- Il ransomware si è evoluto da semplici programmi di blocco dei floppy disk a sofisticati sistemi di crittografia con doppia e tripla estorsione, colpendo tutti i settori.
- La combinazione di criptovalute, ransomware-as-a-service e intermediari per l'accesso iniziale ha industrializzato la criminalità informatica e fatto schizzare alle stelle il numero di attacchi.
- WannaCry, NotPetya e Big Game Hunting hanno segnato tappe fondamentali combinando estorsione, sabotaggio geopolitico e attacchi mirati contro grandi organizzazioni.
- Una difesa efficace richiede backup immutabili, segmentazione, soluzioni endpoint moderne, rilevamento proattivo e investimenti in formazione e gestione degli incidenti.
El Il ransomware è diventato il "settore principale" della criminalità informatica.Quella che negli anni '80 era una semplice curiosità tecnologica si è trasformata in una macchina di estorsione globale che muove miliardi e paralizza ospedali, fabbriche, università e pubbliche amministrazioni. Lungi dall'essere una moda passeggera, è una minaccia che si reinventa a ogni progresso tecnologico, dalla diffusione di Internet all'avvento dell'intelligenza artificiale.
Per capire perché ogni anno si registrano più incidenti e tassi di salvataggio più elevati, dobbiamo seguire il Una panoramica storica del ransomware: le sue origini, le sue mutazioni tecniche e il suo modello di business.Solo comprendendo come si è evoluto – dai floppy disk del "Trojan dell'AIDS" alle piattaforme Ransomware-as-a-Service basate sull'intelligenza artificiale – è possibile progettare difese realistiche, prendere decisioni migliori in caso di incidente e, soprattutto, preparare l'organizzazione a evitare di diventare la prossima vittima di un attacco informatico.
Dai floppy disk alla crittografia asimmetrica: i primi passi del ransomware
La storia documentata del ransomware inizia nel 1989 con un caso tanto peculiare quanto inquietante: il Il biologo evoluzionista Joseph L. Popp distribuì 20.000 floppy disk infetti Tra i partecipanti a una conferenza internazionale sull'AIDS, i floppy disk, etichettati "Informazioni sull'AIDS - Dischi introduttivi", contenevano un presunto questionario per valutare il rischio di contrarre la malattia.
Dopo un certo numero di riavvii del sistema, il malware —noto come “Trojan dell’AIDS” o “Cyborg del PC”— Il virus modificava il processo di avvio di MS-DOS e crittografava i dati del computer, visualizzando una richiesta di riscatto di 189 dollari da inviare a una casella postale a Panama. La polizia ha rintracciato l'origine del virus e arrestato Popp, ma quest'ultimo è stato dichiarato non idoneo a sostenere un processo, e l'incidente rimane una rarità nella storia dei virus informatici.
Durante gli anni '90 e i primi anni 2000, l'attenzione si è concentrata maggiormente su worm di grandi dimensioni, attacchi DDoS e virus "classici".Questo era dovuto in parte al fatto che i ransomware erano più facili da rintracciare tramite i pagamenti. Tuttavia, i progressi nella crittografia e l'emergere dei pagamenti digitali anonimi hanno spianato la strada al suo ritorno.
Intorno al 2005, apparve PGPCoder o Gpcode, uno dei primi ransomware distribuito massicciamente tramite InternetSi è diffuso come allegato di posta elettronica utilizzando tecniche di clonazione phishing Presentandosi come domande di lavoro, prendeva di mira documenti e file compressi (.doc, .xls, .rar, .zip, .jpg, tra gli altri). Le sue prime varianti utilizzavano una crittografia relativamente debole, ma si sono rapidamente evolute per utilizzare chiavi RSA a 660 e 1024 bit, molto più difficili da decifrare.
Nel 2006, è emerso Archiveus (anche noto come Archievus), un cavallo di Troia che ha reso popolare l'uso della crittografia asimmetrica RSA nei ransomwareIl malware crittografava tutto il contenuto della cartella "Documenti" dell'utente e lasciava un file denominato "how to get your files back.txt" che spiegava come recuperare i dati la vittima dovesse effettuare degli acquisti presso una farmacia online in cambio di una password di diverse decine di caratteri. In seguito si scoprì che un'unica password funzionava per tutte le vittime, ponendo così fine alla diffusione di quella particolare variante.
Ostacoli e crescita con l'adozione di massa di Internet
Con l'espansione di Internet all'inizio degli anni 2000 - e-mail, social media, forum, reti P2P - il ransomware ha trovato un canale di propagazione perfetto per attaccare milioni di utentiDurante questa fase, si diffusero i cosiddetti "bloccanti", che non crittografavano i file, ma impedivano il normale utilizzo del sistema.
WinLock, molto attivo tra il 2011 e il 2014, bloccava l'accesso al desktop di Windows e visualizzava un immagine pornografica accompagnata da una richiesta di pagamento tramite SMS a tariffa maggiorataTecnicamente era più semplice della crittografia moderna, ma molto efficace: l'utente vedeva il proprio computer reso inutilizzabile e, per vergogna o paura, pagava subito.
Poco dopo, sono apparse delle varianti che impersonavano le forze di polizia. Reveton, rilevato intorno al 2012, mostrava un messaggio che presumibilmente proveniva da FBI o altre agenzie di polizia, accusando l'utente di crimini (pirateria, distribuzione di materiale pornografico, ecc.) e richiedendo una "multa" di circa 200 dollari per sbloccare il dispositivo. La combinazione di intimidazione legale e blocco del sistema ha fatto aumentare il tasso di pagamento.
Parallelamente, l'uso di metodi di pagamento alternativi e semi-anonimicome portafogli elettronici e servizi SMS a pagamento. Questo modello di estorsione si è rivelato estremamente redditizio, al punto che le forze dell'ordine e i fornitori di servizi di pagamento hanno iniziato a reagire.
La risposta normativa e di polizia si è concentrata sul taglio dei finanziamenti e sull'attivazione Avvisi di sicurezza Internet: rafforzare i controlli sui pagamenti elettronici, tracciare il denaro e chiudere i canali utilizzati per riscuotere i riscattiQuesta pressione ha ridotto la redditività del modello dei bloccanti e ha costretto molti gruppi a cambiare tattica o a scomparire.
La rivoluzione delle criptovalute e l'impatto del Bitcoin
Il vero salto qualitativo è arrivato con la popolarizzazione di Bitcoin e di altre criptovalute, offrendo un sistema di pagamento difficile da tracciare e senza un controllo centralizzatoÈ diventato il complemento perfetto del ransomware. Gli aggressori non dovevano più fare affidamento su servizi SMS a pagamento o portafogli elettronici più regolamentati.
Invece di bloccare semplicemente il sistema operativo o il browser, le nuove famiglie hanno iniziato a Crittografa in modo sicuro i file personali e aziendaliLa vittima non è riuscita a recuperare i propri dati nemmeno reinstallando il sistema. Per i malintenzionati, questo ha aperto la strada a riscatti ben più ingenti: centinaia di dollari per i singoli utenti e decine di migliaia per le aziende.
Tra il 2014 e il 2016, i dati di Kaspersky mostrano che i tentativi di infezione da ransomware sono aumentati vertiginosamente: da poco più di 130.000 a oltre 700.000 in un solo annoFamiglie di malware come TeslaCrypt, CTB-Locker, Scatter e Cryakl dominavano il panorama, rappresentando quasi l'80% degli attacchi rilevati in quel periodo, sebbene alcuni di essi abbiano poi trovato strumenti di decrittazione pubblici.
Anche la geografia degli attacchi si è ampliata. Paesi come India, Russia, Kazakistan, Vietnam, Algeria, Brasile e Ucraina sono stati particolarmente colpiti da varianti “più vecchie” o meno sofisticateNel frattempo, in mercati come quello italiano e tedesco, è diventato comune imbattersi in sistemi di crittografia aggressivi, dove il termine "ransomware" è diventato praticamente sinonimo di "crittografia dell'intero disco".
Allo stesso tempo, i criminali hanno cambiato il loro obiettivo: Sono passati dall'attaccare quasi esclusivamente gli utenti domestici a concentrarsi anche sulle aziende.La percentuale di organizzazioni colpite è cresciuta rapidamente, poiché l'impatto operativo della perdita di server, database e sistemi critici ha reso le aziende obiettivi molto più appetibili.
CryptoLocker, Petya e la professionalizzazione del modello
L'anno 2013 ha segnato una svolta con CryptoLocker. Questo malware ha introdotto l'uso diffuso di Server di comando e controllo (C&C) per gestire l'attaccoUna volta infettata, la macchina comunicava con un'infrastruttura remota controllata dagli aggressori, i quali generavano chiavi univoche, negoziavano le scadenze e potevano persino prolungare la pressione sulla vittima.
Grazie a questo approccio più “orientato al business” — campagne ampie, negoziazione, scadenze, supporto “cliente” per i pagamenti — CryptoLocker ha raccolto decine di milioni di dollari in pochi mesiFu anche uno dei primi a richiedere sistematicamente il pagamento in Bitcoin, ponendo le basi per il modello attuale.
Nel 2014 e nel 2015, il ransomware ha ampliato i suoi obiettivi tecnici: I dispositivi Android e i sistemi Linux hanno iniziato a essere attaccati attraverso famiglie di malware come SimpleLocker, Sypeng o Encoder, spesso distribuiti camuffati da legittimi aggiornamenti software (ad esempio, falsi aggiornamenti di Flash). Il messaggio era chiaro: non si trattava più solo di PC Windows.
Nel 2016 è apparso Petya, che ha portato l'approccio classico di crittografare solo i file un passo avanti. Invece, ha attaccato il tabella dei file master (MFT) del disco, disabilitando completamente il sistemaIl dispositivo si bloccava mostrando un temuto teschio rosso sullo schermo e l'unica opzione apparente era quella di pagare. La sua diffusione tramite campagne di phishing rivolte alle aziende dimostrava che gli aggressori avevano perfezionato l'uso della posta elettronica come vettore di attacco.
L'impatto mediatico di queste campagne, con screenshot, aziende che chiudono e testimonianze pubbliche, Involontariamente, si è trasformato in una campagna di marketing per il ransomware.Ciò ha suscitato l'interesse di nuovi gruppi criminali che hanno visto in questo tipo di attacco una fonte di reddito di gran lunga superiore alle tradizionali frodi online.
WannaCry, NotPetya e il ransomware come arma geopolitica
Tra il 2017 e il 2018, l'uso di vulnerabilità zero-day rubate alle agenzie governative Ha portato il ransomware a un livello superiore. La fuga di notizie riguardante strumenti come EternalBlue ed EternalRomance, attribuiti alla NSA, ha permesso agli aggressori di combinare la crittografia con funzionalità da worm, diffondendosi da una macchina all'altra senza intervento umano.
WannaCry, nel 2017, è probabilmente il caso più noto: in poche ore ha infettato centinaia di migliaia di dispositivi in oltre 150 paesiHa colpito aziende, ospedali, enti pubblici e ogni tipo di organizzazione. Sfruttava la vulnerabilità EternalBlue per diffondersi lateralmente attraverso reti Windows non aggiornate, visualizzando una richiesta di riscatto con un timer e minacciando di cancellare i dati.
Paradossalmente, la stessa aggressività di WannaCry si è ritorta contro i suoi creatori: l'attacco si è diffuso così rapidamente che Hanno perso il controllo della propria campagnaLa scoperta di un interruttore di sicurezza nel codice ha contribuito a fermare la diffusione. Ciononostante, i danni finanziari sono stati enormi e molte aziende hanno reagito investendo in backup e piani di ripristino d'emergenza.
I gruppi criminali si sono adattati rapidamente. Se le organizzazioni fossero state meglio protette con i backup, il passo successivo sarebbe stato attaccare anche i repository di backup e sistemi di archiviazione ridondanti, cosicché l'unica alternativa praticabile per molte vittime era negoziare il riscatto.
NotPetya, anch'esso del 2017 e originario del conflitto tra Russia e Ucraina, ha riutilizzato alcune delle stesse vulnerabilità, ma per uno scopo diverso. Sebbene fosse presentato come ransomware, in pratica Funzionava come un "cancellatore" progettato per distruggere dati su larga scala.Il loro vero obiettivo non sembrava essere quello di raccogliere fondi, bensì di causare il massimo danno alle infrastrutture critiche ucraine e alle aziende collegate, arrivando persino a compromettere le catene di approvvigionamento internazionali.
Questo tipo di incidente ha dimostrato che il ransomware Non era più solo uno strumento di estorsione economica, ma anche un'arma di guerra digitale.I governi e le grandi aziende hanno iniziato a prendere molto più seriamente la necessità di aggiornamenti rapidi, segmentazione della rete e piani di continuità operativa.
La caccia grossa e l'era della doppia e tripla estorsione
Dal 2019 in poi, è stata adottata una strategia diversa: invece di lanciare campagne massicce e rumorose, molti gruppi hanno optato per attacchi mirati contro grandi organizzazioniQuesta tattica è nota come "caccia alla grossa selvaggina": il valore di ogni vittima è talmente elevato da compensare lo sforzo aggiuntivo necessario per la ricognizione e l'infiltrazione.
Gli aggressori analizzano a fondo il loro obiettivo, identificano i sistemi critici, studiano la fatturazione, cercano polizze di assicurazione informatica e persino Negoziano avendo conoscenza delle capacità economiche dell'azienda.Durante questo periodo, le richieste medie di riscatto sono triplicate, passando da somme a cinque cifre a importi a sei o sette cifre in dollari.
Allo stesso tempo, il modello di doppia estorsioneLa crittografia dei dati non è più sufficiente: prima di procedere, i criminali li esfiltrano. Se la vittima decide di ripristinare i dati dai backup e si rifiuta di pagare, il gruppo minaccia di pubblicare informazioni sensibili (codice sorgente, dati dei clienti, cartelle cliniche, ecc.) sui forum del dark web o di divulgarle ai media.
Alcuni gruppi sono arrivati persino a esercitare pressioni dirette clienti, pazienti o partner delle aziende interessateÈ stato detto loro che i loro dati erano stati compromessi e che sarebbero potuti essere divulgati se l'organizzazione non avesse pagato. Un caso particolarmente noto è quello di una clinica di psicoterapia in Finlandia, dove i pazienti sono stati estorti uno ad uno.
Famiglie come Maze, Egregor o Sodinokibi/REvil hanno perfezionato questo modello, combinando crittografia, furto di dati e aggressive campagne di comunicazione. Pagine diffamatorie sul dark webGli elenchi delle vittime che si rifiutavano di pagare sono diventati un elemento centrale della strategia di pressione.
Ransomware-as-a-Service e industrializzazione del crimine
Intorno al 2020-2021, il ransomware ha fatto un altro balzo in avanti: l'emergere di Piattaforme Ransomware-as-a-Service (RaaS) che operano quasi come startup criminali. Gli sviluppatori del malware forniscono l'infrastruttura, il pannello di controllo e gli strumenti di crittografia; gli affiliati si occupano di compromettere le vittime e di sferrare l'attacco.
In cambio, gli operatori della piattaforma trattengono una percentuale del riscatto, a volte vicina al 10%, lasciando il 90% all'affiliato, che Riduce drasticamente la barriera d'ingresso per i criminali informatici con scarse competenze tecniche.Casi come quello del franchising Conti hanno dimostrato fino a che punto il modello potesse essere professionalizzato, con "dipendenti junior", stipendi fissi, bonus e manuali interni trapelati.
Nel frattempo, i seguenti elementi hanno acquisito importanza Intermediari di accesso iniziale (IAB)Si tratta di gruppi specializzati nell'ottenimento di credenziali, nello sfruttamento di vulnerabilità o nel mantenimento di backdoor nelle reti aziendali, che poi rivendono ad operatori di ransomware e altri malintenzionati. In questo modo, la fase di intrusione viene "esternalizzata" a specialisti.
Gli studi di intelligence sulle minacce indicano che, solo nella seconda metà del 2021, ci sono stati Oltre mille accessi aziendali in vendita Specificamente mirato alle operazioni di ransomware. Attaccare l'attività di questi intermediari è diventato un obiettivo chiave per interrompere la catena del valore del ransomware.
Questo intero ecosistema ha portato al funzionamento del ransomware oggi come un'industria criminale perfettamente strutturatacon ruoli differenziati (sviluppatori, affiliati, negoziatori, riciclatori di denaro, IAB…), servizi di supporto e un ciclo continuo di innovazione del malware.
Ransomware in cifre: impatto globale e settoriale
Le statistiche recenti mostrano la portata del problema. Nella prima metà del 2022, più di 236 milioni di attacchi ransomware in tutto il mondoSecondo Statista, un altro rapporto indicava che quasi il 71% delle aziende aveva subito almeno un attacco ransomware nello stesso anno e che quasi due terzi delle vittime avevano finito per pagare.
Analizzando i dati per settore, emergono i seguenti obiettivi ricorrenti: piccole e medie imprese, sanità, istruzione, pubblica amministrazione, servizi industriali e settore bancario.Nel settore sanitario, ad esempio, l'impatto non è solo economico: sono stati documentati ritardi negli interventi chirurgici, deviazioni di ambulanze e persino decessi indirettamente correlati all'indisponibilità di sistemi essenziali.
Studi congiunti di produttori di sicurezza e società di analisi, come VDC Research e Kaspersky, hanno stimato potenziali perdite in decine di miliardi di dollari solo in settori come quello manifatturieroRegioni come l'Asia-Pacifico concentrano una parte molto significativa di tale rischio a causa della loro rapida trasformazione digitale.
L'utilizzo delle criptovalute rimane la norma. Per anni, oltre il 95% dei pagamenti di alcune grandi aziende è avvenuto tramite criptovalute. piattaforme di scambio scarsamente regolamentateMolti di questi si trovano in giurisdizioni con minore cooperazione internazionale, il che complica le indagini della polizia.
Tutto ciò rende il ransomware uno dei le minacce economiche più gravi per le imprese oggi, con un costo medio di violazione di circa diversi milioni di dollari, se si sommano salvataggi, interruzioni della produzione, danni alla reputazione e sanzioni normative.
Dalla crittografia alle estorsioni multiple e agli attacchi senza crittografia
Oltre alla semplice crittografia, il ransomware moderno si è trasformato in un meccanismo di estorsione flessibileLa doppia estorsione (crittografia + furto di dati) si è ormai consolidata e molti gruppi sono passati alla tripla estorsione, aggiungendo attacchi DDoS o pressioni dirette su clienti e partner.
Negli ultimi anni si è anche registrato un aumento attacchi senza crittografiaIn questi attacchi, il gruppo rinuncia ai sistemi di blocco e si concentra esclusivamente sul furto di informazioni sensibili. Mostrando alla vittima un piccolo campione dei dati rubati, mirano a dimostrare di essere in possesso del resto e ad accelerare il pagamento, riducendo il tempo trascorso sulla rete e il rischio di essere scoperti.
In questo contesto, il rapporto tra aggressore e vittima è diventato più "professionale". I messaggi statici con un timer non sono più così comuni; ora è tipico avere... canali di comunicazione interattivi (chat sul dark web, email crittografate) in cui si discutono scadenze, sconti, test di decrittazione parziale, ecc.
I gruppi tengono conto del fatto che l'azienda abbia buoni backup, operi in un settore regolamentato, sia soggetta al GDPR o ad altre normative sulla protezione dei dati e adattino il minacce alla specifica esposizione legale e reputazionale di ciascuna vittimaQuesta complessità implica che la risposta agli incidenti richieda il coordinamento di avvocati, specialisti in conformità, negoziatori ed esperti tecnici.
Parallelamente, l’uso stesso del ransomware come copertura per operazioni puramente distruttive —come nel caso di NotPetya— aggiunge un ulteriore livello di incertezza: non è sempre chiaro se il vero obiettivo sia raccogliere fondi o danneggiare le infrastrutture, il che complica il processo decisionale durante un incidente.
Intelligenza artificiale, Internet delle cose e il futuro immediato del ransomware
Negli ultimi anni, l'impatto di Intelligenza artificiale e modelli linguistici nelle mani degli hackerGruppi emergenti hanno utilizzato l'intelligenza artificiale per generare codice, perfezionare il phishing con messaggi quasi indistinguibili da quelli legittimi o automatizzare parte della ricognizione preliminare all'attacco.
Un cambiamento verso vettori meno tradizionaliQuesti dispositivi, come i dispositivi IoT, le telecamere IP, gli elettrodomestici connessi e altri sistemi, sono spesso aggiornati in modo inadeguato e privi di solide soluzioni di sicurezza. Queste apparecchiature possono fungere sia da punti di accesso che da strumento di estorsione (ad esempio, minacciando di diffondere video o dati acquisiti da tali dispositivi).
Nel breve termine, è probabile che vedremo piattaforme Ransomware-as-a-Service alimentato da un'intelligenza artificiale in grado di automatizzare gran parte della catena di attaccoDalla scansione di massa degli obiettivi, allo sfruttamento delle vulnerabilità e ai movimenti laterali, fino alla stesura di richieste di riscatto personalizzate e persino all'utilizzo di deepfake per fare pressione sui dirigenti.
Questa automazione potrebbe far schizzare alle stelle il numero delle vittime, soprattutto tra i fornitori di servizi gestiti e le catene di approvvigionamento complesse, dove un singolo incidente si propaga a centinaia o migliaia di clienti. Operazioni a basso costo e ad alto volume Queste tattiche saranno combinate con attacchi mirati contro "bersagli di alto profilo", mantenendo così diversificata l'attività criminale.
Dato questo scenario, le organizzazioni devono rafforzare non solo le loro misure tradizionali (patch, backup, antivirus), ma anche funzionalità avanzate di rilevamento e rispostaAnalisi comportamentale, segmentazione della rete e controlli specifici sull'accesso remoto e sugli ambienti cloud.
Dall'antivirus classico alla difesa multilivello contro i ransomware.
I programmi antivirus tradizionali, basati principalmente sulle firme, risultano inadeguati rispetto a ransomware che cambia costantemente forma e tecnicheOggi è fondamentale combinare diversi livelli di protezione che coprano ogni aspetto, dall'endpoint alla rete e al cloud.
Una buona strategia prevede l’integrazione soluzioni moderne di sicurezza degli endpoint (EPP/EDR/XDR) Grazie alle funzionalità di prevenzione degli exploit, al blocco dei comportamenti sospetti, all'isolamento dei processi e alla risposta automatizzata, questi strumenti consentono di interrompere i movimenti laterali, bloccare la comunicazione con i server C&C e contenere la minaccia nelle sue fasi iniziali.
Altrettanto cruciale è avere backup regolari, disconnessi e immutabiliarchiviati su sistemi non permanentemente accessibili dalla rete aziendale. In caso contrario, il ransomware può crittografare anche i backup e lasciare l'organizzazione senza un piano B.
La microsegmentazione della rete, il rafforzamento dell'accesso privilegiato, l'autenticazione a più fattori robusta e i costanti aggiornamenti del software riducono significativamente la superficie di attacco. Questo viene ulteriormente migliorato da... formazione continua dei dipendenti per riconoscere le email di phishing, i link sospetti e i comportamenti anomali.
Infine, avere un piano di risposta agli incidenti collaudato, che includa ruoli chiari, procedure di isolamento, comunicazione interna ed esterna, rapporti con le forze dell'ordine e analisi forense, e fare affidamento su un modello resiliente per CISO Fa la differenza tra un allarme controllato e una crisi prolungata.
Dopo oltre tre decenni di evoluzione, il ransomware è passato da un esperimento distribuito su floppy disk a diventare un Un'industria criminale globale altamente professionalizzata, supportata da criptovalute, servizi RaaS e intelligenza artificiale.Sebbene le tattiche, le tecniche e gli obiettivi si siano evoluti (blocchi, crittografia, doppia estorsione, wiper mascherati e attacchi senza crittografia), l'essenza rimane la stessa: pura e semplice estorsione. Le organizzazioni che accettano che il ransomware è destinato a rimanere e rafforzano la propria sicurezza con backup affidabili, una difesa multilivello, visibilità della rete e formazione continua avranno molte più probabilità di superare la tempesta rispetto a quelle che continuano ad affidarsi esclusivamente a soluzioni basilari o obsolete.
