Ransomware

Un ransomware è un tipo di malware che blocca l'accesso ai file del computer infettato e richiede il pagamento di un riscatto (in inglese "ransom") per ripristinarli. Tecnicamente sono trojan horse crittografici con l'unico scopo di estorcere denaro attraverso un sequestro di file, che mediante la cifratura li rende inutilizzabili. Al posto del classico sfondo del computer, appare un avviso che sembra provenire da un'organizzazione di sicurezza e propone un'offerta: in cambio di una password in grado di sbloccare tutti i contenuti, richiede il versamento di una somma di denaro, generalmente in criptovaluta come Bitcoin. Il funzionamento prevede che i cyber criminali, dopo aver cifrato i file, facciano comparire una schermata con dettagliate istruzioni per pagare il riscatto, spesso attraverso la rete TOR nel Dark Web, e talvolta offrono anche un servizio di assistenza al "cliente" per facilitare il pagamento.

I ransomware si diffondono principalmente attraverso diversi vettori di infezione. Le e-mail di phishing continuano ad essere la modalità più diffusa, invitando gli utenti a cliccare su link o scaricare file malevoli, spesso mascherati come provenienti da fonti affidabili (tecnica nota come "spoofing"). Altri metodi includono lo sfruttamento di vulnerabilità presenti in programmi come Java o nei diversi sistemi operativi, permettendo al malware di propagarsi autonomamente senza azioni da parte dell'utente. La compromissione dell'accesso remoto è un altro vettore dominante, rappresentando oltre la metà degli incidenti, sfruttando VPN, RDP e cloud gateway vulnerabili o mal configurati. Recentemente, i cyber criminali hanno iniziato anche a prendere di mira gli insider aziendali, come nel caso documentato in cui il collettivo Medusa ha tentato di corrompere un dipendente della BBC offrendogli una tangente pari al 15% del riscatto in cambio dell'accesso alla rete.

Il ransomware ha subito una notevole evoluzione dalla sua nascita nel 1989 con il PC Cyborg Trojan (AIDS Trojan). Da semplici attacchi che richiedevano riscatti modesti, oggi utilizza tecniche di crittografia avanzate, metodi di propagazione automatica e attacchi mirati contro organizzazioni di alto valore. Una delle evoluzioni più significative è stata l'adozione del modello Ransomware-as-a-Service (RaaS), che permette anche a criminali inesperti di lanciare attacchi su vasta scala. Nel 2016, SamSam è stato il primo ransomware a colpire grandi aziende richiedendo riscatti milionari, mentre Maze ha introdotto la doppia estorsione, esfiltrando dati prima di criptarli e minacciando di diffonderli in assenza del pagamento. Oggi, il ransomware rappresenta il 44% dei casi segnalati da Cisco Talos, con perdite globali per 1,1 miliardi di dollari nel 2024, colpendo principalmente sanità, istruzione e servizi finanziari, oltre a produzione e infrastrutture critiche.

Tra i ransomware più noti e pericolosi figurano CryptoLocker, apparso nel 2013 e perfezionato nel 2017, che infetta i computer Windows presentandosi come un allegato ZIP contenente un file eseguibile camuffato. CryptoWall, emerso nel 2014, utilizza l'algoritmo RSA-2048 e richiede riscatti di 500-1000 USD in Bitcoin. TeslaCrypt, attivo dal 2014 al 2016, è stato quello che ha realizzato il maggior fatturato nei suoi primi 5 mesi di attività. Locky, apparso nel 2016, si diffonde tramite macro in file Word e utilizza una doppia crittografia. Petya/NotPetya, oltre a cifrare i file, cripta anche la Master Boot Record (MBR) del disco rendendo impossibile l'avvio del computer. WannaCry, che nel 2017 ha colpito oltre 150 Paesi sfruttando una vulnerabilità di Windows, è considerato "un attacco di proporzioni mai viste". Ryuk, responsabile di più di un terzo di tutti gli attacchi nel 2020, si è concentrato su bersagli importanti come grandi aziende, ospedali e organizzazioni governative, richiedendo riscatti nell'ordine dei milioni di dollari. Maze, attivo fino al 2020, è stato il pioniere della tecnica di doppia estorsione, ora utilizzata anche da altri gruppi come NetWalker, RagnarLocker e REvil.

L'impatto economico degli attacchi ransomware sulle aziende è devastante. Secondo il report State of Ransomware 2025 di Sophos, in Italia il valore mediano delle richieste di pagamento si è attestato a 4,12 milioni di dollari, in aumento rispetto ai 3,19 milioni del 2024. Le aziende italiane che pagano versano mediamente il 97% dell'importo richiesto, ben sopra la media globale dell'85%. Oltre al riscatto stesso, le spese per interruzione operativa, tempo sprecato, perdita di opportunità di business, costo dei dispositivi e costi di rete ammontano a 3,55 milioni di dollari (in flessione rispetto ai 5,38 milioni dell'anno precedente). A livello globale, secondo Cisco Talos, le perdite causate dai ransomware hanno raggiunto 1,1 miliardi di dollari nel 2024. Gli attacchi possono paralizzare interi settori, interrompendo l'erogazione di servizi essenziali, con costi dei tempi di inattività che spesso superano le stesse richieste di riscatto.

Pagare il riscatto in caso di attacco ransomware non è generalmente consigliabile, nonostante il report State of Ransomware 2025 di Sophos indichi che metà delle imprese sotto attacco lo faccia. Gli esperti di sicurezza informatica sconsigliano vivamente questa pratica per diverse ragioni: non c'è alcuna garanzia che i cyber criminali restituiscano l'accesso ai dati compromessi; il pagamento contribuisce a finanziare ulteriori attività criminali e potrebbe rendere l'azienda un bersaglio preferenziale per futuri attacchi; inoltre, potrebbe configurarsi come una violazione normativa, generando ulteriori complicazioni legali. Secondo Pierluigi Paganini, pagare il riscatto dimostra "una non corretta postura di sicurezza delle imprese" e spesso è "solo l'inizio dei problemi", poiché non c'è certezza che la minaccia sia stata eradicata e che le vulnerabilità non vengano sfruttate in successivi attacchi. In caso di attacco, è fondamentale coinvolgere tempestivamente le autorità competenti e valutare il supporto di esperti di cyber security.

Per proteggersi dai ransomware, è essenziale adottare diverse misure preventive. Innanzitutto, è fondamentale mantenere aggiornati sistemi operativi, software e applicazioni, poiché lo sfruttamento delle vulnerabilità è la causa primaria degli attacchi. Bisogna effettuare regolarmente backup dei dati importanti, conservandoli offline o su cloud protetti e verificandone periodicamente la funzionalità. È cruciale implementare soluzioni di sicurezza avanzate come antivirus, firewall, sistemi EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), oltre all'autenticazione multifattoriale. La formazione continua del personale sulla sicurezza informatica è essenziale per riconoscere tentativi di phishing e altre minacce. Altre misure includono la segmentazione della rete per limitare la diffusione di eventuali infezioni, l'implementazione di controlli di accesso basati sul principio del minimo privilegio, e lo sviluppo di un piano di risposta agli incidenti che includa procedure chiare in caso di attacco. Infine, è importante effettuare regolari valutazioni della sicurezza e test di penetrazione per identificare e correggere vulnerabilità prima che vengano sfruttate.

Se si è vittima di un attacco ransomware, è importante agire rapidamente seguendo alcuni passaggi fondamentali. Innanzitutto, isolare immediatamente i sistemi infetti disconnettendoli dalla rete per prevenire la diffusione del malware. Successivamente, identificare il tipo di ransomware per valutare le possibili soluzioni. È fondamentale segnalare l'attacco alle autorità competenti, come la Polizia Postale in Italia. La soluzione migliore è generalmente il ripristino dei dati da un backup recente, dopo aver effettuato una completa bonifica delle macchine infettate. In alcuni casi, per versioni meno sofisticate di ransomware, è possibile cercare strumenti di decrittazione disponibili gratuitamente, come quelli offerti dal sito No More Ransom!. Pagare il riscatto dovrebbe essere l'ultima risorsa, considerata solo in situazioni estreme e dopo aver consultato esperti di sicurezza informatica, poiché non garantisce il recupero dei dati e potrebbe incentivare ulteriori attacchi. Dopo aver risolto l'incidente, è essenziale rafforzare le misure di sicurezza, implementare backup più robusti e formare il personale per prevenire futuri attacchi.

I settori più colpiti dagli attacchi ransomware sono principalmente sanità, istruzione e servizi finanziari, insieme a produzione e infrastrutture critiche. La sanità è particolarmente vulnerabile a causa della criticità dei dati gestiti e dell'immediata necessità di ripristino dei servizi per garantire la continuità assistenziale ai pazienti. Secondo il report State of Ransomware 2025 di Sophos, gli enti della pubblica amministrazione locale e centrale versano mediamente le cifre più alte (2,5 milioni di dollari), mentre la sanità paga i riscatti più bassi (150.000 dollari). In Italia, il monitoraggio degli attacchi ransomware mostra una significativa presenza di vittime nei settori manifatturiero, tecnologico, alimentare e dei servizi. Le aziende di grandi dimensioni con fatturati sopra il miliardo di dollari ricevono richieste iniziali di oltre cinque milioni di dollari, mentre per le imprese con un giro d'affari inferiore ai 250 milioni di dollari la richiesta media è inferiore a 350.000 dollari.

La doppia estorsione è una tecnica particolarmente subdola utilizzata dai gruppi ransomware per forzare le vittime a pagare il riscatto, anche se dispongono di backup utilizzabili. Introdotta dal gruppo Maze nel 2019, questa strategia prevede due fasi: prima i criminali esfiltrano i dati sensibili dall'infrastruttura attaccata, poi procedono con la cifratura dei file. La minaccia utilizzata è quella di esporre i dati rubati su un sito pubblico o sul dark web se il riscatto non viene pagato. Questo approccio è particolarmente efficace perché, anche se l'azienda può ripristinare i propri sistemi dai backup, rischia comunque un grave danno reputazionale e legale dalla pubblicazione dei dati sensibili, trovandosi costretta a denunciare un data breach con tutte le implicazioni anche nei confronti del GDPR. Il primo caso noto di doppia estorsione ha colpito Allied Universal, una grande società di sicurezza americana: quando le vittime si sono rifiutate di pagare un riscatto di 300 Bitcoin (circa 2,3 milioni di dollari), gli attaccanti hanno pubblicato un campione dei file rubati e aumentato la richiesta del 50%. Questa tattica è stata poi adottata da molti altri gruppi come NetWalker, RagnarLocker, DoppelPaymer e Sodinokibi (alias REvil).

In Italia, gli attacchi ransomware rappresentano una minaccia in costante crescita. Secondo l'Operational summary dell'Agenzia per la Cybersicurezza Nazionale (ACN) di aprile 2025, si è verificato un aumento del 64% di attacchi ransomware rispetto allo stesso periodo del 2024. Il nostro Paese si posiziona al quarto posto in Europa per attacchi subiti, dopo Germania, Regno Unito e Francia. Le aziende italiane tendono a pagare il riscatto più frequentemente rispetto alla media globale: secondo il report State of Ransomware 2025 di Sophos, il valore mediano delle richieste di pagamento in Italia si è attestato a 4,12 milioni di dollari, in aumento rispetto ai 3,19 milioni del 2024, con le aziende che pagano mediamente il 97% dell'importo richiesto. Le ultime campagne segnalate dal CSIRT nazionale riguardano Lynx e INC Ransomware, attive rispettivamente dal 2024 e dal 2023. Tra i settori più colpiti figurano il manifatturiero, il tecnologico, l'alimentare e i servizi. Casi recenti includono l'attacco a Poltronesofà del 27 ottobre 2025, che ha compromesso i server del gruppo cifrando i file e causando l'indisponibilità delle macchine virtuali ospitate, con potenziale esposizione di dati personali dei clienti.