Cos’è un ransomware e perché è diverso da un virus comune
Il ransomware appartiene alla famiglia dei malware, ma ha una finalità specifica: ottenere denaro attraverso il ricatto. A differenza di un virus tradizionale, non si limita a danneggiare o infettare un sistema. Il suo obiettivo è mettere la vittima in una posizione di urgenza, impedendole di lavorare o minacciando la diffusione di informazioni riservate.
Esistono due forme principali:
| Tipo di ransomware | Cosa fa | Effetto sulla vittima |
|---|
| Cryptor |
Cifra file e database |
I dati restano presenti ma illeggibili |
| Blocker |
Blocca l’accesso al dispositivo o al sistema |
L’utente non riesce a usare il computer |
| Leakware / doxware |
Ruba dati e minaccia la pubblicazione |
Il danno diventa reputazionale e legale |
| Wiper |
Distrugge i dati |
Simula un riscatto, ma il recupero può essere impossibile |
La distinzione è importante: rimuovere il malware non significa automaticamente recuperare i file. Se i dati sono stati cifrati con algoritmi robusti, l’antivirus può eliminare l’infezione, ma non ricostruire la chiave di decrittazione.
Come funziona un attacco ransomware
Un attacco ransomware moderno si sviluppa spesso in più fasi. Prima c’è l’accesso iniziale, poi l’esplorazione della rete, il furto di dati, la disattivazione delle difese e infine la cifratura.
I principali vettori di ingresso
I canali più comuni sono:
- phishing con allegati o link malevoli;
- credenziali rubate per VPN, email o servizi cloud;
- RDP esposto e protetto da password deboli;
- vulnerabilità software non corrette;
- account di fornitori compromessi;
- download da siti falsi o annunci malevoli;
- dispositivi USB non verificati.
Negli attacchi più evoluti, i criminali acquistano accessi già compromessi da Initial Access Brokers, soggetti che vendono credenziali e accessi remoti nel dark web. Questo ha favorito il modello Ransomware-as-a-Service, in cui gli sviluppatori forniscono malware, pannelli di controllo e infrastrutture di pagamento, mentre affiliati meno tecnici eseguono materialmente l’attacco.
Dalla singola estorsione alla doppia estorsione
Il vecchio ransomware si limitava a cifrare i file. Oggi la minaccia è più ampia:
| Livello | Tecnica | Obiettivo |
|---|
| Singola estorsione |
Cifratura dei dati |
Bloccare l’operatività |
| Doppia estorsione |
Cifratura + furto dati |
Minacciare la pubblicazione |
| Tripla estorsione |
Dati rubati + DDoS + pressioni esterne |
Aumentare il panico |
| Quadrupla estorsione |
Vendita dati + pressione su clienti e fornitori |
Colpire reputazione e relazioni commerciali |
Questo significa che anche un’azienda con backup funzionanti può subire danni importanti se i dati sono stati esfiltrati prima della cifratura.
Cosa fare subito in caso di ransomware
Quando compare una nota di riscatto o file aziendali diventano illeggibili, la rapidità è decisiva. Tuttavia, agire d’impulso può peggiorare la situazione.
Le prime azioni corrette
La priorità è contenere l’infezione e preservare le prove. Occorre scollegare i sistemi sospetti dalla rete, disattivare Wi-Fi e connessioni non necessarie, interrompere sincronizzazioni cloud e impedire al malware di raggiungere server, NAS e backup. Le linee guida NCSC raccomandano di disconnettere immediatamente i dispositivi colpiti da reti cablate, Wi-Fi e reti mobili.
Non bisogna formattare subito, reinstallare Windows, cancellare file o ripristinare backup senza una valutazione tecnica. In molti casi è opportuno non spegnere immediatamente le macchine infette, perché la memoria volatile può contenere informazioni utili all’analisi forense.
Cosa documentare
Un’azienda dovrebbe conservare:
- schermate della richiesta di riscatto;
- estensioni dei file cifrati;
- file README o note lasciate dagli attaccanti;
- log di server, firewall, endpoint e sistemi cloud;
- indirizzi email, URL, wallet crypto e canali di contatto;
- elenco dei sistemi coinvolti;
- timeline degli eventi conosciuti.
Questi elementi servono per l’incident response, per la denuncia, per l’assicurazione cyber e per valutare eventuali obblighi GDPR.
Pagare il riscatto conviene?
La domanda più frequente è anche la più delicata: bisogna pagare? Le autorità e i principali progetti internazionali lo sconsigliano. No More Ransom ricorda che pagare conferma ai criminali che il modello funziona e non garantisce il rilascio della chiave di decrittazione. Anche l’FBI afferma che il pagamento non garantisce il recupero dei dati e incentiva ulteriori attacchi.
Pagare può comportare diversi rischi:
| Rischio | Perché è rilevante |
|---|
| Nessuna garanzia |
La chiave può non arrivare o non funzionare |
| Nuovo targeting |
L’azienda può essere identificata come “pagatore affidabile” |
| Dati comunque pubblicati |
Il pagamento non prova la cancellazione dei dati rubati |
| Profili legali |
In alcuni scenari possono emergere rischi collegati a sanzioni o finanziamento di gruppi criminali |
| Perdita di prove |
Una negoziazione non gestita può compromettere la ricostruzione dell’evento |
La decisione non dovrebbe mai essere improvvisata. Deve coinvolgere direzione, legale, consulenti tecnici, assicurazione e professionisti in investigazioni digitali.
Recuperare i file: decryptor, backup e limiti reali
Molti utenti cercano “decryptor ransomware gratis” o “come recuperare file criptati”. La risposta corretta è: dipende dalla variante, dalla qualità della cifratura, dallo stato dei backup e dalla rapidità con cui si isola l’infezione.
Il progetto No More Ransom mette a disposizione strumenti gratuiti per alcune famiglie di ransomware, ma non esiste un decryptor universale. Il portale specifica che i tool disponibili sono gratuiti e funzionano solo per le minacce supportate.
Prima di tentare qualsiasi recupero, è necessario identificare il ceppo: LockBit, Akira, Phobos, STOP/Djvu, BlackBasta, Qilin o altre varianti. L’estensione del file non basta sempre: spesso è più utile analizzare la nota di riscatto, gli hash, i file campione e gli indicatori tecnici.
Il backup resta l’ultima linea di difesa, ma deve essere progettato correttamente. La regola minima è 3-2-1: tre copie dei dati, due supporti diversi, una copia off-site. Oggi, però, è preferibile aggiungere copie immutabili o air-gapped, cioè non modificabili o isolate dalla rete. I backup devono essere testati: un backup mai verificato è solo una promessa.
Ransomware, GDPR e obblighi di notifica
Un ransomware può generare obblighi privacy anche se l’azienda riesce a ripristinare i sistemi. Secondo il Garante Privacy, la notifica di un data breach oltre le 72 ore deve essere accompagnata dai motivi del ritardo.
La notifica al Garante è necessaria quando la violazione può comportare rischi per i diritti e le libertà delle persone fisiche. Se il rischio è elevato, può essere necessaria anche la comunicazione agli interessati. In parallelo, è consigliabile segnalare o denunciare l’attacco alla Polizia Postale, come indicato dallo stesso Garante.
Per le organizzazioni soggette alla direttiva NIS2, la gestione degli incidenti diventa ancora più strutturata. L’ACN indica che, dopo la pre-notifica, i soggetti NIS devono trasmettere allo CSIRT Italia la notifica senza ingiustificato ritardo e comunque non oltre 72 ore.
Come prevenire un attacco ransomware in azienda
La prevenzione non può basarsi su un solo prodotto. Serve un approccio multilivello che combini tecnologia, procedure e formazione.
Checklist essenziale
| Area | Misura consigliata |
|---|
| Identità |
MFA su email, VPN, cloud e account amministrativi |
| Endpoint |
EDR/XDR con analisi comportamentale |
| Backup |
Copie immutabili, off-site e test di restore |
| Rete |
Segmentazione, VLAN e limitazione dei movimenti laterali |
| Accessi |
Principio del minimo privilegio |
| Email |
Sandboxing allegati e protezione anti-phishing |
| Vulnerabilità |
Patch management continuo |
| Persone |
Formazione e simulazioni anti-phishing |
| Governance |
Piano di risposta agli incidenti testato |
| Monitoraggio |
SOC, log centralizzati e alert su anomalie |
La cybersecurity efficace parte dalla consapevolezza che nessun perimetro è inviolabile. Per questo molte aziende adottano il modello Zero Trust: nessun utente, dispositivo o servizio è considerato affidabile per impostazione predefinita.
Il ruolo delle investigazioni digitali
Nel ransomware, la domanda non è solo “come recuperiamo i file?”, ma anche: chi è entrato, da dove, con quali credenziali, quali dati ha visto, quali prove possiamo produrre?
Qui entra in gioco una competenza investigativa. Phersei opera nel contesto delle investigazioni private e aziendali, con attenzione alla raccolta di prove certe e utilizzabili. In caso di attacco, l’analisi deve ricostruire la catena degli eventi, preservare evidenze digitali, supportare eventuali azioni legali e contribuire al rafforzamento della sicurezza dei dati aziendali.
Un intervento professionale può aiutare a:
- individuare il vettore di ingresso;
- verificare eventuale esfiltrazione;
- analizzare log e dispositivi compromessi;
- documentare l’incidente;
- supportare denuncia e comunicazioni obbligatorie;
- prevenire nuovi accessi dopo il ripristino.
Conclusione
Il ransomware non è più un semplice problema tecnico. È un rischio aziendale, legale, economico e reputazionale.
La risposta corretta non consiste nel cercare una soluzione improvvisata dopo l’attacco, ma nel preparare prima procedure, backup, ruoli, prove e canali di comunicazione.
Per le imprese, la vera domanda non è se esista un antivirus migliore, ma se l’organizzazione sia pronta a contenere un incidente, documentarlo correttamente e ripartire senza dipendere dalla promessa di un criminale.
