Trace Id is missing
Passa a contenuti principali
Microsoft Security

Cos'è il ransomware?

Scopri di più sul ransomware, su come funziona e su come puoi proteggere te e la tua azienda da questo tipo di cyberattacco.

Definizione di ransomware

Il ransomware è un tipo di software dannoso, o malware, che minaccia una vittima eliminando o bloccando l'accesso a dati o sistemi critici fino al pagamento di un riscatto. In passato, la maggior parte dei ransomware prendeva di mira le persone, ma in tempi più recenti gli attacchi ransomware con intervento umano diretti alle organizzazioni sono diventati la minaccia più grande e più difficile da prevenire e rettificare. In questi tipi di attacchi, un gruppo di utenti malintenzionati utilizza la propria intelligenza collettiva per accedere alla rete aziendale di un'organizzazione. Alcuni attacchi di questo tipo sono così sofisticati che i malintenzionati utilizzano documenti finanziari interni ai quali riescono ad accedere per stabilire il prezzo del riscatto.

Attacchi ransomware nei notiziari

Purtroppo, nei notiziari sono diventate comuni le menzioni di minacce ransomware . Recentemente, attacchi ransomware di alto profilo hanno compromesso infrastrutture importanti, fornitori di servizi sanitari e informatici. Questi attacchi stanno diventando sempre più ambiziosi in termini di bersaglio e imprevedibilità. Diamo uno sguardo ad alcuni attacchi ransomware e al modo in cui hanno colpito le organizzazioni:

  • Nel marzo 2022, il sistema postale greco è stato vittima di ransomware. L'attacco ha interrotto temporaneamente la consegna della posta e influenzato l'elaborazione delle transazioni finanziarie.
  • Una delle compagnie aree maggiori dell'India ha subito un attacco ransomware nel maggio 2022. L'incidente ha provocato ritardi dei voli e cancellazioni, e centinai di passeggeri sono rimasti a terra.
  • Nel dicembre 2021, una grande azienda di Risorse umane è stata vittima di un attacco ransomware che ha colpito il suo sistema di libri paga e ferie per i clienti che utilizzano il suo servizio cloud.
  • Nel maggio 2021 un sistema di oleodotti statunitense ha interrotto i suoi servizi per prevenire ulteriori violazioni dopo che un attacco ransomware ha compromesso le informazioni personali di migliaia dei suoi dipendenti. L'episodio ha provocato un aumento dei prezzi del gas in tutta la costa orientale degli Stati Uniti.
  • Una azienda tedesca di distribuzione di prodotti chimici ha subito un attacco ransomware nell'aprile 2021. Sono stati rubati più di 6.000 date di nascita, codici fiscali e numeri di patente di guida, oltre ad alcuni dati sanitari.
  • Il più grande fornitore di carne del mondo è stato il bersaglio di un attacco ransomware nel maggio 2021. Dopo aver messo temporaneamente offline il suo sito Web e aver interrotto la produzione, l'azienda ha finito per pagare 11 milioni di dollari di riscatto in Bitcoin.

Come funziona il ransomware?

Gli attacchi ransomware si basano sul controllo dei dati o dei dispositivi di un individuo o di un'organizzazione come mezzo per richiedere denaro. Negli anni passati erano maggiormente diffusi gli attacchi di ingegneria sociale, ma di recente tra i criminali informatici ha acquisito popolarità il ransomware con intervento umano, che consente di ottenere guadagni enormi.

Ransomware di ingegneria sociale 
Questi attacchi utilizzano il phishing, ovvero una forma di inganno in cui un utente malintenzionato finge di essere un'azienda o un sito Web legittimo, per indurre una vittima a fare clic su un collegamento o ad aprire un allegato e-mail che installerà ransomware sul suo dispositivo. Gli attacchi sono spesso caratterizzati da messaggi allarmistici che inducono la vittima ad agire per paura. Ad esempio, un criminale informatico potrebbe fingere di essere una banca nota e inviare un'e-mail per avvisare qualcuno che il suo conto è stato bloccato per il rilevamento di attività sospetta, spingendo la vittima a fare clic su un collegamento nell'e-mail per risolvere il problema. Una volta selezionato il collegamento, il ransomware viene installato.

Ransomware con intervento umano
Il ransomware con intervento umano spesso inizia dal furto delle credenziali di un account. Una volta che gli utenti malintenzionati ottengono accesso alla rete di un'organizzazione in questo modo, utilizzano l'account rubato per individuare le credenziali degli account con maggiore possibilità di accesso e cercano dati e sistemi critici che hanno il potenziale di fare ottenere loro un grande profitto finanziario. A questo punto, installano ransomware su questi dati sensibili o sistemi critici, ad esempio crittografando i file sensibili in modo che l'organizzazione non possa accedervi finché non paga un riscatto. I criminali informatici tendono a chiedere il pagamento in criptovalute, vista la loro natura anonima.

Tali utenti malintenzionati prendono di mira grandi organizzazioni che possono pagare un riscatto più alto rispetto a un individuo medio, a volte chiedendo milioni di dollari. Vista l'elevata posta in gioco di una violazione di questa portata, molte organizzazioni preferiscono pagare il riscatto anziché perdere i propri dati sensibili o rischiare ulteriori attacchi dei criminali informatici, anche se il pagamento non garantisce i risultati sperati.

Con l'aumento degli attacchi ransomware con intervento umano, i criminali che si celano dietro di essi sono diventati sempre più organizzati. Infatti, molti ransomware ora utilizzano il modello Ransomware as a Service, ovvero un gruppo di sviluppatori criminali crea il ransomware e poi assolda altri hacker per attaccare la rete di un'organizzazione e installare il ransomware. I due gruppi si dividono i profitti a un tasso concordato in precedenza.

I diversi tipi di attacchi ransomware

Il ransomware si presenta in due forme principali: crypto ransomware e locker ransomware.

Crypto ransomware
In un attacco crypto ransomware ai danni di un individuo o di un'organizzazione, l'utente malintenzionato crittografa i dati o i file sensibili della vittima in modo che non possa accedervi a meno che non paghi il riscatto richiesto. In teoria, una volta che la vittima paga, riceve una chiave di crittografia per accedere ai file o ai dati. Anche se la vittima paga il riscatto, tuttavia, non vi è alcuna garanzia che il criminale informatico invierà la chiave di crittografia o rinuncerà al controllo. Doxware è una forma di crypto ransomware che crittografa e minaccia di rivelare pubblicamente le informazioni personali di una vittima, di solito con l'obiettivo di umiliarla o costringerla a pagare il riscatto.

Locker ransomware
In un attacco locker ransomware, la vittima non riesce ad accedere al proprio dispositivo perché questo risulta bloccato. Riceve quindi una richiesta di riscatto sullo schermo che spiega che il dispositivo è stato bloccato e include istruzioni su come pagare il riscatto per riottenere l'accesso. Questa forma di ransomware in genere non prevede la crittografia, quindi una volta che la vittima riottiene l'accesso al proprio dispositivo, tutti i file e i dati sensibili sono preservati.

Risposta a un attacco ransomware

Se sei vittima di un attacco ransomware, hai diverse opzioni a disposizione per risolverlo e rimuoverlo.

Rifletti bene prima di pagare il riscatto
Anche se pagare il riscatto nella speranza di far sparire il problema ti potrebbe sembrare la soluzione ideale, non vi è alcuna garanzia che i criminali informatici manterranno la parola data e ti concederanno l'accesso ai tuoi dati. Gli esperti di sicurezza e le forze dell'ordine raccomandano alle vittime di attacchi ransomware di non pagare i riscatti richiesti, perché ciò potrebbe lasciarle vulnerabili a minacce future e sosterrebbe attivamente un meccanismo criminale. Se hai già pagato, contatta immediatamente la tua banca: potrebbe essere in grado di interrompere il pagamento se hai utilizzato la carta di credito.

Isola i dati infetti
Non appena possibile, isola i dati compromessi per evitare che il ransomware si diffonda ad altre aree della rete.

Esegui un programma antimalware
Molti attacchi ransomware possono essere affrontati installando un programma antimalware per rimuovere il ransomware. Dopo aver scelto una soluzione antimalware affidabile, ad esempio Microsoft Defender, tienila sempre aggiornata e attiva per proteggerti dagli attacchi più recenti.

Segnala l'attacco
Contatta le forze dell'ordine locali o federali per segnalare l'attacco. Negli Stati Uniti puoi rivolgerti all' ufficio locale dell'FBI, all' IC3, o  Secret Service. Sebbene questo passaggio probabilmente non porrà fine alle tue preoccupazioni più pressanti, è importante perché tali autorità tracciano e monitorano attivamente diversi attacchi. Fornire loro dettagli sulla tua esperienza potrebbe essere un'informazione utile a livello generale per aiutarli a trovare e perseguire un criminale informatico o un intero gruppo.

Protezione ransomware

Con un numero sempre maggiore di attacchi ransomware e così tante informazioni personali conservate digitalmente, le potenziali conseguenze di un attacco sono spaventose. Per fortuna, esistono molti modi per far sì che la tua vita digitale resti privata. Ecco come dormire sonni tranquilli con la protezione ransomware.

Installa un programma antimalware
La migliore forma di protezione è la prevenzione. Molti attacchi ransomware possono essere rilevati e bloccati con un servizio antimalware affidabile, come Microsoft Defender per endpoint,  Microsoft Defender XDR o Microsoft Defender per il cloud. Quando usi un programma antimalware, il dispositivo scansiona prima i file o i collegamenti che vuoi aprire per verificare che siano sicuri. Se un file o un sito Web è dannoso, il programma antimalware ti avvisa e ti suggerisce di non aprirlo. Questi programmi possono anche rimuovere ransomware da un dispositivo già infettato.

Organizza regolarmente corsi di formazione
Tieni i dipendenti aggiornati su come riconoscere i segnali di phishing e altri attacchi ransomware con corsi di formazione regolari. In questo modo, non solo impareranno pratiche più sicure, ma sapranno anche come aumentare il livello di sicurezza quando usano i propri dispositivi personali.

Passa al cloud
Quando trasferisci i tuoi dati in un servizio basato sul cloud, come il servizio di backup nel cloud di Azurebackup di archiviazione BLOB in blocchi di Azurepuoi eseguire facilmente un backup per una maggiore sicurezza. Se i tuoi dati fossero mai compromessi da ransomware, questi servizi faranno in modo che il loro recupero sia immediato e completo.

Adotta un modello Zero Trust
Un modello Zero Trust valuta il livello di rischio di tutti i dispositivi e gli utenti prima di consentire loro di accedere ad applicazioni, file, database e altri dispositivi, riducendo la probabilità che un'identità o un dispositivo dannoso possa accedere alle risorse e installare ransomware. Ad esempio, è stato dimostrato che l'implementazione dell'autenticazione a più fattori, un componente di un modello Zero Trust, riduce l'efficacia degli attacchi di identità di oltre il 99%. Per valutare la fase di maturità Zero Trust della tua organizzazione, prova la Valutazione della maturità Zero Trustdi Microsoft.

Entra a far parte di un gruppo di condivisione delle informazioni
I gruppi di condivisione delle informazioni, spesso organizzati per settore o posizione geografica, incoraggiano le organizzazioni con strutture simili a collaborare per trovare soluzioni di cybersecurity. Questi gruppi offrono alle organizzazioni anche diversi vantaggi, come servizi di analisi digitale e risposta agli incidenti, novità sulle ultime minacce e monitoraggio di domini e intervalli IP pubblici.

Mantieni backup offline
Alcuni ransomware cercheranno di trovare ed eliminare eventuali backup online che hai, quindi è una buona idea mantenere un backup offline aggiornato dei dati sensibili che testi regolarmente per verificare che sia recuperabile in caso di attacchi ransomware. Purtroppo, mantenere un backup offline non risolverà il problema se sei vittima di un attacco crypto ransomware, ma può essere uno strumento efficace da utilizzare in caso di attacco locker ransomware.

Tieni i software aggiornati
Oltre a mantenere aggiornate le soluzioni antimalware (valuta l'idea di scegliere gli aggiornamenti automatici), assicurati di scaricare e installare qualsiasi altro aggiornamento di sistema e patch di software non appena diventano disponibili. Questo potrebbe aiutarti a ridurre al minimo le vulnerabilità della sicurezza che un criminale informatico potrebbe sfruttare per ottenere l'accesso alla tua rete o ai tuoi dispositivi.

Crea un piano di risposta agli incidenti
Proprio come l'adozione di un piano di emergenza per l'evacuazione da casa in caso di incendio aumenta la tua sicurezza e preparazione, un piano di risposta agli incidenti per sapere cosa fare se sei vittima di un ransomware ti indicherà come comportarti in diversi scenari di attacco, affinché tu possa tornare il prima possibile alle tue consuete operazioni in modo sicuro.

Aiuta a proteggere tutto con Microsoft Security

Microsoft Sentinel

Ottieni una panoramica completa della tua azienda con una soluzione SIEM (Security Information and Event Management) nativa del cloud.

Microsoft Defender XDR

Proteggi endpoint, identità, e-mail e app con funzionalità di rilevamento e reazione estese (XDR).

Microsoft Defender per il cloud

Difendi i tuoi ambienti multi-cloud e ibridi dallo sviluppo al runtime.

Microsoft Defender Threat Intelligence

Scopri gli autori delle minacce e i loro strumenti con una mappa completa e costantemente aggiornata di Internet.

Combatti le minacce ransomware

Anticipa le minacce usando interruzione e risposta automatiche degli attacchi con Microsoft Security.

Report sulla difesa digitale Microsoft

Famigliarizza con l'attuale panorama delle minacce e scopri come costruire una difesa digitale.

Crea un programma anti-ransomware

Scopri come Microsoft ha creato Optimal Ransomware Resiliency State per eliminare i ransomware.

Usa un playbook per bloccare i ransomware

Articola e visualizza il ruolo di ciascuno nel contrasto ai ransomware.

Domande frequenti

  • Purtroppo, quasi chiunque abbia una presenza online può essere vittima di un attacco ransomware. I dispositivi personali e le reti aziendali sono entrambi obiettivi frequenti dei criminali informatici.

    Tuttavia, investire in soluzioni proattive, come servizi di protezione dalle minacce, è un modo per prevenire che eventuali ransomware infettino la tua rete o i tuoi dispositivi. Pertanto, singoli individui e organizzazioni che implementano programmi antimalware e altri protocolli di sicurezza, come un modello Zero Trust, prima che si verifichi un attacco, hanno una probabilità minima di essere infettati da ransomware.

  • Gli attacchi ransomware tradizionali si verificano quando un individuo viene indotto con l'inganno a interagire con contenuti dannosi, ad esempio aprendo un'e-mail infetta o visitando un sito Web dannoso, che installa ransomware sul suo dispositivo.

    In un attacco ransomware con intervento umano, un gruppo di utenti malintenzionati prende di mira e viola i dati sensibili di un'organizzazione, di solito attraverso il furto di credenziali.

    In genere, sia per il ransomware di ingegneria sociale sia per quello con intervento umano, a una vittima o a un'organizzazione verrà presentata una richiesta di riscatto che descrive in dettaglio i dati che sono stati rubati e il costo della restituzione. Il pagamento del riscatto, tuttavia, non garantisce che i dati vengano effettivamente restituiti o che vengano evitate future violazioni.

  • Gli effetti di un attacco ransomware possono essere devastanti. Che sia diretto a un individuo o a un'organizzazione, le vittime potrebbero sentirsi costrette a pagare riscatti elevati senza alcuna garanzia che i dati verranno loro restituiti o che non si verificheranno ulteriori attacchi. Se un criminale informatico fa trapelare le informazioni sensibili di un'organizzazione, la sua reputazione potrebbe essere danneggiata e considerata inaffidabile. Inoltre, a seconda del tipo di informazioni trapelate e delle dimensioni dell'organizzazione, migliaia di persone potrebbero essere a rischio di diventare vittime di furto di identità o altri crimini informatici.

  • I criminali informatici che infettano i dispositivi delle vittime con il ransomware vogliono denaro. Questi tendono a chiedere riscatti in criptovalute vista la loro natura anonima e non rintracciabile. In un attacco ransomware di ingegneria sociale che prende di mira un individuo, il riscatto può essere di centinaia o migliaia di dollari. In un attacco ransomware con intervento umano diretto a un'organizzazione, il riscatto potrebbe essere di milioni di dollari. Questi attacchi più sofisticati contro le organizzazioni possono utilizzare le informazioni finanziarie riservate che i criminali informatici hanno trovato quando hanno violato la rete come motivo per stabilire un riscatto che ritengono che l'organizzazione possa permettersi.

  • Le vittime dovrebbero segnalare gli attacchi ransomware alle forze dell'ordine locali o federali. Negli Stati Uniti puoi rivolgerti all' ufficio locale dell'FBI, all' IC3, o  Secret Service. Gli esperti di sicurezza e le forze dell'ordine raccomandano alle vittime di non pagare i riscatti. Se hai già pagato, contatta immediatamente la tua banca e le autorità locali. La banca potrebbe essere in grado di bloccare il pagamento se hai utilizzato la carta di credito.

Segui Microsoft Security