Tra gli attacchi più pericolosi, i ransomware sono capaci di mettere in ginocchio imprese e interi settori pubblici. I numeri sono in lieve diminuzione, tuttavia ancora 7 aziende su 10 dichiarano di essere state “infettate”, nell’ultimo anno.
I ransomware – letteralmente dall’inglese “virus del riscatto” – sono una tipo di malware particolarmente pericoloso capace di “infettare” PC, tablet, smartphone e smart TV: agiscono bloccando l’accesso ai dati in essi contenuti, per poi chiedere un riscatto in denaro (spesso in criptovalute). Tale richiesta con le relative istruzioni, compare sullo schermo del device infettato, solitamente accompagnata dalla minaccia di blocco definitivo dei dati oppure di diffusione di contenuti sensibili. Si tratta di minacce informatiche in grado di mettere in ginocchio non soltanto utenti privati, ma anche aziende e persino interi settori pubblici.
Per rendersi conto della pericolosità di questa tipologia di malware è essenziale comprenderne a fondo la natura e la modalità operativa. Nei paragrafi seguenti, entreremo nel dettaglio dei metodi di diffusione e anche delle possibili strategie di difesa.
Tipologie di attacchi ransomware
Questa famiglia di malware si divide innanzitutto in due macro-gruppi:
• i blocker: agiscono bloccando l’accesso al dispositivo infettato e mostrando all’utente un falso avviso della Polizia di Stato o dell’FBI;
• i cryptolocker: attraverso la crittografia rendono illeggibili – e quindi inaccessibili – tutti i file contenuti nel dispositivo.
Il primo attacco documentato
Il primo attacco ransomware documentato, noto come AIDS trojan o P.C. cyborg, risale al 1989 e fu distribuito tramite floppy disk ai partecipanti della conferenza internazionale sull’AIDS dell’Organizzazione Mondiale della Sanità. A differenza delle moderne forme di ransomware che criptano il contenuto dei file, l’AIDS Trojan cifrava soltanto i nomi delle directory, rendendo il sistema inutilizzabile fino al pagamento di un riscatto di 189 dollari, da inviare a una casella postale di Panama.
Nel corso degli anni si sono evoluti notevolmente. Basti pensare, ad esempio, a WannaCry: nel maggio del 2017, è riuscito a colpire tra 200 e 300mila computer nel giro di poche ore, generando milioni di dollari di danni.
L‘incidenza di attacchi ransomware resta alta
I risultati dell’ultimo report di Veeam, From Risk to Resilience: Veeam 2025 Ransomware Trends and Proactive Strategies Report, rivelano che, nonostante la percentuale di aziende colpite da tali attacchi sia leggermente diminuita dal 75% al 69%, la minaccia resta consistente.
“Le organizzazioni stanno migliorando le loro difese contro gli attacchi informatici, ma 7 su 10 hanno comunque subito un attacco nell’ultimo anno. E di coloro che sono stati attaccati, solo il 10% ha recuperato più del 90% dei propri dati, mentre il 57% ne ha recuperati meno del 50%. I nostri ultimi risultati indicano chiaramente che la minaccia del ransomware continuerà a sfidare le organizzazioni per tutto il 2025 e oltre”, ha dichiarato Anand Eswaran, CEO di Veeam.
“Con l’evoluzione della natura e della tempistica degli attacchi, è essenziale per ogni organizzazione passare da misure di sicurezza reattive a strategie di resilienza dei dati proattive. Adottando un approccio proattivo alla sicurezza, investendo in solide soluzioni di ripristino e promuovendo la collaborazione tra i vari dipartimenti, le organizzazioni possono ridurre in modo significativo l’impatto degli attacchi ransomware”.
Come avviene un attacco ransomware
A far chiarezza sul funzionamento degli attacchi ransomware è il Garante della privacy, il quale spiega che nella maggior parte dei casi la distribuzione avviene tramite messaggi e e-mail di phishing. I contenuti ricevuti sembrano provenire da persone che si conoscono o per le quali si nutre una certa fiducia, come i colleghi, oppure corrieri, funzionari comunali, addetti delle compagnie telefoniche, personale di realtà che si frequentano, etc… Tali messaggi contengono solitamente degli allegati da aprire, oppure link da cliccare per presunte verifiche di dati personali, iscrizioni etc. In entrambi i casi sono collegati a software malevoli. Un’altra peculiarità è il carattere d’urgenza della comunicazione: l’invito è sempre a effettuare tempestivamente una determinata azione, come appunto aprire un allegato o cliccare su un link, per spingere l’utente a un gesto istintivo, che precluda il ragionamento.
In altre situazioni, il malware può essere scaricato sul dispositivo, quando l’utente naviga su siti web creati ad hoc o “compromessi” da hacker per aprire un varco di accesso al ransomware. Oppure quando clicca link o banner pubblicitari su siti web (un canale molto usato sono i siti per adulti) o social network. Passa anche attraverso app di giochi, utilities per il PC e persino falsi anti-virus, che vengono offerti gratuitamente all’utente, affinché effetti il download infetto.
Una volta infettato il sistema, il malware comunica con un server di comando e controllo, configurato e gestito da hacker informatici che lo utilizzano per perpetrare l’attacco, anche attraverso l’installazione di ulteriori malware. In questa fase i criminali informatici si addentrano alla scoperta del device infettato alla ricerca di informazioni e dati anche compromettenti. Contestualmente il virus si sposta su altri dispositivi diffondendo l’infezione.
È bene infatti, ricordare che ogni dispositivo infettato può contagiarne altri. La diffusione può essere veicolata, ad esempio, attraverso le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud, oppure mediante la rubrica dei contatti che viene utilizzata per spedire automaticamente ad altre persone messaggi contenenti link e allegati che diventano veicolo del ransomware.
L’estorsione
A questo punto i file vengono bloccati e i dati sottratti vengono inviati al server di comando remoto. Gli hacker procedono quindi con la richiesta di riscatto. È bene sottolineare che non sempre il pagamento garantisce il ripristino dei file. In alcuni casi infatti, il ransomware è programmato comunque per distruggere tutti i dati.
L’utente vittima deve quindi scegliere se negoziare o recuperare i propri dati tramite backup, sempre che anche questo non sia stato danneggiato.
Il Garante della privacy consiglia di rivolgersi a tecnici specializzati in grado di sbloccare il device. Inoltre è utile formattare il dispositivo, anche se è bene ricordare che in questo modo, insieme al malware verranno cancellati anche tutti i dati contenuti in esso. Infine è sempre buona norma segnalare l’accaduto alla Polizia Postale.
Come difendersi da attacchi ransomware?
“La prima e più importante forma di difesa è la prudenza. Occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.) e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ignora il contenuto”, afferma il Garante della Privacy.
Anche se i messaggi provengono da soggetti che in qualche modo si conoscono, è sempre bene adottare alcune piccole accortezze:
- non aprire mai allegati con estensioni “strane” – come ad esempio “.exe” – perché potrebbero installare applicazioni non sicure nel dispositivo;
- non scaricare software da siti sospetti, come quelli che offrono gratuitamente prodotti che sono a pagamento ovunque;
- scaricare app e programmi esclusivamente da market ufficiali;
- verificare eventuali link ricevuti – se si è al pc – senza aprirli, ma avvicinando soltanto la freccia del mouse al link in questione per visualizzare che la url corrisponda a quanto scritto nel messaggio.
Può essere inoltre utile:
• installare su tutti i dispositivi un antivirus con estensioni anti-malware;
• mantenere costantemente aggiornati il sistema operativo, i software e le app che vengono utilizzati più di frequente;
• utilizzare dei sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (anche se non sempre si rivela una strategia sufficiente).
