I ransomware (letteralmente “virus del riscatto“) rappresentano oggi una delle minacce informatiche più pericolose e in rapida crescita. Questi sofisticati attacchi informatici stanno mettendo a dura prova la sicurezza di aziende, istituzioni pubbliche e privati cittadini in tutto il mondo. Questa particolare tipologia di malware limita l’accesso ai file e/o a particolari funzioni del computer, richiedendo il pagamento di un riscatto (generalmente in criptovalute) per il ripristino.
Nel 2024, il 73% delle grandi imprese italiane ha subito almeno un attacco informatico, con i ransomware che rappresentano una delle principali minacce nel panorama della Cyber Security. Con l’aiuto degli esperti dell’Osservatorio Cyber Security & Data Protection della POLIMI School of Management, in quest’articolo analizziamo tutto ciò che bisogna sapere sul tema: cosa sono esattamente i ransomware, come proteggersi da un attacco e come prevenire le diverse minacce informatiche.
Il termine ransomware indica una particolare categoria di malware (ossia un programma o codice scritto con l’obiettivo di attaccare e danneggiare un sistema o una rete internet) in grado di bloccare le funzionalità di un dispositivo e cifrare i dati contenuti al suo interno, rendendoli inaccessibili sino al pagamento di un riscatto in denaro.
Come le altre tipologie di malware, si tratta tecnicamente di un software o un programma prodotto da un team di cybercriminali che si introduce all’interno di computer, smartphone e reti, mascherandosi da file benevolo (es. exe, PDF, ZIP).
Solitamente i ransomware si distinguono tra:
La storia del ransomware affonda le radici nel 1989, con la comparsa di PC Cyborg. Distribuito tramite floppy disk durante un congresso sull’AIDS, questo precursore non possedeva le caratteristiche né la vasta portata degli attacchi attuali, complice la limitata diffusione di PC e internet all’epoca.
Il DocEncrypter, emerso nel dicembre 2012, segna l’inizio di una nuova generazione di ransomware. Si trattava di una tipologia ibrida, capace sia di bloccare l’accesso al computer con una falsa schermata della polizia, sia di cifrare i file Word, rendendoli inutilizzabili.
Nel corso degli anni, le minacce ransomware hanno subito una profonda trasformazione, modificando le modalità d’azione, le tipologie di vittime e i metodi di riscatto. Un esempio celebre e più recente è il CryptoLocker, nato nel 2013. Questo virus si è evoluto negli anni successivi, continuando a infettare i sistemi informativi tramite la crittografia dei contenuti.
Negli ultimi anni, gli attacchi informatici di tipo ransomware hanno assunto una portata internazionale. Due casi emblematici che hanno paralizzato sistemi informativi in tutto il mondo sono WannaCry e NotPetya.
WannaCry ha colpito organizzazioni, aziende e istituzioni pubbliche in oltre 150 Paesi. Dalle strutture sanitarie pubbliche inglesi ai computer di FedEx, fino ai server della telco spagnola Telefonica, il ransomware ha reso inaccessibili i dati, richiedendo il pagamento di un riscatto in Bitcoin.
NotPetya, partito dall’Ucraina, ha sfruttato l’exploit d’attacco EternalBlue, sfuggito al controllo della stessa agenzia sviluppatrice, la National Security Agency (NSA) statunitense. Anche in questo caso, l’attacco chiedeva alle vittime un riscatto di circa 300 dollari, criptando l’intero disco fisso fino al pagamento della somma richiesta.
Di recente sono diminuiti gli attacchi a “strascico” a favore di attacchi più mirati e complessi, finalizzati all’ottenimento di riscatti elevati. Recentemente, il ransomware Sodinokibi (anche noto come REvil) ha visto richiedere un riscatto di 2 milioni di dollari, raddoppiabile a 4 dopo una certa data, a un’azienda francese con sedi operative anche in Italia. Oltre a cifrare i file di dati, il virus in questione prevedeva un riscatto anche per l’esfiltrazione degli stessi.
Quello di Sodinokibi è un tipico caso di double extortion, vale a dire attacco a doppia estorsione. Questa innovativa tipologia di ransomware ha fatto capolino per la prima volta nel 2019, in seguito all’attacco denominato Maze, ad una nota società di sicurezza americana.
Se fino a qualche tempo fa i ransomware si “limitavano” a cifrare i file di dati e a tentare di cancellare i file di ripristino dei più comuni sistemi di backup, oggi hanno iniziato anche ad esfiltrare i file di dati delle vittime minacciandone la diffusione pubblica.
Tutto questo per indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche (e soprattutto) per evitare di vedere i propri dati diventare di pubblico dominio. Il trend della doppia estorsione si è affermato negli anni più recenti come “arma” preferita dai cybercriminali per ricavare importi più che corposi.
Comprendere come si sviluppa un attacco ransomware è fondamentale per implementare difese efficaci. È importante sottolineare che gli effetti possono verificarsi in un qualsiasi momento. Alcuni si rendono evidenti istantaneamente in seguito all’infezione, altri rimangono silenti fino all’innescarsi di un determinato evento informatico.
Gli attacchi moderni seguono generalmente queste fasi:
I principali vettori di infezione includono le campagne di Phishing attraverso apertura di allegati compromessi o click su link malevoli, lo sfruttamento di vulnerabilità del software in sistemi non aggiornati, gli accessi remoti non sicuri via RDP (Remote Desktop Protocol), l’utilizzo di credenziali compromesse e la navigazione su siti compromessi che nascondono kit di exploit.
Una volta ottenuto l’accesso iniziale, gli attaccanti installano strumenti di accesso remoto per mantenere la persistenza nel sistema, esplorano la rete aziendale per comprendere l’architettura IT, si muovono lateralmente per accedere ad altri sistemi e identificano i dati di maggior valore per l’organizzazione target.
Nei ransomware a doppia estorsione, questa fase prevede il furto e l’esportazione di dati sensibili e critici, preparando il terreno per la potenziale pubblicazione in caso di mancato pagamento del riscatto.
Segue l’attivazione del malware con la crittografia di file, cartelle o interi sistemi utilizzando algoritmi di crittografia avanzati come AES e RSA, che rendono il recupero dei file cifrati estremamente difficile. I ransomware più sofisticati iniziano strategicamente dai dati meno utilizzati per completare l’operazione prima di essere scoperti.
L’attacco si conclude con la visualizzazione della nota di riscatto contenente istruzioni per il pagamento in Bitcoin o altre criptovalute (proprio perché rendono molto complesso tracciarne i titolari e di conseguenza risalire al gruppo criminale), minacce di cancellazione o pubblicazione dei dati entro un termine specifico, e indicazioni per accedere al Dark Web attraverso la rete TOR. Vengono indicate le informazioni necessarie al pagamento del riscatto, in particolare il tempo a disposizione per eseguire la transazione prima della distruzione definitiva dei file, l’importo richiesto e l’eventuale indirizzo nella rete TOR in cui eseguire l’operazione.
L’utilizzo di algoritmi di crittografia come AED (Advanced Encryption Standard) e RSA (crittografia asimmetrica) rende il recupero dei file cifrati impresa difficile, se non proibitiva, almeno che non si conosca la chiave di cifratura utilizzata.
Le shadow copies di Windows (da Vista in su) assolverebbero a tale scopo. Tuttavia, i ransomware più recenti sono ormai attrezzati per cancellare tali copie fin dal loro rilascio infettato.
In passato è stato possibile recuperare le chiavi di cifratura utilizzate dai CryptoLocker da alcuni server di Comando e Controllo sequestrati dalla polizia. In altri casi sono stati gli stessi autori dei ransomware ad aver lasciato punti deboli e spiragli per il recupero password dei file cifrati.
Esistono infine alcuni software per il recupero dati, anche se la probabilità di ripristinare i file compromessi attraverso tali strumenti rimane molto bassa.
In caso di attacco ransomware è fondamentale mantenere la calma e non agire impulsivamente, isolare immediatamente i sistemi compromessi dalla rete e documentare tutto quello che accade, inclusa la richiesta di riscatto. È essenziale contattare tempestivamente le autorità competenti e il team di risposta agli incidenti, evitando generalmente di pagare il riscatto come raccomandato da esperti e forze dell’ordine.
Pagare il riscatto, infatti, non rappresenta la soluzione migliore per diversi motivi. Non esistono garanzie del rilascio dei codici di decrittazione, il pagamento può innescare un circolo vizioso rendendo l’organizzazione target di attacchi futuri, si finanziano le attività criminali incentivando ulteriori attacchi, e in alcuni Paesi il pagamento di riscatti può essere illegale.
Prima di intraprendere qualsiasi iniziativa, la soluzione migliore rimane quella di affidarsi alle autorità competenti e ai tecnici specializzati. Esistono poi attività virtuose che possono aiutare a prevenire gli attacchi ransomware:
Il backup, in particolare, è una contromisura utile, seppur non risolutiva, per fronteggiare l’attacco e mitigarne gli effetti dannosi. Per non incorrere nella cifratura da parte del virus, le copie di backup devono essere scollegate dalla rete, separate e conservate in diversi storage sia onsite che offsite (facendo attenzione alla sincronizzazione).
Le aziende devono partire dalla consapevolezza dell’importanza del fattore umano e insistere in azioni di formazione sui singoli dipendenti, con l’obiettivo di aumentarne la consapevolezza alle minacce e far recepire best practices da implementare nella quotidianità delle attività online.
La preparazione, la prevenzione e la resilienza rappresentano le armi più efficaci contro questa minaccia in continua evoluzione. Solo attraverso un approccio olistico che combini tecnologia, processi e formazione è possibile costruire difese efficaci contro i ransomware.
Stando al Rapporto Clusit 2025, i ransomware registrano una crescita dell’11% in termini assoluti rispetto al 2023, confermandosi uno degli strumenti più efficaci e affidabili nelle strategie cybercriminali più diffuse.
Il settore sanitario è stato il più colpito da attacchi Ransomware. Sempre più spesso cybercriminali criptano i dati dei pazienti, causando interruzioni dei servizi sanitari. Tra i casi più significativi si ricordano l’attacco ransomware criptolocker all’Ausl e all’Aou di Mondena e all’ospedale di Sassuolo, avvenuto il 28 novembre 2023, che ha messo a rischio il sistema sanitario modenese, creando disagi a personale e pazienti. Un altro caso è rappresentato dall’attacco ransomware all’ospedale “Vanvitelli” di Napoli, avvenuto il 1° luglio 2023, in cui l’Agenzia per la Cybersicurezza Nazionale (ACN) ha inviato una squadra di esperti per valutare l’attacco e aiutare nel ripristino dei sistemi. Durante l’attacco ransomware contro ASL 1 Abruzzo, avvenuto il 3 maggio 2023, invece, il gruppo criminale Monti, responsabile dell’attacco, è riuscito ad esfiltrare 500 GB di dati e a pubblicarne online almeno 8,3 GB.
Le aziende devono partire dalla consapevolezza dell’importanza del fattore umano e insistere in azioni di formazione sui singoli dipendenti, con l’obiettivo di aumentarne la consapevolezza alle minacce e far recepire best practices da implementare nella quotidianità delle attività online.
La preparazione, la prevenzione e la resilienza rappresentano le armi più efficaci contro questa minaccia in continua evoluzione. Solo attraverso un approccio olistico che combini tecnologia, processi e formazione è possibile costruire difese efficaci contro i ransomware.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
