{"id":142,"date":"2026-06-15T08:41:12","date_gmt":"2026-06-15T08:41:12","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/15\/akira-ransomware-2026\/"},"modified":"2026-06-15T08:42:30","modified_gmt":"2026-06-15T08:42:30","slug":"akira-ransomware-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/15\/akira-ransomware-2026\/","title":{"rendered":"Akira Ransomware: 342 Vittime, 244 Mln $ [2026]"},"content":{"rendered":"\n

Il ransomware Akira<\/strong> \u00e8 diventato una delle minacce pi\u00f9 temute per le aziende europee. Il 13 novembre 2025, CISA, FBI, il centro forense DC3, l’agenzia sanitaria HHS, il NCSC olandese ed Europol hanno aggiornato l’allerta congiunta sul gruppo: secondo quel documento, Akira ha compromesso almeno 342 organizzazioni<\/strong> in tutto il mondo dall’esordio nel marzo 2023 e ha incassato oltre 244 milioni di dollari<\/strong> in riscatti fino a fine settembre 2025. A giugno 2026 il gruppo resta operativo, veloce e in piena espansione verso il settore finanziario e l’industria europea.<\/p>\n\n\n\n

Questa analisi raccoglie i numeri verificati, le tecniche di attacco, i settori colpiti, il confronto con i rivali Qilin e LockBit, le valutazioni degli esperti e cinque previsioni per il resto del 2026. L’obiettivo \u00e8 capire perch\u00e9 Akira riesce a colpire cos\u00ec tante imprese italiane ed europee e cosa serve per difendersi.<\/p>\n\n\n\n

Akira ransomware: cosa dice l’allerta congiunta di novembre 2025<\/h2>\n\n\n\n

L’aggiornamento dell’avviso AA24-109a, pubblicato il 13 novembre 2025, definisce Akira una “minaccia in escalation”. Le agenzie firmatarie attraversano tre continenti, segnale di quanto la campagna sia diventata transnazionale. La prima versione dell’allerta risale all’aprile 2024. In diciotto mesi il numero di vittime confermate \u00e8 quasi raddoppiato, e il bottino dichiarato \u00e8 passato dalla soglia dei 42 milioni di dollari alla cifra attuale di oltre 244 milioni.<\/p>\n\n\n\n

Akira opera con il modello ransomware-as-a-service. Gli sviluppatori del nucleo gestiscono il codice e il sito di estorsione, mentre una rete di affiliati conduce le intrusioni e si divide il riscatto. Questo schema spiega la velocit\u00e0 di crescita: pi\u00f9 affiliati significano pi\u00f9 attacchi paralleli contro obiettivi diversi, dalla piccola manifattura del Nord Italia alle banche regionali europee.<\/p>\n\n\n\n

Per i lettori che seguono l’evoluzione della minaccia, il fenomeno si inserisce in un anno record. Secondo il report di settore di TIM e Format Research, gli attacchi ransomware globali sono cresciuti del 42% nel 2025, e in Italia del 14%, con 166 casi censiti. Akira \u00e8 uno dei motori principali di questa accelerazione, secondo solo a Qilin per volume di vittime rivendicate.<\/p>\n\n\n\n

I numeri di Akira: 342 organizzazioni e 244 milioni di dollari<\/h2>\n\n\n\n

La cifra di riferimento pi\u00f9 solida resta quella dell’avviso governativo: 342 organizzazioni compromesse e pi\u00f9 di 244 milioni di dollari incassati. Alcune analisi indipendenti del 2026 spingono il conteggio oltre le 1.400 vittime e i 245 milioni di dollari, ma queste stime derivano da fonti secondarie che includono le rivendicazioni pubblicate sul sito di leak, non confermate dalle agenzie. In linea con il principio della cifra pi\u00f9 conservativa, questa analisi tiene come dato primario i 342 obiettivi e i 244 milioni dell’allerta congiunta.<\/p>\n\n\n\n

Il gruppo ha anche un focus crescente sulla finanza. Tra aprile 2024 e aprile 2025, Akira ha attaccato 34 organizzazioni del settore finanziario. Una campagna mirata contro l’infrastruttura di accesso remoto degli istituti di credito \u00e8 partita a luglio 2025, sfruttando vulnerabilit\u00e0 nelle VPN SonicWall. Per le banche europee, gi\u00e0 strette dalle regole di resilienza operativa, questo significa una pressione diretta su sistemi considerati critici.<\/p>\n\n\n\n

Nel quadro pi\u00f9 ampio, Akira ha chiuso il 2025 con circa 735 vittime rivendicate, in crescita del 188% rispetto al 2024, secondo i conteggi di Picus Security e Breachsense. \u00c8 il secondo gruppo pi\u00f9 attivo al mondo, dietro solo a Qilin. Nel primo trimestre 2026, secondo Check Point Research, i quattro gruppi di testa (Qilin, Akira, The Gentlemen e LockBit) hanno totalizzato il 41% di tutte le vittime, segno di una concentrazione del mercato criminale nelle mani di pochi marchi dominanti.<\/p>\n\n\n\n

Come Akira ottiene l’accesso: VPN e CVE sfruttate<\/h2>\n\n\n\n

Il punto di ingresso preferito di Akira \u00e8 l’accesso remoto. Il gruppo prende di mira VPN e gateway esposti su Internet, spesso privi di autenticazione a pi\u00f9 fattori. Credenziali rubate, phishing e brute force completano il quadro. Una volta dentro, gli affiliati sfruttano vulnerabilit\u00e0 note per muoversi lateralmente, ottenere privilegi e disattivare le difese.<\/p>\n\n\n\n

Vettore<\/th>CVE sfruttata<\/th>Prodotto<\/th>Obiettivo tecnico<\/th><\/tr><\/thead>
SSL VPN<\/td>CVE-2024-40766<\/td>SonicWall<\/td>Accesso iniziale, campagna luglio 2025<\/td><\/tr>
VPN \/ firewall<\/td>CVE-2020-3259, CVE-2023-20269, CVE-2020-3580<\/td>Cisco ASA\/FTD<\/td>Furto credenziali e accesso remoto<\/td><\/tr>
Escalation privilegi<\/td>CVE-2023-28252<\/td>Windows CLFS<\/td>Privilegi di sistema<\/td><\/tr>
Hypervisor<\/td>CVE-2024-37085<\/td>VMware ESXi<\/td>Bypass autenticazione<\/td><\/tr>
Backup<\/td>CVE-2023-27532, CVE-2024-40711<\/td>Veeam Backup<\/td>Furto credenziali ed eliminazione backup<\/td><\/tr><\/tbody><\/table>
Principali vulnerabilit\u00e0 sfruttate da Akira secondo l’avviso CISA\/FBI aggiornato a novembre 2025.<\/figcaption><\/figure>\n\n\n\n

La lezione operativa \u00e8 netta. La maggior parte di queste falle ha una patch disponibile da mesi o anni. Akira non ha bisogno di zero-day costosi: si nutre di sistemi non aggiornati e di VPN senza secondo fattore. Le imprese italiane che espongono SonicWall, Cisco ASA o Veeam senza segmentazione restano bersagli facili, anche nel 2026.<\/p>\n\n\n\n

Doppia estorsione e cifratura: da C++ a Rust Megazord<\/h2>\n\n\n\n

Akira applica la doppia estorsione. Prima esfiltra i dati, poi cifra i sistemi e minaccia di pubblicare le informazioni rubate se il riscatto non arriva. Questa tattica funziona anche contro chi ha backup solidi: ripristinare i file non basta, perch\u00e9 resta la minaccia della divulgazione. Per molte aziende sanitarie e manifatturiere il vero ricatto \u00e8 sulla riservatezza, non solo sulla disponibilit\u00e0.<\/p>\n\n\n\n

Sul piano tecnico, il gruppo mantiene pi\u00f9 cifratori, capaci di colpire Windows, Linux, VMware ESXi e Nutanix AHV. Il codice \u00e8 passato dalla variante originale in C++ a payload basati su Rust, tra cui Megazord e Akira_v2. Rust offre prestazioni elevate e una maggiore difficolt\u00e0 di analisi per i ricercatori. Prima di cifrare, Akira elimina le copie shadow, disattiva i software di sicurezza e prende di mira proprio le piattaforme di virtualizzazione e backup, cos\u00ec da spegnere la capacit\u00e0 di ripristino della vittima.<\/p>\n\n\n\n

Chi vuole capire come funziona la cifratura sottostante e perch\u00e9 le funzioni crittografiche sono difficili da invertire pu\u00f2 approfondire con la nostra guida alle funzioni hash e alla crittografia<\/a>. La forza di Akira non sta nell’algoritmo, che usa schemi crittografici standard, ma nella velocit\u00e0 e nella catena di accesso.<\/p>\n\n\n\n

Velocit\u00e0 d’attacco: meno di quattro ore dall’accesso alla cifratura<\/h2>\n\n\n\n

La caratteristica pi\u00f9 allarmante di Akira \u00e8 la rapidit\u00e0. Secondo la societ\u00e0 di ricerca Halcyon, citata nei report del 2026, il gruppo riesce a passare dall’accesso iniziale alla cifratura completa in meno di quattro ore. Questo comprime drasticamente la finestra di rilevamento e risposta. Un team di sicurezza che lavora su turni diurni pu\u00f2 trovarsi i server cifrati prima ancora di accorgersi dell’intrusione.<\/p>\n\n\n\n

La velocit\u00e0 ha conseguenze dirette sulla strategia difensiva. I controlli manuali e le revisioni periodiche non bastano. Servono rilevamento automatico delle anomalie, blocco immediato degli accessi remoti sospetti e una segmentazione che impedisca il movimento laterale. Per le PMI italiane, spesso prive di un security operations center attivo 24 ore su 24, la finestra di quattro ore \u00e8 semplicemente troppo stretta per una reazione umana tempestiva.<\/p>\n\n\n\n

I settori nel mirino: manifatturiero, finanza e sanit\u00e0<\/h2>\n\n\n\n

Akira non sceglie a caso. Privilegia organizzazioni con alta dipendenza dalla continuit\u00e0 operativa e bassa tolleranza al fermo macchina. Il manifatturiero \u00e8 il bersaglio principale, seguito da servizi finanziari, istruzione, sanit\u00e0, tecnologia e settore alimentare e agricolo. In Italia, dove la manifattura e il “Made in Italy” pesano in modo decisivo sul PIL, questa preferenza si traduce in un rischio concreto per la spina dorsale industriale del Paese.<\/p>\n\n\n\n

Settore<\/th>Livello di esposizione<\/th>Dato di contesto<\/th><\/tr><\/thead>
Manifatturiero<\/td>Molto alto<\/td>Bersaglio numero uno, filiere “Made in Italy” ad alto valore<\/td><\/tr>
Servizi finanziari<\/td>Alto e in crescita<\/td>34 organizzazioni colpite tra apr. 2024 e apr. 2025<\/td><\/tr>
Sanit\u00e0<\/td>Alto<\/td>Esposizione massiccia di dati dei pazienti<\/td><\/tr>
Istruzione<\/td>Medio<\/td>Universit\u00e0 e centri di ricerca<\/td><\/tr>
Tecnologia \/ IT<\/td>Medio<\/td>Fornitori e managed service provider<\/td><\/tr>
Alimentare e agricoltura<\/td>Medio<\/td>Infrastrutture logistiche e produttive<\/td><\/tr><\/tbody><\/table>
Settori pi\u00f9 colpiti da Akira secondo le valutazioni di CISA\/FBI e dei ricercatori, periodo 2025-2026.<\/figcaption><\/figure>\n\n\n\n

La scelta dei settori non \u00e8 solo opportunistica. Le aziende manifatturiere tendono a fermarsi del tutto quando i sistemi industriali si bloccano, e questo aumenta la disponibilit\u00e0 a pagare. Le banche, dal canto loro, gestiscono dati sensibili la cui esposizione comporta sanzioni e danni reputazionali enormi. Akira sa dove la leva dell’estorsione \u00e8 pi\u00f9 forte.<\/p>\n\n\n\n

L’Europa sotto attacco: Francia in testa, Italia esposta<\/h2>\n\n\n\n

L’Europa \u00e8 terreno di caccia primario per Akira. Uno studio del 2026 citato nei report di settore indica la Francia come bersaglio europeo dominante, con il 53,1% degli attacchi Akira rilevati nel continente. L’Italia non ha un conteggio nazionale ufficiale altrettanto preciso per Akira, ma resta tra i Paesi pi\u00f9 colpiti dell’Unione per ransomware in generale.<\/p>\n\n\n\n

Secondo l’ENISA Threat Landscape 2025, Germania e Italia guidano le classifiche delle vittime nell’Unione, con l’Italia spesso al secondo posto e oltre l’11% del totale europeo. Il quadro \u00e8 aggravato dall’attivit\u00e0 degli hacktivisti filo-russi come NoName057(16), che colpiscono la pubblica amministrazione con attacchi DDoS in parallelo alle campagne ransomware. Abbiamo analizzato i dati completi nell’approfondimento dedicato a ENISA 2025 e ai 4.900 incidenti cyber censiti<\/a>.<\/p>\n\n\n\n

Il contesto europeo \u00e8 teso anche sul fronte istituzionale. Nel marzo 2026 la Commissione europea ha denunciato un attacco alla propria infrastruttura cloud, con sospetta esfiltrazione di dati e contenimento nel giro di poche ore. A febbraio 2026, falle critiche in Ivanti hanno aperto la strada a intrusioni contro enti europei. Akira si muove in questo ecosistema gi\u00e0 fragile, sfruttando le stesse debolezze di accesso remoto.<\/p>\n\n\n\n

Akira contro Qilin e LockBit: la classifica 2025-2026<\/h2>\n\n\n\n

Per inquadrare Akira serve un confronto con i rivali. Il 2025 ha visto Qilin imporsi come gruppo numero uno, con circa 958 vittime rivendicate e una crescita del 474% su base annua. Akira segue al secondo posto. LockBit, storico leader del settore, ha attraversato una fase di riorganizzazione dopo le operazioni di contrasto delle forze dell’ordine e ha perso terreno.<\/p>\n\n\n\n

Gruppo<\/th>Vittime 2025 (globali)<\/th>Crescita su 2024<\/th>Bersaglio principale in UE<\/th><\/tr><\/thead>
Qilin<\/td>~958<\/td>+474%<\/td>Industria e sanit\u00e0<\/td><\/tr>
Akira<\/td>~735<\/td>+188%<\/td>Manifatturiero, finanza, PA<\/td><\/tr>
LockBit<\/td>In calo \/ riorganizzazione<\/td>Negativa<\/td>Manifatturiero<\/td><\/tr>
Play<\/td>In calo (-31,8%)<\/td>Negativa<\/td>Servizi<\/td><\/tr>
The Gentlemen<\/td>Emergente<\/td>In crescita<\/td>Vari settori<\/td><\/tr>
RansomHub<\/td>Top 10<\/td>In crescita<\/td>Vari settori<\/td><\/tr><\/tbody><\/table>
Confronto tra i principali gruppi ransomware nel 2025, fonti Picus Security, Breachsense e Check Point Research.<\/figcaption><\/figure>\n\n\n\n

La differenza chiave tra Akira e Qilin sta nello stile operativo. Qilin punta sul volume e su una grande rete di affiliati. Akira combina volume e velocit\u00e0, con una catena di attacco affinata e una predilezione per le VPN. Per un approfondimento sul leader del mercato, vale la pena leggere la nostra analisi su Qilin ransomware e le sue 701 vittime<\/a>, e per il quadro nazionale l’inchiesta su ransomware in Italia con 166 casi e +14%<\/a>.<\/p>\n\n\n\n

Impatto economico e di mercato<\/h2>\n\n\n\n

Il paradosso del 2025-2026 \u00e8 che le vittime aumentano mentre i pagamenti medi calano. Secondo Sophos, i pagamenti totali di riscatto sono scesi del 35%, da 1,25 miliardi di dollari nel 2023 a circa 813 milioni nel 2024, con il pagamento mediano dimezzato a un milione di dollari nel 2025. Sempre pi\u00f9 organizzazioni rifiutano di pagare, sostenute da backup migliori e da una cultura della non-resa.<\/p>\n\n\n\n

Questo non significa che il danno diminuisca. Il costo reale di un attacco va oltre il riscatto: comprende fermo operativo, ripristino dei dati, consulenze legali, sanzioni e perdita di reputazione. Per Akira, il rifiuto crescente di pagare spinge il gruppo a colpire di pi\u00f9, a esfiltrare dati pi\u00f9 sensibili e a fare leva sulla minaccia di divulgazione. Il risultato \u00e8 una corsa: pi\u00f9 attacchi per compensare un tasso di pagamento pi\u00f9 basso.<\/p>\n\n\n\n

Per il mercato della cybersicurezza l’effetto \u00e8 una domanda crescente di soluzioni di rilevamento, di servizi di risposta agli incidenti e di polizze assicurative cyber. Le imprese che espongono accesso remoto senza protezioni adeguate vedono salire i premi assicurativi o si trovano escluse dalla copertura. La pressione di Akira sta accelerando l’adozione dell’autenticazione a pi\u00f9 fattori e della segmentazione di rete in tutta Europa.<\/p>\n\n\n\n

Contesto storico: dall’esordio 2023 alla maturit\u00e0 criminale<\/h2>\n\n\n\n

Akira \u00e8 comparso nel marzo 2023. In meno di un anno \u00e8 entrato nel mirino delle agenzie, con la prima allerta congiunta CISA\/FBI dell’aprile 2024. Da allora il gruppo ha mostrato una capacit\u00e0 di adattamento rara: ha riscritto i propri cifratori in Rust, ha esteso il bersaglio a Linux, ESXi e Nutanix, e ha cambiato i vettori di accesso seguendo le vulnerabilit\u00e0 del momento.<\/p>\n\n\n\n

Questa traiettoria ricorda quella dei grandi gruppi precedenti, da Conti a LockBit, ma con un ciclo di evoluzione pi\u00f9 rapido. Mentre le forze dell’ordine smantellano un’infrastruttura, ne nasce un’altra. Il modello ransomware-as-a-service rende il fenomeno resiliente: anche se il nucleo di Akira venisse colpito, gli affiliati migrerebbero verso il marchio successivo. La storia recente del settore, descritta nei report Clusit ed ENISA, mostra una consolidazione: nel primo trimestre 2026 i primi dieci gruppi hanno coperto la maggioranza delle vittime totali.<\/p>\n\n\n\n

Cosa dicono gli esperti<\/h2>\n\n\n\n

La valutazione ufficiale \u00e8 netta. Nell’avviso aggiornato del 13 novembre 2025, CISA, FBI e i partner internazionali<\/strong> definiscono Akira “una minaccia in escalation” e confermano i 342 obiettivi compromessi e i 244 milioni di dollari incassati, invitando le organizzazioni a rafforzare con urgenza l’autenticazione a pi\u00f9 fattori e la gestione delle patch.<\/p>\n\n\n\n

Sul piano del comportamento criminale, i ricercatori di Halcyon<\/strong> sottolineano che Akira pu\u00f2 completare l’intero ciclo, dall’accesso iniziale alla cifratura, in meno di quattro ore, una velocit\u00e0 che rende quasi impossibile la risposta manuale. Check Point Research<\/strong>, nel report sullo stato del ransomware del primo trimestre 2026, osserva che Qilin, Akira, The Gentlemen e LockBit hanno capitalizzato l’instabilit\u00e0 del panorama criminale, totalizzando insieme il 41% di tutte le vittime.<\/p>\n\n\n\n

Sul fronte europeo, l’ENISA<\/strong> evidenzia nel suo Threat Landscape 2025 la concentrazione delle vittime nei principali Stati membri, con Germania e Italia in testa, e segnala il ruolo crescente degli hacktivisti contro la pubblica amministrazione. Europol<\/strong>, co-firmataria dell’allerta su Akira, ricorda che il contrasto efficace richiede cooperazione internazionale e segnalazione tempestiva degli incidenti, principi al cuore della normativa europea.<\/p>\n\n\n\n

NIS2 e la risposta normativa europea<\/h2>\n\n\n\n

La direttiva NIS2 ha ridisegnato gli obblighi di cybersicurezza in Europa. Ha ampliato l’ambito di applicazione a nuovi settori, tra cui la manifattura di prodotti critici, i servizi postali, la gestione dei rifiuti e le banche centrali. Proprio i comparti che Akira preferisce rientrano ora tra le entit\u00e0 essenziali e importanti, soggette a requisiti pi\u00f9 severi.<\/p>\n\n\n\n

Per le imprese italiane, NIS2 impone analisi del rischio, sicurezza della catena di fornitura, piani di gestione delle crisi e tempi stretti di notifica degli incidenti. Il mancato rispetto pu\u00f2 costare sanzioni fino a 10 milioni di euro o al 2% del fatturato globale per le entit\u00e0 essenziali. Abbiamo analizzato lo stato di attuazione e i nodi aperti nel pezzo dedicato a NIS2 in Italia, le multe da 10 milioni e il livello di preparazione<\/a>.<\/p>\n\n\n\n

L’effetto collaterale della normativa \u00e8 positivo per la difesa. Imponendo backup robusti e capacit\u00e0 di ripristino, NIS2 contribuisce alla cultura della non-resa che riduce i pagamenti. Allo stesso tempo, l’obbligo di notifica aumenta la visibilit\u00e0 reale del fenomeno, spiegando in parte perch\u00e9 i numeri delle vittime censite continuano a salire.<\/p>\n\n\n\n

Come difendersi da Akira: misure pratiche<\/h2>\n\n\n\n

Le difese contro Akira sono note e replicano le raccomandazioni dell’avviso CISA\/FBI. La priorit\u00e0 assoluta \u00e8 chiudere i vettori di accesso remoto, che restano la porta d’ingresso principale del gruppo.<\/p>\n\n\n\n