Il ransomware è un tipo di malware che cifra i file della vittima — documenti, database, backup, intere condivisioni di rete — rendendoli completamente inaccessibili, e poi richiede il pagamento di un riscatto (ransom) in criptovaluta (Bitcoin, Monero) per fornire la chiave di decifratura. È la categoria di malware economicamente più devastante degli ultimi anni: nel 2023 i pagamenti globali di riscatti hanno superato il miliardo di dollari, secondo Chainalysis.
Evoluzione del modello operativo
Prima generazione (2013–2017): ransomware opportunistici come CryptoLocker e WannaCry colpivano indiscriminatamente milioni di sistemi tramite email di massa e worm. I riscatti erano bassi (poche centinaia di dollari) perché le vittime erano principalmente utenti consumer.
Big Game Hunting (2018–presente): gli attaccanti si sono specializzati nel colpire aziende e infrastrutture critiche con riscatti da milioni di dollari. La catena d’attacco è diventata sofisticata e prolungata: l’accesso iniziale avviene settimane o mesi prima della cifratura, con movimento laterale per identificare i sistemi critici e massimizzare l’impatto.
Doppia estorsione (2019–presente): prima di cifrare i dati, gli attaccanti li esfiltranoQui. Il riscatto ha ora due motivazioni: decifrare i file e non pubblicare i dati rubati sui leak site del gruppo ransomware nel dark web. Questo rende inefficaci i soli backup come contromisura: la vittima deve pagare comunque per evitare la pubblicazione di dati di clienti o segreti industriali.
Ransomware-as-a-Service (RaaS): i gruppi criminali hanno adottato il modello business SaaS. Lo sviluppatore del ransomware (es. LockBit, BlackCat/ALPHV, Cl0p) fornisce l’infrastruttura C2, il pannello di gestione e il codice del ransomware agli affiliati, che conducono gli attacchi e trattengono il 70–80% del riscatto. Questo ha abbassato drasticamente la barriera tecnica per condurre attacchi ransomware.
Catena d’attacco tipica
1. Accesso iniziale: phishing, exploit VPN/RDP, credential stuffing
2. Persistenza: installazione backdoor, creazione account admin nascosti
3. Ricognizione interna: mappatura rete, identificazione backup e sistemi critici
4. Escalation privilegi: compromissione Domain Admin in Active Directory
5. Esfiltrazione dati: upload su siti del gruppo via Rclone, MEGAsync
6. Disabilitazione backup: cancellazione shadow copies VSS, disabilitazione antivirus
7. Distribuzione ransomware: deploy su tutti i sistemi raggiungibili simultaneamente
8. Nota di riscatto e negoziazioneProtezioni fondamentali
Le contromisure più efficaci sono la regola 3-2-1-1-0 dei backup (3 copie, 2 media diversi, 1 offsite, 1 offline/immutabile, 0 errori nei test di ripristino), la segmentazione di rete per limitare la propagazione laterale, il privilegio minimo per limitare l’impatto della compromissione delle credenziali, e il monitoraggio per rilevare le fasi precedenti alla cifratura (esfiltrazione, cancellazione shadow copies, scansioni interne anomale).
Pagare il riscatto non garantisce il recupero dei dati (in circa il 20% dei casi i dati non vengono completamente ripristinati) né impedisce futuri attacchi (le stesse credenziali compromesse possono essere rivendute). Le autorità (FBI, Europol, CISA) raccomandano di non pagare e di segnalare l’incidente.