Che cos’è il Ransomware?

Il Ransomware è una tipologia di minaccia che ha lo scopo di cifrare i dati dell’asset informatico target in modo da comprometterne la disponibilità, integrità e riservatezza.

Attraverso il Ransomware, spesso l’attaccante crea dei file attraverso il processo di cifratura, detti “ransom notes”, tramite i quali richiede alla vittima un riscatto in cambio dell’accesso ai propri dati. In altri casi, i dati vengono esfiltrati in modo da offrire all’attaccante uno strumento in più di ricatto nei confronti della vittima.

Il Report Clusit 2025 ha evidenziato come il Ransomware è in assoluto la categoria di Malware più utilizzata dagli hacker, per via della maggiore redditività in termini economici.  

Le tipologie di Ransomware più diffuse

A seconda del loro funzionamento, i Ransomware possono dividersi in automatizzati o human operated.

Nel caso dei ransomware automatizzati, l’attacco si diffonde come un virus in modo autonomo, spesso ricorrendo ad e-mail di phishing come vettore d’attacco.

Gli human-operated ransomware sono invece il risultato di un’azione condotta direttamente da un attaccante, spesso a seguito del furto di credenziali.

Vediamo di seguito alcune delle tipologie di Ransomware più diffuse:

• Ransomware Locker: questa forma di Ransomware blocca completamente l’accesso al sistema della vittima, impedendo l’avvio del sistema operativo o l’accesso ai file. Gli utenti sono spesso presentati con un messaggio di blocco che richiede il pagamento di un riscatto per sbloccare il sistema.

• Ransomware Crypto: questo tipo di Ransomware cifra i file della vittima utilizzando algoritmi crittografici avanzati. Una volta che i file sono stati crittografati, diventano inaccessibili senza la chiave di decrittazione corretta, che viene promessa in cambio del pagamento del riscatto.

• Ransomware Scareware: questo tipo di Ransomware sfrutta la paura e l’intimidazione per indurre le vittime a pagare il riscatto. Gli utenti possono essere presentati con falsi avvisi di sicurezza o minacce di azioni legali, cercando di convincerli a pagare per risolvere il presunto problema.

• Ransomware Mobile: questa variante di Ransomware è progettata per dispositivi mobili come smartphone e tablet. Una volta infettato il dispositivo, il Ransomware può bloccare l’accesso ai dati dell’utente o criptare i file presenti sul dispositivo, richiedendo poi un pagamento per ripristinare l’accesso.

• Ransomware Doxware: questo tipo di Ransomware minaccia di rendere pubblici i dati sensibili della vittima, come foto, video o documenti personali, a meno che non venga pagato un riscatto. La minaccia di divulgazione può essere particolarmente dannosa per la reputazione e la privacy delle vittime.

• Ransomware as a Service (RaaS): questa è una forma più sofisticata di Ransomware, in cui i criminali informatici offrono un’infrastruttura e un’assistenza tecnica per aiutare altri criminali a condurre attacchi di Ransomware in cambio di una quota dei profitti.

Come si manifesta un Ransomware?

Il Ransomware può manifestarsi in vari modi, sfruttando diverse tecniche per infiltrarsi nei sistemi informatici delle vittime.

Di seguito sono descritti alcuni dei principali metodi con cui il Ransomware può manifestarsi:

• E-mail di Phishing: uno dei metodi più comuni utilizzati dai criminali informatici per diffondere il Ransomware è tramite e-mail di phishing. In questo tipo di attacco, gli utenti ricevono e-mail apparentemente legittime che li invitano ad aprire allegati o cliccare su link malevoli. Una volta che l’utente interagisce con il contenuto dell’e-mail, il malware può essere attivato e iniziare a cifrare i file della vittima.

• Siti Web infetti: alcuni siti web possono essere compromessi da criminali informatici per diffondere il Ransomware. Gli utenti potrebbero essere indirizzati a questi siti tramite link dannosi o annunci pubblicitari ingannevoli. Una volta che un utente visita un sito infetto, il malware può essere scaricato e attivato sul suo dispositivo senza il suo consenso.

• Vulnerabilità dei software: i criminali informatici possono sfruttare vulnerabilità nei software installati sui dispositivi delle vittime per diffondere il Ransomware. Queste vulnerabilità possono essere exploitate per eseguire codice dannoso sul dispositivo della vittima, consentendo al malware di prendere il controllo del sistema e cifrare i file.

• Drive-by Download: questa tecnica di diffusione del malware coinvolge il download automatico e l’esecuzione del Ransomware senza alcuna azione esplicita da parte dell’utente. Il malware può essere nascosto in script dannosi o file eseguibili presenti su pagine web compromesse, sfruttando vulnerabilità nel browser o nei plugin installati per eseguire l’attacco.

• Ransomware Worms: alcune varianti di Ransomware possono diffondersi autonomamente attraverso le reti, sfruttando vulnerabilità nei dispositivi connessi per propagarsi da una macchina all’altra. Questi worm possono diffondersi rapidamente all’interno di reti aziendali o domestiche, cifrando i file su tutti i dispositivi raggiunti.

Cosa fare in caso di attacco Ransomware?

Se l’azienda si trova improvvisamente vittima di un attacco di Ransomware, è fondamentale agire prontamente e in modo strategico per minimizzare i danni e ripristinare la normalità operativa il prima possibile.

Ecco alcuni passaggi da seguire in caso di attacco Ransomware:

1. Isolare il sistema infetto: la prima azione da compiere è isolare immediatamente il sistema o i sistemi infetti dalla rete aziendale per evitare la propagazione del Ransomware ad altri dispositivi e server.

2. Interrompere le connessioni Internet: disattivare tutte le connessioni Internet e di rete per impedire agli attaccanti di comunicare con il malware e di cifrare ulteriori file o dispositivi.

3. Contattare un esperto informatico: richiedere immediatamente l’assistenza di un esperto informatico specializzato in sicurezza informatica per valutare l’entità dell’attacco, identificare il tipo di Ransomware coinvolto e sviluppare una strategia di risposta appropriata.

4. Valutare le opzioni di ripristino dei dati: valutare le opzioni disponibili per il ripristino dei dati, come il ripristino da backup recenti o l’utilizzo di strumenti di decrittografia disponibili online, se applicabile.

5. Comunicare con il personale: informare tempestivamente il personale dell’azienda dell’attacco di Ransomware e delle azioni in corso per risolvere la situazione. Fornire istruzioni chiare su come devono comportarsi e su quali precauzioni devono prendere per proteggere ulteriormente i dati sensibili.

6. Documentare l’attacco: registrare dettagliatamente tutti gli eventi relativi all’attacco di Ransomware, comprese le attività sospette precedenti all’attacco, i danni causati e le azioni intraprese per risolvere la situazione. Queste informazioni possono essere utili per futuri riferimenti e analisi post-incidente.

Quali sono le conseguenze di un attacco Ransomware per le PMI?

Le piccole e medie imprese (PMI) rappresentano un bersaglio particolarmente sensibile per gli attacchi di Ransomware, con conseguenze potenzialmente devastanti per la loro sicurezza e continuità operativa. 

In primo luogo, l’impatto può essere di tipo economico, per via del costo dell’eventuale riscatto, i danni derivanti dall’interruzione o rallentamento delle operazioni e i costi di ripristino dei sistemi.

In secondo luogo, gli impatti possono essere operativi qualora si verifichi una perdita di dati a seguito della loro cifratura o non si disponga di backup aggiornati. Un’ulteriore tipologia è il danno reputazionale, in quanto le organizzazioni colpite sono spesso percepite pubblicamente come responsabili dell’inefficace gestione della sicurezza di dati e informazioni.

Questo comporta un impatto negativo sulla sicurezza della catena di approvvigionamento aziendale, uno dei requisiti chiave introdotti dalla Direttiva NIS2 nell’ottica dell’innalzamento del livello di resilienza informatica nei settori critici dell’economia europea.

Come una PMI può proteggersi da un attacco Ransomware

Per proteggersi efficacemente dai rischi associati al Ransomware, le PMI devono sviluppare processi strutturati di gestione del rischio e adottare un approccio proattivo alla cybersecurity, con tecnologie in grado di adattarsi all’evolversi dell’attacco.

Tra le strategie consigliate:

• Implementazione di tecnologie per il tracciamento degli eventi di sicurezza: la Piattaforma SGBox unisce in un’unica soluzione funzionalità SIEM (Security Information & Event Management) e SOAR (Security Orchestration, Automation & Response) per la raccolta, correlazione, analisi approfondita degli eventi di sicurezza e risposta automatica agli incidenti.

Grazie a questa tecnologia, per una PMI è possibile attivare procedure di monitoraggio proattivo della rete aziendale per l’analisi del perimetro compromesso da un Ransomware, attraverso l’analisi e gestione avanzata dei Log dei file di server, del sistema operativo di rete, del server di posta elettronica, degli accessi e dei comportamenti anomali degli utenti.

• Backup e ripristino dei dati: effettuare regolarmente il backup dei dati critici e implementare procedure di ripristino dei dati è essenziale per mitigare i danni causati da un attacco di Ransomware. Assicurarsi che i backup siano regolarmente aggiornati e memorizzati in un’infrastruttura sicura e isolata per evitare che vengano compromessi dagli attaccanti.

• Formazione del personale: fornire formazione regolare al personale sulla consapevolezza della sicurezza informatica è fondamentale per ridurre il rischio di cadere vittima di attacchi di Ransomware. Gli utenti devono essere istruiti su come riconoscere e gestire e-mail di Phishing, siti web sospetti e altri potenziali vettori di attacco.