Il primo ransomware è stato creato nel 1989 da Joseph Popp, un biologo che lo ha distribuito tramite floppy disk a una conferenza sull’AIDS. Chiamato PC Cyborg Trojan e ribattezzato AIDS Trojan, criptava i nomi dei file con un metodo di crittografia non impossibile da risolvere e chiedeva un riscatto di 189 dollari.
Questo accadeva 35 anni fa, se non nella preistoria dell’informatica come la conosciamo oggi, almeno in epoca naïf.
Nel corso del 2024 il ransomware ha cristallizzato un evento temibilissimo che ha causato perdite globali per 1,1 miliardi di dollari e ha incarnato il 44% dei casi segnalati da Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cyber security.
I settori più colpiti tra il mese di giugno del 2023 e il medesimo mese del 2024 sono stati la sanità, l’istruzione e i servizi finanziari. Produzione e infrastrutture critiche sono anche finite nel mirino dei criminal hacker.
Indice degli argomenti
L’evoluzione dei ransomware secondo Cisco
Il fenomeno ransomware ha impiegato circa tre lustri per diventare una piaga, un business prolifero e uno dei fiori all’occhiello del cyber crimine.
Il 2004 è stato l’anno di GPCode, un ransomware che si è diffuso soprattutto in Russia e che sfruttava le email e gli allegati malevoli. Una nuova pagina, quanto mai attuale, che con l’avvento delle criptovalute e quindi la più difficile tracciabilità delle destinazioni dei riscatti pagati, ha contribuito ad aprire le porte alle minacce più moderne.
Poi, nel 2016, SamSam è stato il primo ransomware a colpire grandi aziende e a richiedere riscatti milionari. Maze è stato tra i primi a introdurre la doppia estorsione, diffondendo così l’abitudine dei criminal hacker di esfiltrare dati prima di criptarli, minacciando le aziende colpite di diffondere le informazioni sottratte in assenza del pagamento del riscatto.
Abbiamo chiesto a Fabio Panada, Technical Solutions Architect – Security di Cisco Italia, di evidenziare gli aspetti determinanti dei ransomware e delle evoluzioni che hanno subito.
Come è cambiato il ransomware in questi 35 anni e come è cambiato il modo di difendersi?
“Il ransomware, nato alla fine degli anni ’80 con il ‘PC Cyborg Trojan’, si è evoluto fino a diventare una minaccia sempre più sofisticata e devastante. Inizialmente diffuso tramite floppy disk, si caratterizzava per tecniche rudimentali e richieste di riscatto modeste. Con la diffusione di Internet, i cybercriminali hanno perfezionato le loro strategie: oggi il ransomware impiega avanzate tecniche di crittografia, metodi di propagazione automatica e attacchi mirati contro organizzazioni di alto valore.
Le varianti più moderne seguono il modello Ransomware-as-a-Service (RaaS), consentendo anche a criminali inesperti di lanciare attacchi su vasta scala.
Attualmente, il ransomware rappresenta forse la più grave minaccia nel campo della sicurezza informatica.
Gli obiettivi principali oggi sono le piccole imprese e le infrastrutture critiche, come i settori dell’acqua, dell’energia e dei trasporti, realtà che purtroppo spesso non dispongono delle tecnologie e delle risorse necessarie per fronteggiare l’aumento esponenziale delle minacce informatiche.
Fortunatamente, anche le difese informatiche si sono evolute: se in passato era sufficiente un buon antivirus e un backup locale, oggi la protezione richiede soluzioni complesse e integrate. Si punta su sistemi avanzati di rilevamento come EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), sull’autenticazione multifattoriale (MFA) e su una maggiore consapevolezza degli utenti attraverso una formazione mirata.
Le aziende adottano inoltre approcci proattivi, come il monitoraggio continuo e la segmentazione delle reti, per mitigare l’impatto di eventuali infezioni”.
Quali sono i limiti dei sistemi di difesa attuali?
“I sistemi di difesa attuali presentano ancora limiti significativi. Sebbene le soluzioni come antivirus avanzati, sistemi di rilevamento delle intrusioni e backup regolari siano strumenti indispensabili, molte di queste tecnologie si basano su canoni conosciuti o comportamenti predefiniti, risultando inefficaci contro nuove varianti di ransomware che adottano tecniche evasive.
Inoltre, l’elemento umano resta una vulnerabilità critica: errori come l’apertura di allegati sospetti o l’uso di password deboli possono vanificare anche le difese più solide. La crescente complessità degli ambienti IT, con dispositivi interconnessi e infrastrutture ibride, rende ancora più difficile garantire una protezione completa. Investire nella formazione continua del personale e nell’adozione di tecnologie basate sull’intelligenza artificiale per il rilevamento proattivo degli attacchi è una strada sempre più necessaria per fronteggiare una minaccia in costante evoluzione”.
Difficile immaginare la sofisticatezza dei ransomware del futuro. Però, grazie anche alle IA, possiamo abbozzare le strategie e le tecnologie di difesa che verranno?
Come uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, Cisco offre una difesa end-to-end potenziata dall’intelligenza artificiale, coprendo aree come la sicurezza di rete, degli endpoint, delle e-mail e molto altro. Questi strumenti sono inoltre supportati dall’intelligence sulle minacce di Cisco Talos. Grazie al rilevamento avanzato e alla diagnosi precoce, Cisco è in grado di avvisare la comunità globale della sicurezza riguardo alle minacce emergenti e applicare patch senza che i malintenzionati se ne accorgano.
Nel campo della sicurezza informatica, muoversi rapidamente e proteggere in modo adeguato le applicazioni che utilizzano l’IA è fondamentale. Per questo abbiamo recentemente presentato Cisco AI Defense: una soluzione che sfrutta l’intelligenza artificiale per offrire una visibilità completa su tutte le applicazioni aziendali, applicando policy che garantiscano un accesso sicuro e protetto.
Affinché i modelli di intelligenza artificiale siano efficaci, devono essere privi di vulnerabilità, comportamenti imprevisti e contaminazioni dei dati. È qui che entra in gioco il nostro ‘AI Algorithmic Red Team’, che invia all’applicazione IA una serie di varianti di prompt per verificare se genera risposte indesiderate. Invece di impiegare un team di migliaia di persone per tentare il jailbreak di un modello per settimane, Cisco riesce a farlo in pochi secondi.
Una volta individuate le vulnerabilità, Cisco AI Defense suggerisce le protezioni da applicare in modo continuo. Ogni volta che il modello viene aggiornato o emerge una nuova minaccia, il sistema riconvalida il modello e implementa misure aggiornate per garantire la massima sicurezza”.
Pagare il riscatto è sempre una buona idea o la soluzione migliore?
“Non sempre pagare il riscatto a seguito di un attacco informatico è una buona idea o la soluzione migliore. Sebbene in situazioni critiche il pagamento possa sembrare l’unica strada per recuperare dati sensibili o ripristinare sistemi vitali, questa scelta presenta gravi rischi e conseguenze.
Prima di tutto, non c’è alcuna garanzia che i cyber criminali restituiscano l’accesso ai dati compromessi, anche dopo aver ricevuto il pagamento. In secondo luogo, versare il riscatto contribuisce a finanziare ulteriori attività criminali e potrebbe rendere l’azienda o l’ente una vittima preferenziale per futuri attacchi.
Infine, il pagamento potrebbe configurarsi come una violazione normativa, generando ulteriori complicazioni legali.
In caso di attacco, è fondamentale coinvolgere tempestivamente le autorità competenti, come la Polizia Postale in Italia, e valutare il supporto di esperti di cyber security per il recupero sicuro dei dati e l’analisi dell’attacco”.
Come difendersi
Le tecnologie citate da Fabio Panada sono essenziali per la difesa e la resilienza di qualsivoglia organizzazione.
Altrettanto essenziali sono delle politiche di backup accorte e lungimiranti ma, ancora prima, la formazione del personale interno ed esterno all’azienda.
Un’opera di sensibilizzazione continua che include qualsiasi rango aziendale affinché la cultura cyber diventi parte fondante di principi di professionalità di ogni lavoratore.
Credere che il costo di un’intrusione si limiti alla perdita di operatività è deleterio: ci sono conseguenze a lunga gittata che possono essere letali e giustificano gli investimenti in cyber difesa, formazione inclusa.