u00f9 generosa rispetto agli standard storici del settore, pensata proprio per attrarre i criminali in cerca di un nuovo fornitore di malware.<\/p>\n\n\n\n

Il vero elemento di rottura \u00e8 per\u00f2 il livello di servizio. La piattaforma Qilin include una funzione “Call Lawyer”, ovvero la possibilit\u00e0 di coinvolgere una consulenza legale durante la negoziazione per aumentare la pressione psicologica sulla vittima, oltre a spazio di archiviazione per i dati rubati, servizi di spam e strumenti di negoziazione assistita. Il ransomware non \u00e8 pi\u00f9 solo codice malevolo, ma un pacchetto completo di “servizi all’estorsione”.<\/p>\n\n\n\n

Settori e Paesi colpiti: manifattura nel mirino<\/h2>\n\n\n\n

La distribuzione settoriale di Qilin rispecchia quella dell’intero ecosistema ransomware del 2025. Cisco Talos individua il manifatturiero come settore pi\u00f9 colpito, con circa il 23% dei casi<\/strong>, seguito da servizi professionali e scientifici (circa 18%) e commercio all’ingrosso (circa 10%). Sanit\u00e0, costruzioni, retail, istruzione e finanza si attestano ciascuno intorno al 5%. \u00c8 una concentrazione che penalizza l’Europa industriale, e l’Italia in particolare, dove la manifattura rappresenta una quota dominante del tessuto produttivo.<\/p>\n\n\n\n

Sul piano geografico, Talos colloca gli Stati Uniti al primo posto tra i Paesi bersaglio, seguiti da Canada, Regno Unito, Francia e Germania. La presenza europea \u00e8 massiccia. Il report CrowdStrike sul panorama europeo 2025 conferma che Regno Unito, Germania, Francia, Italia e Spagna sono le nazioni pi\u00f9 attaccate del continente, con il 92% dei casi che combina cifratura dei file e furto di dati<\/strong>. Dal gennaio 2024 i leak site hanno elencato oltre 2.100 vittime europee.<\/p>\n\n\n\n

La domanda di riscatto resta calibrata sul profilo della vittima. Cybereason indica un intervallo tipico tra 50.000 e 800.000 dollari<\/strong> per le richieste Qilin, cifre che riflettono il forte orientamento del gruppo verso le piccole e medie imprese, l’ossatura dell’economia italiana ed europea e spesso l’anello pi\u00f9 debole sul fronte difensivo.<\/p>\n\n\n\n

L’Italia nel mirino: i dati ENISA e TIM<\/h2>\n\n\n\n

Per misurare l’esposizione italiana servono i numeri delle istituzioni. L’ENISA Threat Landscape 2025 colloca l’Italia al secondo posto in Europa<\/strong> tra gli Stati membri citati nelle rivendicazioni di ransomware e data breach, con l’11,33% del totale, dietro la sola Germania (23,4%) e davanti a Spagna (9,8%), Francia (9,5%) e Belgio (3,7%). Sul fronte dei ceppi pi\u00f9 diffusi nelle organizzazioni europee, ENISA indica Akira in testa con l’11,6%, seguito proprio da Qilin con il 7,5%.<\/p>\n\n\n\n

Il Cyber Security Report 2026 di TIM, pubblicato il 9 giugno 2026 in collaborazione con il Politecnico di Milano, fotografa una crescita degli attacchi ransomware del +42% a livello globale nel 2025. In Italia i casi rivendicati sono stati 166, in aumento del 14%<\/strong>. La concentrazione geografica \u00e8 marcata: circa quattro incidenti su dieci hanno colpito il Nord-Ovest, e la sola Lombardia ha assorbito oltre il 30% del totale nazionale. La tabella seguente confronta i Paesi UE pi\u00f9 esposti secondo ENISA.<\/p>\n\n\n\n

Paese UE<\/th>Quota rivendicazioni ransomware\/data breach<\/th>Ceppo pi\u00f9 diffuso in UE<\/th>Quota ceppo<\/th><\/tr><\/thead>
Germania<\/td>23,4%<\/td>Akira<\/td>11,6%<\/td><\/tr>
Italia<\/td>11,33%<\/td>Qilin<\/td>7,5%<\/td><\/tr>
Spagna<\/td>9,8%<\/td>RansomHub (offline da apr. 2025)<\/td>n.d.<\/td><\/tr>
Francia<\/td>9,5%<\/td>Inc Ransom<\/td>n.d.<\/td><\/tr>
Belgio<\/td>3,7%<\/td>Play \/ Cl0p<\/td>n.d.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Per un’analisi dettagliata dei dati nazionali rimandiamo all’approfondimento dedicato su ransomware in Italia secondo i 166 casi del rapporto 2026<\/a>, mentre l’inquadramento europeo completo \u00e8 disponibile nella nostra lettura dell’ENISA Threat Landscape 2025<\/a>.<\/p>\n\n\n\n

NIS2 e le sanzioni: cosa rischiano le aziende italiane<\/h2>\n\n\n\n

L’escalation di Qilin arriva nel momento in cui l’Italia stringe le viti normative. Il Decreto Legislativo 4 settembre 2024 n. 138, che recepisce la direttiva NIS2 (UE 2022\/2555), \u00e8 in vigore dal 16 ottobre 2024 e ha trasformato l’Agenzia per la Cybersicurezza Nazionale (ACN) nell’autorit\u00e0 competente e punto di contatto unico. La registrazione sulla piattaforma ACN si \u00e8 chiusa il 28 febbraio 2025: secondo le sintesi disponibili, l’elenco nazionale ha superato le 20.000 organizzazioni, di cui oltre 5.000 classificate come soggetti essenziali, con pi\u00f9 di 30.000 registrazioni complessive.<\/p>\n\n\n\n

Le sanzioni sono il vero deterrente. Per i soggetti essenziali<\/strong> le multe arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale<\/strong>, a seconda di quale importo sia maggiore. Per i soggetti importanti<\/strong> il tetto scende a 7 milioni di euro o all’1,4% del fatturato. L’apparato sanzionatorio non si limita alle multe: prevede misure interdittive sulle attivit\u00e0 e responsabilit\u00e0 personali per gli organi di gestione.<\/p>\n\n\n\n

Cambiano anche gli obblighi di notifica degli incidenti, operativi dal 15 gennaio 2026 in base alla determinazione attuativa ACN. La tabella riassume scadenze e sanzioni che ogni soggetto in perimetro deve conoscere.<\/p>\n\n\n\n

Obbligo NIS2 (D.Lgs. 138\/2024)<\/th>Soggetti essenziali<\/th>Soggetti importanti<\/th><\/tr><\/thead>
Sanzione massima (importo fisso)<\/td>10 milioni di euro<\/td>7 milioni di euro<\/td><\/tr>
Sanzione massima (% fatturato mondiale)<\/td>2%<\/td>1,4%<\/td><\/tr>
Pre-notifica incidente<\/td>entro 24 ore<\/td>entro 24 ore<\/td><\/tr>
Notifica completa<\/td>entro 72 ore<\/td>entro 72 ore<\/td><\/tr>
Relazione finale<\/td>entro 1 mese<\/td>entro 1 mese<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Per chi deve mettersi in regola, il quadro completo degli adempimenti \u00e8 descritto nella nostra guida alla direttiva NIS2 in Italia<\/a>. Le aziende del settore finanziario devono inoltre incrociare questi obblighi con quelli del Regolamento DORA<\/a>, ormai pienamente applicabile.<\/p>\n\n\n\n

Le voci degli esperti: cosa dicono ACN, Clusit ed ENISA<\/h2>\n\n\n\n

Il consenso tra gli analisti \u00e8 netto: il ransomware resta la minaccia numero uno per il sistema produttivo italiano. Bruno Frattasi<\/strong>, Direttore generale dell’ACN, ha pi\u00f9 volte ribadito in sede pubblica che la resilienza cibernetica del Paese si gioca sulla capacit\u00e0 delle organizzazioni di prevenire e notificare tempestivamente gli incidenti, sottolineando come la collaborazione tra pubblico e privato sia la prima linea di difesa contro l’estorsione digitale.<\/p>\n\n\n\n

Gabriele Faggioli<\/strong>, presidente di Clusit, ha osservato in pi\u00f9 occasioni che gli attacchi non crescono solo in numero, ma in capacit\u00e0 di causare danni concreti, evidenziando come il modello RaaS abbia abbassato la barriera d’ingresso per criminali poco specializzati. \u00c8 esattamente la dinamica che ha alimentato la crescita di Qilin, capace di reclutare gli affiliati lasciati orfani dai gruppi caduti.<\/p>\n\n\n\n

Sul fronte tecnico, gli analisti di Cisco Talos<\/strong> avvertono che Qilin si affida a strumenti legittimi gi\u00e0 presenti negli ambienti delle vittime, una tecnica nota come living-off-the-land che rende l’individuazione molto pi\u00f9 difficile per i sistemi di difesa tradizionali. Cybereason aggiunge che il collasso dei gruppi rivali ha consolidato il potere nelle mani di poche operazioni dominanti, aumentando la professionalizzazione del fenomeno. L’ENISA, nel suo Threat Landscape 2025, classifica il ransomware tra le principali minacce per l’Unione, con l’Italia stabilmente nel gruppo dei Paesi pi\u00f9 colpiti.<\/p>\n\n\n\n

Confronto tra i principali gruppi ransomware del 2026<\/h2>\n\n\n\n

Qilin non opera in un vuoto. Il panorama 2025-2026 \u00e8 dominato da un ristretto club di operazioni che si contendono affiliati e vittime. Akira resta il ceppo pi\u00f9 diffuso nelle organizzazioni europee secondo ENISA, mentre Inc Ransom mantiene una presenza significativa nel ransomware industriale (13 incidenti nel solo primo trimestre 2025 secondo Dragos). Cl0p e Play restano famiglie consolidate, mentre RansomHub \u00e8 uscito di scena ad aprile 2025.<\/p>\n\n\n\n

La differenza competitiva di Qilin sta nella combinazione di tre fattori: una quota di ripartizione tra le pi\u00f9 generose (fino all’85% per gli affiliati), un encryptor multipiattaforma maturo e un livello di “assistenza all’estorsione” che nessun rivale ha replicato con la stessa ampiezza. \u00c8 la stessa logica di consolidamento che ha caratterizzato altri settori criminali, ridotti a pochi attori dominanti dopo le operazioni delle forze dell’ordine.<\/p>\n\n\n\n

Per le imprese europee la conseguenza \u00e8 paradossale. Meno gruppi non significa meno rischio, ma rischio pi\u00f9 concentrato e pi\u00f9 professionale. Lo smantellamento di un’operazione, come avvenuto con LockBit, libera affiliati esperti che migrano rapidamente verso la piattaforma successiva, accelerandone la crescita anzich\u00e9 frenare il fenomeno complessivo.<\/p>\n\n\n\n

Impatto sul mercato della cybersecurity in Europa<\/h2>\n\n\n\n

L’effetto economico dell’estorsione digitale va ben oltre il riscatto. Secondo Unit 42 di Palo Alto Networks, la richiesta mediana iniziale \u00e8 salita da 1,25 milioni di dollari nel 2024 a 1,5 milioni nel 2025, mentre il pagamento mediano tra le organizzazioni che hanno ceduto \u00e8 raddoppiato, passando da 267.500 a 500.000 dollari. La cifratura era presente nel 78% dei casi di estorsione del 2025, segno che il furto di dati da solo non basta pi\u00f9 a garantire il pagamento.<\/p>\n\n\n\n

Sul versante difensivo, il report ORDR 2026 indica che il ransomware colpisce ogni anno il 76% delle organizzazioni, e che il 96% degli attacchi prende di mira i repository di backup<\/strong> per impedire il ripristino. Questo dato sta riscrivendo le priorit\u00e0 di spesa: i backup immutabili e i piani di incident response testati sono diventati requisiti, non pi\u00f9 optional. Check Point registra un aumento dell’attivit\u00e0 ransomware del 48% su base annua, a fronte di una crescita complessiva degli attacchi del 18%.<\/p>\n\n\n\n

Per il mercato europeo della sicurezza informatica, la combinazione di minaccia in crescita e pressione normativa NIS2 sta generando una domanda senza precedenti di servizi gestiti di rilevamento e risposta, valutazioni di conformit\u00e0 e assicurazioni cyber. La spesa difensiva sta migrando dalla periferia (firewall e antivirus) verso il monitoraggio continuo delle identit\u00e0: Unit 42 segnala infatti che il 65% degli accessi iniziali sfrutta tecniche basate sulle credenziali.<\/p>\n\n\n\n

Contesto storico: dall’era LockBit al consolidamento<\/h2>\n\n\n\n

Per capire il 2026 bisogna guardare indietro. Tra il 2020 e il 2023 il ransomware era dominato da poche grandi famiglie, con LockBit nel ruolo di leader incontrastato e migliaia di vittime rivendicate. L’operazione Cronos del febbraio 2024, condotta da una coalizione internazionale di forze dell’ordine, ha inferto il primo colpo strutturale, sequestrando infrastrutture e chiavi di decifrazione.<\/p>\n\n\n\n

Il vuoto \u00e8 stato riempito prima da RansomHub, poi crollato anch’esso, in un ciclo di ascesa e caduta che si \u00e8 ripetuto pi\u00f9 volte. Questo “effetto idra”, in cui ogni testa tagliata ne fa ricrescere altre, \u00e8 la cifra del ransomware contemporaneo. La differenza del 2025-2026 \u00e8 la velocit\u00e0: Qilin \u00e8 passato da gruppo secondario a leader globale in meno di dodici mesi, una transizione che in passato richiedeva anni.<\/p>\n\n\n\n

Il parallelo con altri episodi europei \u00e8 istruttivo. L’attacco che ha paralizzato diversi aeroporti europei nel 2026<\/a> ha mostrato quanto un singolo anello debole nella catena di fornitura possa propagarsi su scala continentale, esattamente il tipo di scenario che la NIS2 mira a prevenire imponendo obblighi anche ai fornitori critici.<\/p>\n\n\n\n

Come si propaga un attacco Qilin: la catena tecnica<\/h2>\n\n\n\n

Accesso iniziale e movimento laterale<\/h3>\n\n\n\n

La catena di attacco Qilin segue uno schema ricorrente. L’accesso iniziale avviene tipicamente tramite credenziali rubate, VPN esposte o phishing mirato. Una volta dentro, gli affiliati ricorrono al living-off-the-land, abusando di strumenti di amministrazione legittimi (PowerShell, PsExec, software di accesso remoto) per muoversi lateralmente senza generare allarmi. Il furto di credenziali dai browser, incluse le password salvate in Chrome, \u00e8 una tecnica documentata negli ultimi mesi.<\/p>\n\n\n\n

Esfiltrazione e cifratura<\/h3>\n\n\n\n

Prima della cifratura, i dati sensibili vengono copiati su server controllati dagli attaccanti. Solo a quel punto scatta l’encryptor Golang, che disabilita i meccanismi di ripristino, cancella le copie shadow e prende di mira i backup. La richiesta di riscatto include sempre la minaccia di pubblicazione sul leak site, con un conto alla rovescia pubblico per massimizzare la pressione. La possibilit\u00e0 di attivare la funzione “Call Lawyer” trasforma la negoziazione in un confronto asimmetrico in cui la vittima \u00e8 messa di fronte a competenze legali studiate per accelerare il pagamento.<\/p>\n\n\n\n

Come difendersi: misure pratiche per le imprese<\/h2>\n\n\n\n

La difesa contro Qilin richiede un approccio a pi\u00f9 livelli, allineato peraltro alle misure di base imposte dalla NIS2. Il punto di partenza \u00e8 la gestione delle identit\u00e0: poich\u00e9 due accessi iniziali su tre sfruttano le credenziali, l’autenticazione a pi\u00f9 fattori resistente al phishing e il monitoraggio degli account privilegiati sono prioritari. La nostra guida all’igiene di sicurezza online<\/a> raccoglie le pratiche fondamentali da cui partire.<\/p>\n\n\n\n