Le minacce ransomware restano una delle principali preoccupazioni per aziende e infrastrutture. Il Rapporto Clusit 2024 registra un incremento del 23% degli attacchi informatici nel primo semestre rispetto ai sei mesi precedenti, con una crescita del 110 % dal 2019.
A livello nazionale, il CSIRT Italia segnala che a maggio 2025 sono stati rilevati 17 attacchi ransomware, con un aumento del 20 % rispetto alla media dei sei mesi precedenti. Il settore sanitario e quello manifatturiero sono stati tra i primi bersagli.
Secondo questi dati, la crescita della minaccia ransomware è legata alla costante evoluzione delle TTP (tecniche, tattiche e procedure), inclusa la doppia estorsione, il modello RaaS (Ransomware-as-a-Service) e attacchi via supply chain. Complici di questa escalation sono anche vulnerabilità infrastrutturali come le reti non segmentate, backup incerti e formazione inadeguata.
Nonostante una maggiore consapevolezza del rischio, molte organizzazioni continuano a mostrare lacune nei piani di difesa, con RTO/RPO non definiti e protezioni incomplete. Per il 2025, è quindi fondamentale adottare una strategia di cyber-resilienza integrata, comprensiva di backup isolati, autenticazione multifattore, monitoring continuo e drills regolari, per proteggersi in modo efficace da ransomware sempre più sofisticati.
Gli attacchi ransomware evolvono, dunque. Non solo a livello tecnico e tattico, ma anche come accezione: se un tempo il ransomware si concretizzava nella cifratura dei dati della vittima, oggi l’unico elemento comune agli attacchi è il fine estorsivo, poiché essi possono essere indirizzati a compromettere il dato, a renderlo pubblico o, anche peggio, a modificarlo, creando danni irreparabili alle aziende che si basano su di esso per prendere decisioni strategiche e operative. Considerando che la stragrande maggioranza delle organizzazioni ha intrapreso il percorso data-driven, tutto ciò può compromettere anni di lavoro.
Cos'è un ransomware e come funziona
Il ransomware è una tipologia di malware che, una volta attivato su un sistema, blocca l’accesso ai dati o ai dispositivi della vittima e richiede il pagamento di un riscatto (ransom) per ripristinare l’accesso. Negli ultimi anni, è diventato uno degli strumenti più utilizzati dalla criminalità informatica a causa della sua efficacia e dell’alto potenziale di guadagno.
Esistono principalmente due grandi categorie di ransomware:
- Crypto-ransomware: cifra i file presenti sul dispositivo o sulla rete, rendendoli illeggibili. Il pagamento viene richiesto in cambio della chiave di decrittazione.
- Locker-ransomware: blocca l’accesso all’intero sistema operativo, impedendo all’utente di utilizzare il dispositivo finché non paga il riscatto.
Alcune varianti più recenti combinano la doppia estorsione, criptando i dati e minacciando la loro pubblicazione online se non si effettua il pagamento. Il ransomware si attiva solitamente dopo essere stato installato tramite un link o file infetto. Una volta in esecuzione, avvia un processo automatico di cifratura e modifica estensioni dei file, mostrando successivamente un messaggio di richiesta di riscatto.
Principali vettori di attacco ransomware
I vettori di attacco ransomware sono i canali attraverso cui il malware viene introdotto nei sistemi delle vittime. Conoscere questi metodi è fondamentale per adottare misure preventive efficaci. Ecco i principali:
- Phishing e allegati malevoli: è il metodo più diffuso. L’utente riceve un’email apparentemente legittima con un link o un file infetto. Basta un clic per avviare il download e l’esecuzione del ransomware.
- Vulnerabilità software: i cybercriminali sfruttano falle non patchate nei sistemi operativi, nelle applicazioni o nei servizi esposti su internet per installare il ransomware da remoto.
- Ransomware-as-a-Service (RaaS): modelli criminali in cui gli sviluppatori del ransomware affittano il malware ad affiliati, che lo distribuiscono e condividono i profitti. Questo modello ha reso gli attacchi ransomware più accessibili, scalabili e frequenti.
- Drive-by download: basta visitare un sito compromesso (anche legittimo) per scaricare e installare automaticamente il ransomware senza interazione diretta dell’utente.
- Supporti removibili infetti: come chiavette USB o hard disk esterni con file eseguibili malevoli.
Gli attacchi ransomware evolvono verso il cloud
Gli attacchi ransomware sono un’opportunità per i threat actor solo se vengono aggiornati per riflettere i nuovi paradigmi aziendali di gestione dei dati e dei sistemi, che da più di un decennio fanno rima con cloud. Tutte le aziende utilizzano, quanto meno in forma parziale e limitata, risorse cloud, siano esse pubbliche o private: sopravvivono on-premises molti processi critici di settori fortemente regolati (healthcare, pharma, finance…), ma si può affermare che una qualche forma di cloud migration sia stata ormai intrapresa dalla stragrande maggioranza dei player economici, indipendentemente dalla loro dimensione.
Soprattutto nell’era della pandemia, molte imprese hanno trasferito i propri asset digitali e le operation in ambienti di cloud computing, così da preservare la continuità del business e approfittare di tutte le altre promesse del cloud: flessibilità, agilità, scalabilità pressoché illimitata e resilienza, solo per citarne alcune. I cyber criminali, dal canto loro, hanno adeguato le tecniche di attacco per colpire le risorse cloud, attuando poi le stesse dinamiche estorsive poste in essere sugli ambienti on-premises.
Le metodologie sono diverse. Semplificando, in molti casi il vettore di attacco resta la classica e-mail di phishing con tanto di allegato o link a un piccolo eseguibile che installa il malware e compromette il dispositivo. Da qui, il malware si propaga in rete, identifica i servizi di sincronizzazione (file sync) con il cloud e permette ai malintenzionati di accedervi e di operare sui repository e sui dati aziendali. Altra possibilità è accedere direttamente al cloud attraverso il furto delle credenziali (molteplici metodi, con o senza social engineering) oppure, ipotesi più complessa ma percorribile, è quella di attaccare direttamente il cloud provider sfruttando le sue vulnerabilità, cosa che peraltro mette in luce il tema della responsabilità condivisa.
Strategie efficaci per difendersi dai ransomware
Oggi, difendersi dai ransomware richiede un approccio integrato, che combini tecnologia, consapevolezza e governance. Non esiste una soluzione unica: serve una strategia strutturata che protegga l’azienda lungo tutta la catena del rischio, dall’accesso ai dati fino al recupero operativo.
Scegliere un cloud provider con sicurezza integrata
Un primo passo fondamentale è affidarsi a un cloud provider che garantisca sicurezza by design. È preferibile scegliere partner che offrano:
- Infrastrutture resilienti e certificate
- Servizi di cybersecurity integrati nei layer infrastrutturali
- Monitoraggio continuo (SOC H24)
- Protezioni multilivello (network, dati, accessi)
Agire sull’elemento umano: awareness e phishing
Gli attacchi ransomware spesso iniziano con un’email di phishing o un furto di credenziali via social engineering. Per questo, la prima difesa è formare gli utenti:
- Programmi di security awareness regolari
- Simulazioni di phishing e scenari reali
- Politiche chiare sull’uso delle credenziali
Implementare misure tecniche fondamentali
Le misure tecniche devono agire in modo coordinato su più livelli. Alcune difese imprescindibili includono:
- Backup frequenti e offline (air gap)
- Crittografia dei dati in transito e a riposo
- Autenticazione a più fattori (MFA)
- Architettura Zero Trust
- Protezione avanzata degli endpoint
- Email security e sandboxing degli allegati
- Gestione e aggiornamento costante delle patch
- Controllo degli accessi e dei privilegi
Monitoraggio continuo e risposta proattiva
Il solo deploy delle tecnologie non basta. È essenziale adottare una logica di cyber monitoring attivo, con:
- Soluzioni SIEM, NDR, XDR per rilevamento avanzato
- Notifiche automatiche e risposte rapide agli incidenti
- Presenza di un SOC (Security Operations Center), interno o in outsourcing
Cosa fare in caso di attacco ransomware
Seguire un piano d’azione strutturato può limitare danni e tempi di recupero. Ecco gli step da seguire:
- Isolare immediatamente i sistemi
Disconnettere computer e server infetti dalla rete per evitare la propagazione del malware.
- Attivare il team di crisi e notificare le autorità
Includere IT, management, legali e comunicazione. Segnalare l’attacco al CERT nazionale o organi competenti.
- Verificare backup sicuri e offline
Valutare integrità e disponibilità dei backup. Ripristinare i dati da copie non compromesse.
- Avviare il ripristino e testare i sistemi
Far ripartire un ambiente pulito. Testare app e funzionalità prima del riavvio completo delle operazioni.
- Analizzare l'incidente e rafforzare le difese
Condurre un post-mortem per identificare la causa (es. phishing, vulnerabilità). Aggiornare policy e patch.
- Comunicare in modo trasparente
Informare stakeholder, clienti e autorità in modo chiaro e tempestivo, rispettando le normative GDPR.
Esempi di attacchi ransomware recenti
Tra il 2024 e il 2025, diversi attacchi ransomware hanno mostrato la forza distruttiva di questo fenomeno:
- Change Healthcare (febbraio 2024)
Un attacco da parte del gruppo ALPHV/BlackCat ha compromesso i sistemi sanitari di UnitedHealth, impattando oltre 100 milioni di pazienti e costando 22 milioni di dollari di riscatto. - CDK Global (giugno 2024)
L’infrastruttura del settore automotive in Nord America è stata paralizzata da BlackSuit. Il riscatto da 25 milioni di dollari e l’interruzione hanno provocato danni stimati per 605 milioni di dollari. - Marks & Spencer (aprile 2025)
Il gruppo britannico è stato colpito da un attacco DragonForce/Scattered Spider, sospendendo operazioni online, catene di approvvigionamento e causando perdite fino a £15 milioni a settimana.
Questi attacchi mostrano quanto sia fondamentale essere preparati. Le aziende che hanno limitato i danni avevano backup offline, piani di risposta testati e personale pronto ad agire.
Un’altra lezione importante riguarda la comunicazione: reagire in modo trasparente e tempestivo è essenziale per contenere l’impatto reputazionale e operativo.
