Negli ultimi anni, il termine “ransomware” è diventato sempre più presente nelle cronache di attualità. Questa particolare tipologia di malware, il cui nome deriva dall’unione delle parole inglesi “ransom” (riscatto) e “malware” (software malevolo), rappresenta oggi una delle principali minacce informatiche a livello globale, in grado di mettere in ginocchio aziende, enti pubblici e privati cittadini.
Ma cosa sono esattamente i ransomware e come funzionano? Per comprenderlo, è necessario fare un passo indietro e ripercorrere brevemente la loro storia ed evoluzione. Il primo caso documentato di ransomware risale addirittura al 1989, quando il cosiddetto “AIDS Trojan” venne distribuito tramite floppy disk alle partecipanti di una conferenza dell’Organizzazione Mondiale della Sanità. Questo rudimentale malware, noto anche come “PC Cyborg”, si limitava a bloccare l’accesso al computer infetto, richiedendo un riscatto di 189 dollari da inviare ad un indirizzo postale di Panama.
Da allora, i ransomware hanno fatto molta strada, evolvendosi in forme sempre più sofisticate e pericolose. Oggi esistono principalmente due macro-categorie di ransomware: i locker ransomware, che si limitano a bloccare l’accesso al dispositivo, e i crypto-ransomware, che cifrano i file rendendoli inutilizzabili. Questi ultimi sono i più diffusi e temuti.
Il funzionamento di un attacco ransomware segue solitamente un copione ben preciso. Il malware viene diffuso tramite tecniche di ingegneria sociale come e-mail di phishing o siti web malevoli. Una volta che la vittima apre l’allegato infetto o clicca sul link, il ransomware si installa furtivamente sul sistema. A quel punto inizia a cifrare tutti i file presenti sul dispositivo e sulle unità di rete collegate, utilizzando algoritmi di crittografia molto robusti.
Terminato il processo di cifratura, il ransomware mostra un messaggio in cui informa la vittima dell’attacco in corso e richiede il pagamento di un riscatto, solitamente in criptovalute come Bitcoin, per ottenere la chiave di decrittazione che permette di recuperare i file. In alcuni casi, i criminali minacciano anche di pubblicare online i dati rubati se il riscatto non viene pagato, una tecnica nota come “doppia estorsione”.
Gli importi richiesti variano molto a seconda del tipo di vittima, ma possono arrivare a diversi milioni di dollari nel caso di grandi aziende o infrastrutture critiche. Purtroppo, anche pagando il riscatto non c’è alcuna garanzia di riavere indietro i propri dati, anzi spesso i criminali spariscono una volta incassato il denaro.
Nel corso degli anni sono emersi diversi “grandi nomi” nel mondo dei ransomware, responsabili di attacchi devastanti a livello mondiale. Tra i più famosi ci sono sicuramente WannaCry e NotPetya, che nel 2017 hanno colpito centinaia di migliaia di computer in oltre 150 paesi, causando miliardi di dollari di danni. Più di recente hanno fatto scalpore i ransomware Maze, Ryuk, REvil e DarkSide, specializzati nel colpire grandi aziende con richieste di riscatto a sei zeri.
Quali sono i settori più colpiti dai ransomware? Purtroppo nessuno può dirsi al sicuro. Tra i bersagli preferiti ci sono le aziende manifatturiere, i fornitori di servizi IT, gli istituti finanziari e bancari, gli enti governativi e il settore sanitario. Quest’ultimo è particolarmente a rischio, come dimostrano i numerosi attacchi a ospedali e case di cura durante la pandemia di Covid-19. In Italia, solo nel 2022 si sono verificati almeno 2331 attacchi ransomware, con un aumento del 37% rispetto all’anno precedente.
I danni causati dai ransomware vanno ben oltre il semplice pagamento del riscatto. Anche se si riescono a recuperare i dati, un’azienda colpita deve fare i conti con la perdita di produttività dovuta al fermo dei sistemi, i costi per il ripristino delle infrastrutture, le possibili sanzioni per violazione delle normative sulla privacy, e l’inevitabile danno d’immagine e reputazionale. Senza contare le ricadute a catena su clienti, fornitori e partner commerciali.
Come difendersi allora da questa crescente minaccia? Oggettivamente non esiste una soluzione miracolosa, ma un approccio multi-livello che combini misure tecniche, organizzative e di formazione. Dal punto di vista tecnico, è fondamentale mantenere aggiornati tutti i sistemi e i software, utilizzare soluzioni di sicurezza avanzate con capacità anti-ransomware, segmentare la rete e soprattutto eseguire backup frequenti e verificati dei dati critici, possibilmente su supporti offline.
Ma la tecnologia da sola non basta. È altrettanto importante sensibilizzare e addestrare il personale sui rischi del ransomware e sulle best practice da seguire, come riconoscere le e-mail sospette, non cliccare su link o allegati da fonti sconosciute, e segnalare prontamente ogni anomalia al team IT. Sviluppare un piano di risposta agli incidenti e fare simulazioni periodiche aiuta inoltre a ridurre l’impatto di un eventuale attacco.
Infine, è essenziale collaborare e condividere informazioni a livello di community. Iniziative come NoMoreRansom.org, un portale creato da forze dell’ordine e aziende di sicurezza per aiutare le vittime di ransomware, mettono a disposizione strumenti di decrittazione gratuiti per alcune famiglie di ransomware e preziosi consigli su come prevenire e gestire gli attacchi.
I ransomware rappresentano una seria minaccia per la sicurezza digitale di aziende e individui. La loro continua evoluzione e il modello di business criminale Ransomware-as-a-Service li rendono un pericolo in costante crescita. Per contrastarli efficacemente servono consapevolezza, preparazione e cooperazione da parte di tutti gli attori in gioco. Solo unendo le forze sarà possibile arginare questa piaga informatica dei nostri tempi.