Leader nel Gartner® Magic Quadrant™ 2026 per Endpoint Protection. Sei anni consecutivi.Sei anni. Gartner® Magic Quadrant™ Leader.Scopri perché
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Cos’è il ransomware? Esempi, prevenzione e rilevamento
Cybersecurity 101/Sicurezza informatica/Ransomware

Cos’è il ransomware? Esempi, prevenzione e rilevamento

Esplora la definizione di ransomware, la sua storia e l’impatto sulle aziende. Scopri come si diffonde il ransomware, le sue tipologie e le migliori pratiche di prevenzione e rilevamento per mantenere la tua organizzazione sicura.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos’è il Ransomware?
Impatto del Ransomware sulle Aziende
Storia del Ransomware
Come si Diffonde il Ransomware?
Tipi di Ransomware
Vettori di Attacco Ransomware Comuni
Come Funziona il Ransomware?
Fasi di un Attacco Ransomware
Metodi di Attacco Ransomware
Esempi di Attacchi Ransomware
Come prevenire gli attacchi ransomware?
Rilevamento & Rimozione del Ransomware
Previeni gli Attacchi Ransomware con SentinelOne
Conclusione

Articoli correlati

  • OWASP Top 10: Vulnerabilità, rischi e come risolverli
  • Requisiti di sicurezza GDPR: checklist di conformità e guida
  • Cos'è la conformità CMMC? Definizione, livelli e requisiti
  • Cos'è la strategia di backup 3-2-1? Esempi e best practice
Autore: SentinelOne
Aggiornato: August 11, 2025

Si è registrato un aumento degli attacchi ransomware, con oltre 5.414 attacchi subiti dalle organizzazioni in tutto il mondo nel 2024, pari a un incremento dell’11% rispetto all’anno precedente. Questa escalation è dovuta a phishing, exploit kit e servizi cloud vulnerabili che i criminali sfruttano per compiere attività fraudolente. Sia le piccole che le grandi imprese sono a rischio di infiltrazione, perdita di dati e lunghi periodi di inattività, che comportano ingenti perdite. Di conseguenza, diventa fondamentale per le aziende migliorare la comprensione del ransomware e sviluppare contromisure contro gli attacchi ransomware.

In questo articolo, definiremo cos’è un ransomware e come rappresenta una minaccia per le organizzazioni aziendali. Successivamente, discuteremo le implicazioni per le organizzazioni, spiegheremo la storia del ransomware e descriveremo le diverse modalità di infezione. In questa sezione, apprenderai i diversi tipi di ransomware e le tecniche utilizzate dai cybercriminali, oltre a esempi di ransomware di casi famosi. Infine, discuteremo cosa si intende per attacco ransomware, forniremo suggerimenti su come prevenire gli attacchi ransomware e come SentinelOne potenzia ciascuna di queste misure.

Ransomware - Featured Image | SentinelOneChe cos’è il Ransomware?

Il ransomware è una forma di malware che blocca o cifra i file della vittima e poi richiede il pagamento di un riscatto per ottenere la chiave di decrittazione. Il significato di ransomware si è ampliato includendo dai semplici blocchi dello schermo alle più sofisticate varianti crypto che rubano dati in modo sistematico e poi minacciano di divulgarli. Le richieste di riscatto globali del 2024 sono state stimate in media a 2,73 milioni di dollari, e questa cifra ha posto le aziende di fronte al dilemma tra perdere i dati o pagare somme ingenti.

L’infiltrazione è un atto aggressivo in cui l’attaccante sfrutta una vulnerabilità del software target o le abitudini degli utenti. In termini semplici, la definizione di ransomware include una minaccia dirompente che non solo paralizza le operazioni aziendali, ma erode anche la fiducia dei consumatori. Per definire efficacemente il ransomware, è necessario comprenderne l’impatto – dall’infiltrazione iniziale ai vari livelli di cifratura. Passiamo quindi alla sezione successiva.

Impatto del Ransomware sulle Aziende

Un singolo attacco ransomware può causare danni significativi a un’organizzazione: fermare la produzione, bloccare i dati nei database o impedire ai lavoratori di accedere alle applicazioni. Il riscatto medio è aumentato, il che indica che i criminali sono più sicuri di ottenere pagamenti elevati. Che si tratti della fuga di informazioni dei clienti o di un’interruzione che paralizza le operazioni aziendali, l’impatto va oltre le semplici perdite economiche. Ecco quattro perdite significative che le aziende subiscono quando cadono vittime di attacchi ransomware:

  1. Interruzione Operativa: Quando file o server critici vengono bloccati, il personale non può lavorare sulle vendite, sui dati dei dipendenti o sulle applicazioni di gestione della supply chain, e le linee di produzione si fermano. Qualsiasi interruzione, anche minima, porta a ritardi negli ordini o cancellazioni di servizi, con conseguente perdita di fiducia da parte dei clienti. Il recupero da ransomware può richiedere diversi giorni o settimane in caso di backup obsoleti o se anche i dati di backup sono cifrati. Questo divario può causare gravi danni reputazionali e perdite o cali di fatturato.
  2. Perdita di Dati & Divulgazione della Violazione: I recenti attacchi ransomware tendono anche a includere il furto di dati. In questo scenario, gli attaccanti chiedono denaro alle organizzazioni bersaglio in cambio della mancata divulgazione di determinate informazioni su clienti o partner. In caso di fuga di dati, possono entrare in gioco obblighi di notifica che possono portare ad azioni regolatorie e sanzioni. La combinazione di infiltrazione e fuga pubblica rappresenta le potenziali minacce che il ransomware può comportare.
  3. Danni Finanziari & Reputazionali: Oltre alla perdita finanziaria diretta sotto forma di riscatto, questi attacchi informatici possono comportare costose attività forensi, ricostruzione dei sistemi e, in alcuni casi, azioni legali collettive. I clienti possono rivolgersi ad altre aziende che potrebbero non avere problemi simili in futuro, e gli investitori possono dubitare della capacità della leadership di gestire i rischi. Per prevenire tali infiltrazioni, le compagnie assicurative possono aumentare i premi o addirittura annullare le polizze. Alla fine, ricostruire un’immagine di brand danneggiata richiede tempo, a volte anche anni.
  4. Erosione della Fiducia di Stakeholder & Clienti: Una volta rilevata una violazione, soggetti come il consiglio di amministrazione, l’autorità di regolamentazione o i clienti chiave inizieranno a dubitare del livello di sicurezza. La mancanza di fiducia è costosa e può portare alla risoluzione di contratti o a requisiti più severi da parte dei partner. Per rassicurarli, è necessario fornire prove di controlli migliori, scansioni continue e, non da ultimo, una formazione adeguata del personale. Quando un’organizzazione investe in un solido ransomware in ambito cyber security, crea ancora più fiducia nel lungo periodo.

Storia del Ransomware

Le origini del ransomware risalgono a semplici trojan estorsivi comparsi alla fine degli anni ’80 fino agli attacchi più avanzati basati su cifratura. Questi attacchi si sono evoluti nel tempo e, grazie a tecniche di cifratura sofisticate e strategie di occultamento, sono diventati una delle principali minacce nel mondo del cybercrime. Nelle sezioni seguenti, identifichiamo quattro fasi per dimostrare come i criminali abbiano evoluto le loro strategie.

  1. Il Trojan PC Cyborg (fine anni ’80): Sviluppato nel 1989, l’“AIDS Trojan” o “PC Cyborg” infettava il computer e poi richiedeva un pagamento per ripristinarne la funzionalità. Questo è stato il primo caso documentato che ha cambiato la definizione di attacco ransomware: software che cifra dati specifici e richiede un pagamento. Sebbene relativamente rudimentale rispetto alle definizioni attuali, ha posto le basi concettuali per l’estorsione moderna. Il vettore d’attacco era piuttosto semplice: il virus si diffondeva tramite floppy disk infetti distribuiti ai partecipanti di una conferenza.
  2. Ransomware con Cifratura (primi anni 2000): Tipi di ransomware più sofisticati sono apparsi nei primi anni 2000, cifrando i dati con algoritmi moderni come RSA o AES. Questi esempi di ransomware erano difficili da evitare poiché il rilevamento antivirus era lento. Gli attaccanti richiedevano il pagamento tramite le prime forme di mezzi digitali o bonifici, rendendo difficile alle forze dell’ordine tracciare il denaro. Questo ha portato allo sviluppo di altre minacce e gli esperti di sicurezza hanno iniziato a chiamarli ‘crypto-ransomware’, associati ad algoritmi complessi.
  3. Nuovi Metodi di Estorsione: Gli anni 2010 hanno visto un aumento delle tecniche utilizzate per perpetrare il crimine, incluso il ransomware WannaCry nel 2017. Questo attacco basato su worm ha bloccato ospedali e aziende in poche ore in tutto il mondo. I cybercriminali hanno utilizzato exploit rubati alla NSA per dimostrare che anche i più potenti possono generare ondate inarrestabili di attacchi ransomware. Inoltre, è nato il modello RaaS (Ransomware as a Service), che ha permesso anche ai meno esperti di entrare nel business.
  4. Doppia Estorsione & Uso Geopolitico (dal 2020 al 2025): Oggi, gli attori cyber rubano inizialmente i dati e minacciano di pubblicarli se le richieste non vengono soddisfatte – la cosiddetta doppia estorsione. Questo porta le organizzazioni a considerare i costi che potrebbero derivare da una fuga di dati, anche se dispongono di backup. Tuttavia, campagne sponsorizzate da stati talvolta utilizzano il ransomware per scopi di spionaggio o distruttivi, rendendo difficile distinguere tra obiettivi economici e politici. Attualmente, le minacce sono ancora più sofisticate grazie all’uso di tecniche di occultamento, intelligenza artificiale e strumenti molto specifici.

Come si Diffonde il Ransomware?

Spiegare il significato delle modalità di infezione del ransomware mostra che esistono diversi modi attraverso cui il ransomware può infiltrarsi in un sistema, dalle email di spam con allegati a soluzioni cloud compromesse.

I cybercriminali adattano le loro strategie alle vulnerabilità di ciascun target, come server non protetti o dipendenti ingenui. Ecco cinque modi in cui i criminali consegnano il codice ransomware e lo integrano nell’infrastruttura di un’organizzazione:

  1. Email di Phishing & Allegati Malevoli: Le email di phishing ingannano i dipendenti inducendoli ad aprire documenti malevoli o accedere a link che portano a siti degli hacker. Quando vengono attivati macro o vulnerabilità di script, inizia la cifratura o vengono attivati shell di backdoor. Nonostante la formazione del personale a non cliccare su link o fornire informazioni personali via email, il phishing continua a essere un metodo affidabile per entrare nella rete aziendale. Le aziende che utilizzano filtri di contenuto e gateway email sofisticati riducono notevolmente questi tassi di penetrazione.
  2. Vulnerabilità Software Sfruttate: Il ransomware cerca framework, sistemi operativi o interfacce di sviluppo/test vulnerabili che non sono stati rimossi. Tramite pacchetti o comandi appositamente costruiti, i criminali ottengono il controllo ed eseguono il codice, installando il ransomware all’insaputa dell’utente. Questi angoli di infiltrazione sono limitati da patch tempestive, scansioni di vulnerabilità e segmentazione. Una sola patch mancata può compromettere intere strutture, come dimostrato da attacchi su larga scala.
  3. Attacchi tramite Remote Desktop Protocol (RDP): Credenziali inadeguate o riutilizzate per sessioni RDP consentono agli attaccanti di indovinare o forzare l’accesso alle sessioni. Una volta infiltrati nella rete, gli attaccanti si muovono rapidamente e diffondono il ransomware su diverse condivisioni o controller di dominio. Pertanto, misure come l’uso di fattori multipli per autenticare l’accesso, limitare l’accesso RDP a VPN o semplicemente disattivare l’RDP esterno riducono significativamente i rischi. Questa sinergia rende impossibile l’accesso solo tramite password rubata o indovinata.
  4. Drive-By Download & Annunci Malevoli: Siti di phishing o server pubblicitari contaminati consegnano payload ai browser non aggiornati. Basta visitare una pagina infetta o visualizzare accidentalmente un annuncio per attivare script nascosti che scaricano il ransomware. L’antivirus sugli endpoint o i browser aggiornati possono riconoscere tali script come malevoli, ma i dipendenti o i sistemi senza aggiornamenti restano vulnerabili. In combinazione con filtri di contenuto sofisticati, questo approccio riduce notevolmente le possibilità di infiltrazione drive-by.
  5. Compromissione della Supply Chain: I criminali manomettono anche gli aggiornamenti software dei fornitori e distribuiscono patch infette o dipendenze di librerie. Una volta che l’organizzazione riceve l’aggiornamento “ufficiale”, il malware nascosto si attiva. Questo metodo di infiltrazione è aumentato notevolmente, soprattutto in termini di incidenti di compromissione della supply chain ad alto impatto. Per prevenire la compromissione della supply chain, è necessario verificare ogni pacchetto software, adottare controlli di firma del codice e scansionare le nuove librerie introdotte.

Tipi di Ransomware

I tipi di ransomware si sono evoluti e ciascun tipo presenta diverse modalità di cifratura, infiltrazione o estorsione. Alcuni ransomware bloccano lo schermo, altri divulgano informazioni. La consapevolezza di queste differenze aiuta a costruire difese adeguate. Nella sezione seguente, illustriamo sette aree significative che si concentrano sullo sviluppo e la diversificazione del ransomware.

  1. Crypto Ransomware: Queste varianti cifrano i dati dell’utente con algoritmi robusti e costringono le vittime ad acquistare la chiave di decrittazione. Tipicamente, i criminali cercano di infettare intere directory o condivisioni aziendali importanti per causare il massimo disagio. Se anche i backup sono compromessi o assenti, le prospettive di recupero sono piuttosto scarse. Un numero significativo di ondate di infiltrazione di alto profilo si concentra su estorsioni basate su crypto.
  2. Locker Ransomware: A differenza della cifratura, dove gli utenti sono esclusi dai sistemi, i locker bloccano il sistema operativo. La minaccia consiste nel dover ripristinare l’accesso normale pagando, anche se i file non sono cifrati. Tuttavia, la perdita di funzionalità del sistema può essere devastante per ambienti di lavoro e aziende. Per questo motivo, è possibile che parte dei dati sia ancora recuperabile se un’analisi forense avanzata riesce a sbloccare le varianti, poiché non avviene cifratura.
  3. Ransomware a Doppia Estorsione: I cybercriminali rubano i dati prima di cifrarli e minacciano di divulgarli o venderli ad altri se le richieste non vengono soddisfatte. Questa sinergia aumenta la pressione, poiché i backup da soli non proteggono dalla fuga di dati pubblici. Di solito condividono campioni su siti che pubblicano dati, mettendo pressione sulle organizzazioni in termini di reputazione o conseguenze legali. Nella doppia estorsione, anche se le vittime pagano il riscatto, non possono essere certe che i loro dati rimarranno privati, poiché i criminali potrebbero non mantenere la parola data.
  4. Ransomware-as-a-Service (RaaS): Nei modelli RaaS, attori esperti offrono i loro strumenti, ovvero kit ransomware, ad affiliati con basse competenze tecniche. Gli affiliati attaccano i target, inviano parte del denaro estorto al gruppo e ampliano i bersagli da infettare. Questa collaborazione favorisce un’economia fiorente di ruoli specializzati nell’infiltrazione, dai broker di accesso iniziale ai negoziatori. Il RaaS porta a un aumento degli attacchi ransomware a livello globale grazie al livello di competenza richiesto sempre più basso.
  5. Fileless Ransomware: Le varianti fileless operano principalmente in memoria e non sono intensive in termini di risorse, il che significa che non scrivono molti dati su disco. Alcuni di questi processi possono non essere rilevati dai tradizionali antivirus o programmi di scansione. Gli autori del malware utilizzano utility di sistema, come PowerShell, per consegnare i comandi di cifratura in modo occulto. Per contrastare questi angoli di infiltrazione, le organizzazioni necessitano di rilevamento sofisticato basato sul comportamento e accesso limitato agli script.
  6. Mobile Ransomware: Progettate specificamente per smartphone o tablet, queste varianti bloccano l’accesso ai dispositivi o cifrano i file archiviati localmente. I cybercriminali possono distribuire app pericolose tramite market di terze parti o integrarle negli aggiornamenti. Tramite l’uso di dati personali o credenziali aziendali sul dispositivo, le vittime sono costrette a pagare per il ripristino. Un solido controllo sui download delle app e backup regolari dei dispositivi ostacolano significativamente il successo delle infiltrazioni mobile.
  7. Wiper Ransomware: Una sottocategoria distruttiva che elimina o danneggia i dati invece di fornire la decrittazione dopo il pagamento. Sebbene possa sembrare simile alle comunicazioni ransomware tradizionali, l’obiettivo reale può essere la distruzione o la disorientazione. I cybercriminali possono utilizzare varianti wiper per interrompere le operazioni aziendali o sabotare infrastrutture essenziali. In assenza di una chiave di recupero, l’unica speranza di ripristino dei dati è tramite backup e un solido piano di risposta agli incidenti.

Per saperne di più: Tipi di Attacchi Ransomware

Vettori di Attacco Ransomware Comuni

Oltre alle vie di infiltrazione come phishing o applicazioni non patchate, il ransomware utilizza molteplici vettori e modalità per la penetrazione e l’escalation. Gli hacker sondano continuamente le vulnerabilità delle aziende, incluse credenziali rubate e connessioni di partner compromessi. Qui illustriamo cinque dei percorsi più comuni utilizzati e spieghiamo come i criminali passano dalla fase iniziale di violazione alla cifratura dei dati.

  1. Phishing & Social Engineering: Prende di mira il personale tramite email contenenti link a siti falsi, altre email o allegati con macro infette che avviano il ransomware. Questi messaggi sono ulteriormente personalizzati per sembrare provenienti da HR, finanza o fornitori noti. Dopo l’esecuzione del codice, il virus si replica rapidamente, puntando a directory locali o condivisioni mappate. Filtri antispam, consapevolezza degli utenti e l’uso dell’autenticazione a due fattori riducono il tasso di successo dell’infiltrazione.
  2. Credential Stuffing & Password Spraying: Con un gran numero di account trapelati su Internet, i cybercriminali tentano di accedere a VPN aziendali o accessi remoti usando le stesse credenziali. Una volta identificato il target, iniettano il malware nella rete, spesso camuffandolo da utente legittimo. Misure come policy di passphrase robuste o cambio forzato delle password in tempi brevi riducono anche questi angoli di infiltrazione. Inoltre, la presenza di MFA e riduzioni del contesto dispositivo impattano sui tassi di successo degli attacchi basati su password.
  3. Exploit Kit & Malvertising: Gli hacker iniettano prima il codice exploit negli annunci o nei siti che controllano e poi reindirizzano gli utenti verso destinazioni scelte. Nel passaggio successivo, i browser o i plug-in vulnerabili eseguono il ransomware. È importante notare che anche siti di notizie o e-commerce affidabili possono ospitare annunci se le reti pubblicitarie sono compromesse. Utilizzando filtri di contenuto, patch dei browser e limitando l’uso dei plug-in, le organizzazioni prevengono tali tentativi di infiltrazione.
  4. Servizi Desktop Remoto & Vulnerabilità VPN: RDP o soluzioni VPN obsolete con CVE noti sono ancora mal configurati e rappresentano le principali vie di attacco. Questi endpoint vengono forzati o sfruttati dagli attaccanti per scaricare ed eseguire direttamente il ransomware sui server target. Senza configurazioni robuste come blocchi degli account o aggiornamenti firmware, questa infiltrazione resta semplice. Aggiungere un secondo livello di protezione segmentando l’RDP dietro una VPN aziendale con MFA riduce anche questi gap.
  5. Compromissione della Supply Chain: Aggiornamenti software da un fornitore affidabile o librerie vengono modificati dai criminali per introdurre moduli malevoli nell’ambiente. Quando gli aggiornamenti vengono integrati nei sistemi di patch o pipeline di build, il codice viene avviato. I gruppi RaaS acquistano anche accesso da fornitori compromessi, collegando così l’infiltrazione a target aziendali ancora più grandi. Valutazioni del rischio dei fornitori, verifiche della firma del codice e scansioni prevengono queste vie di infiltrazione nascoste.

Come Funziona il Ransomware?

Conoscere in dettaglio il funzionamento del ransomware aiuta a spiegare come si nasconde, quanto velocemente evolve e quanto è pericoloso. Gli hacker utilizzano una combinazione di tecniche di infiltrazione e procedure di cifratura insieme alle famigerate richieste di riscatto, che possono essere eteree ma potenti. Qui identifichiamo cinque processi chiave che spiegano questo ciclo vizioso:

  1. Accesso Iniziale & Consegna del Payload: I criminali identificano un punto di ingresso, che sia tramite campagne di phishing, exploit pack o credenziali rubate, e introducono il malware. Questo payload verifica spesso l’architettura del sistema, la presenza di antivirus o i privilegi utente. Se trova un ambiente favorevole, aumenta o crea sottomoduli. In questa fase, un rilevamento precoce può interrompere l’intera catena di infiltrazione.
  2. Escalation dei Privilegi & Movimento Laterale: All’interno del sistema target, i criminali sfruttano falle o password di default per passare dal livello utente a quello amministratore. Si muovono poi nella rete, cercando condivisioni, server di backup o controller di dominio. Disattivando i log di sicurezza o gli agenti EDR, mascherano l’avanzamento dell’infiltrazione. In questo modo, la sinergia garantisce che l’infiltrazione sia ampia prima che inizi la cifratura, ottenendo la massima interruzione.
  3. Esfiltrazione dei Dati & Doppia Estorsione: Negli attacchi moderni, i dati sensibili vengono esfiltrati su altri server prima della cifratura. I cybercriminali chiedono un riscatto alle vittime in cambio della mancata divulgazione delle informazioni rubate. Questa sinergia intensifica le negoziazioni – i backup non bastano se la fuga di dati diventa probabile. La sinergia combina infiltrazione ed estorsione, costringendo le organizzazioni a considerare sia i costi operativi che reputazionali.
  4. Cifratura & Blocco: Una volta che il malware è in posizione, la routine malevola cifra i file target utilizzando algoritmi robusti come AES o RSA, rendendo i file inaccessibili. Gli attaccanti lasciano una nota di riscatto chiedendo il pagamento in criptovaluta e spesso fissando un limite di tempo. Questa cifratura può colpire anche i backup se i criminali notano che sono collegati. Nel tempo, diventa più aggressiva e inizia a ostacolare i tentativi di ripristino del sistema.
  5. Negoziazione del Riscatto & Possibile Decrittazione: In questo caso, le vittime non hanno altra scelta che pagare il riscatto o ripristinare dai backup. I criminali di solito rilasciano lo strumento di decrittazione dopo aver ricevuto il pagamento, ma la qualità dello strumento può essere discutibile. Alcuni criminali divulgano comunque i dati o le chiavi fornite non funzionano correttamente, aggravando la situazione. Disporre di backup offline o air-gapped e piani di ripristino testati può evitare di dover pagare i criminali.

Fasi di un Attacco Ransomware

Sebbene le specifiche dell’infiltrazione possano variare in base al tipo di variante ransomware o all’ambiente in cui opera, la maggior parte degli attacchi ransomware segue una serie di fasi comuni. Ciò significa che fermarlo all’inizio – ad esempio bloccando il primo tentativo di exploit – può evitare che la situazione peggiori. Di seguito, abbiamo illustrato le fasi comuni dalla ricognizione fino all’estorsione finale e spiegato come i criminali arrivano sistematicamente al successo della cifratura.

  1. Ricognizione: Gli attaccanti sondano le reti, recuperano password da data breach o ricercano i profili dei dipendenti su LinkedIn. Cercano target vulnerabili come server non patchati, porte aperte o persone con accesso ai dati. Questa sinergia individua asset di alto valore, come database finanziari o controller di dominio. Attraverso un’analisi attenta dell’ambiente, i criminali riescono a ideare modi e mezzi per penetrare un’organizzazione.
  2. Compromissione Iniziale: Sulla base dei risultati della ricognizione, i criminali lanciano malware o cercano dettagli di accesso. Possono fingersi personale interno o sfruttare vulnerabilità note del software. Dopo il primo punto di ingresso, come i desktop, gli attaccanti raccolgono ulteriori dettagli sull’ambiente. Questo consente di stabilire infiltrazioni più profonde o movimenti laterali.
  3. Escalation dei Privilegi & Movimento Laterale: Oggi, gli attaccanti sfruttano vulnerabilità locali o semplici attacchi brute force per ottenere permessi di dominio o root. Scansionano anche drive mappati, condivisioni di rete o API cloud per informazioni di alto valore. Controllando o aggirando i log di sicurezza, impediscono che l’infiltrazione venga rilevata dai programmi di detection. Questa sinergia significa che un solo utente compromesso può coinvolgere interi segmenti se non è presente la micro-segmentazione.
  4. Esfiltrazione dei Dati: Utilizzando privilegi amministrativi, i criminali trasferiscono silenziosamente informazioni su server esterni alla rete aziendale. Questo passaggio li prepara a una strategia di doppia estorsione in cui minacciano di divulgare i dati se il riscatto non viene pagato. Aiuta anche i criminali a determinare l’importo del riscatto e la vulnerabilità dei dati. I target spesso non si accorgono della perdita di dati fino a quando non ricevono le note di riscatto o non rilevano traffico anomalo.
  5. Cifratura & Richiesta di Riscatto: Infine, il codice cifra i file importanti con una chiave robusta e lascia un messaggio su come decriptare i file e l’importo richiesto. Gli attori della minaccia richiedono solitamente il pagamento in criptovaluta, fissando un limite di tempo breve o minacciando di divulgare i dati rubati. Nei casi in cui anche i backup sono persi o il personale non è preparato, l’effetto immobilizza le operazioni per l’intera giornata. Questa fase finale sancisce il successo dell’infiltrazione a meno che l’attacco non venga rilevato e fermato o i sistemi infetti non vengano rapidamente ripristinati offline.

Metodi di Attacco Ransomware

I criminali utilizzano una varietà di tattiche e strategie di infiltrazione ed estorsione mirate a diversi aspetti o comportamenti del personale. Analizzando questi metodi ransomware, le organizzazioni possono migliorare le difese in ogni punto di infiltrazione. Qui presentiamo cinque esempi per dimostrare quanto siano versatili e flessibili gli attaccanti moderni:

  1. Malspam & Spear Phishing: L’email rimane il metodo di infiltrazione più comune, sia in massa che mirato, sfruttando dipendenti poco esperti che scaricano allegati infetti o cliccano su link. Lo spear phishing prevede l’invio di messaggi contenenti informazioni ottenute dai social media o da precedenti violazioni. Una volta eseguiti macro o exploit kit, inizia la routine di cifratura o esfiltrazione. Per contrastare, il successo dell’infiltrazione viene ridotto tramite filtri email avanzati, consapevolezza del personale e scansione dei link.
  2. Exploit Kit & Drive-By Compromise: Il malware viene iniettato nei siti target o infetti o tramite malvertising. Qualsiasi browser o plug-in non aggiornato con le ultime patch diventa una porta aperta non appena il personale accede al sito. Anche grandi reti pubblicitarie possono occasionalmente veicolare annunci malevoli sui portali di siti legittimi. Questi angoli di infiltrazione sono fortemente limitati da una gestione rigorosa delle patch e da un uso limitato dei plug-in.
  3. Servizi Remoti & Attacchi RDP: Gli hacker sondano proattivamente endpoint RDP o connessioni SSH con l’obiettivo di utilizzare credenziali di default o una CVE scoperta. Se l’attaccante ottiene privilegi di amministratore di dominio o accesso root al sistema operativo, può installare routine di cifratura a livello di sistema. Implementare misure come autenticazione multifattore o limitare l’accesso remoto a risorse dietro VPN o zero-trust riduce significativamente la probabilità di successo degli attacchi informatici. Controllare ripetutamente i log per voci simili è un altro modo per identificare attacchi brute force nelle fasi iniziali.
  4. Software Trojanizzato & Compromissione di Terze Parti: Attori malevoli infiltrano aggiornamenti software genuini come driver, plugin o librerie, integrando codice ransomware. Le vittime, credendo di scaricare dal fornitore o da un mirror, eseguono gli aggiornamenti, avviando così le procedure di infiltrazione. Questo dimostra perfettamente come la compromissione della supply chain abbia conseguenze estese. Esaminare le firme del codice, implementare una solida gestione del rischio dei fornitori o utilizzare la scansione delle pipeline contrasta questi vettori di infiltrazione occulti.
  5. Pivot Laterale da Altri Malware: A volte, l’infiltrazione inizia con un trojan o keylogger meno evidente che raccoglie furtivamente nomi utente o password. Gli attaccanti procedono poi con la cifratura una volta identificati i dati di valore. Il processo di cifratura ransomware inizia prima che il personale si accorga che qualcosa non va. Soluzioni EDR basate sul comportamento possono rilevare un pivot anomalo, fermando l’infiltrazione prima dell’attacco finale.

Esempi di Attacchi Ransomware

Quando si parla di ransomware, non ci sono dubbi sulle capacità dei criminali – possono bloccare le operazioni o chiedere milioni di dollari per il rilascio. È quindi importante notare che anche le organizzazioni meglio attrezzate possono essere colte di sorpresa se un angolo di infiltrazione resta scoperto. Nella sezione seguente, vengono presentati quattro casi per evidenziare la gravità dell’infiltrazione, le reazioni delle aziende e gli esiti.

  1. LoanDepot (2024): A gennaio, uno dei maggiori istituti di credito ipotecario, LoanDepot, ha segnalato un attacco ransomware avvenuto dal 3 al 5 gennaio, che ha comportato la cifratura dei dati e il furto di informazioni sensibili dei clienti, causando l’interruzione dei servizi per 16,6 milioni di consumatori. Alphv/BlackCat si è attribuito l’attacco, che si aggiunge alla storia di violazioni significative del gruppo. Il recente attacco a LoanDepot dimostra che le aziende del settore finanziario con grandi quantità di dati degli utenti sono particolarmente appetibili per gli estorsori.
  2. Veolia (2024): Veolia North America, azienda di riciclo acqua ed energia, ha dichiarato di aver subito un attacco ransomware che ha reso indisponibili alcuni sistemi di back-end. Sebbene le operazioni di trattamento dell’acqua non siano state interrotte, i servizi di fatturazione sono stati colpiti, causando disagi ai clienti. Ciò ha portato a notifiche agli utenti dopo una parziale violazione dei dati. Questo dimostra l’aumento del targeting dei fornitori di infrastrutture critiche come mezzo per forzare un rapido pagamento del riscatto richiesto.
  3. Ascension (2024): Ascension, sistema sanitario con sede a St. Louis, ha rivelato a maggio che il ransomware ha colpito le cartelle cliniche elettroniche (EHR) e alcune linee telefoniche. Per oltre un mese, i pazienti hanno subito disagi nella programmazione e confusione nella prescrizione dei farmaci. Alcune sedi hanno persino deviato le ambulanze poiché il personale ha affrontato la settimana più impegnativa mai registrata. La sinergia dimostra come eventi ransomware pericolosi possano interrompere l’assistenza sanitaria, minacciando non solo la stabilità degli ospedali ma anche la vita dei pazienti.
  4. Governo della Città di Cleveland (2024): A giugno, gli hacker hanno bloccato la città di Cleveland, chiudendo il municipio per 11 giorni dopo un attacco che ha compromesso i sistemi di fatturazione e le procedure amministrative ufficiali. I dipendenti si sono affrettati a isolare i computer colpiti e tentare di recuperare i dati dalle copie. La città ha dichiarato che non avrebbe pagato il riscatto, anche se non poteva confermare se i dati fossero stati rubati. Questa sinergia dimostra come anche attacchi ransomware dannosi possano paralizzare tutti i servizi municipali, influenzando la vita quotidiana dei residenti.

Come prevenire gli attacchi ransomware?

Proteggersi dall’infiltrazione richiede non solo strumenti migliori, ma anche personale informato, impostazioni sicure e backup testati. Per questo motivo, nessuna singola misura è sufficiente poiché i criminali cambiano costantemente strategia. Ecco cinque misure fondamentali che riducono drasticamente il rischio di infiltrazione e accelerano il ripristino post-incidente:

  1. Formazione Completa del Personale: Phishing e social engineering restano i metodi più diffusi per gli attaccanti che vogliono infiltrarsi nelle organizzazioni. Sessioni di formazione periodiche e simulazioni di phishing aiutano i dipendenti a riconoscere le minacce. Sfrutta altre misure di sicurezza per garantire che vengano utilizzate solo passphrase complesse invece di quelle semplici e facilmente indovinabili. Questa sinergia riduce il rischio che clic involontari o password riutilizzate mettano in pericolo l’intera rete.
  2. Obbligo di Autenticazione Multifattore: Anche se i criminali indovinano o ottengono le password, l’autenticazione a due fattori (come codici inviati al telefono o token fisici) rallenta gli intrusi. MFA è altamente raccomandata per l’accesso ad account admin o di dominio per connessioni VPN remote o RDP. La sinergia riduce significativamente la probabilità di successo del credential stuffing. Nel tempo, altre soluzioni sofisticate, come il single sign-on associato a policy contestuali, migliorano l’autenticità.
  3. Patching Regolare & Scansione delle Vulnerabilità: L’implementazione tempestiva di aggiornamenti OS, applicativi e firmware mitiga gli angoli di infiltrazione identificati. Le scansioni regolari aiutano a rilevare CVE appena divulgate o vulnerabilità zero-day. Tali attività dovrebbero includere anche risorse effimere come container o server di sviluppo/test. Collegando la scansione alle pipeline di merge, dev e ops possono affrontare le vulnerabilità nel processo di sviluppo prima del rilascio in produzione.
  4. Micro-Segmentazione & Architettura Zero-Trust: Dividere le reti in segmenti impedisce il movimento laterale se gli attaccanti penetrano un server, endpoint o risorsa cloud. Lo zero-trust verifica identità e permessi di ogni richiesta, impedendo accessi non autorizzati tramite credenziali rubate o indovinate. L’implementazione di perimetri software-defined o regole VLAN altamente restrittive offre finestre di infiltrazione minime. Così, la segmentazione, combinata con lo zero trust, garantisce che l’infiltrazione non si diffonda all’intero ambiente.
  5. Backup Air-Gapped & Simulazioni di Disaster Recovery: È impossibile prevenire ogni tipo di infiltrazione anche con le misure di sicurezza più robuste, motivo per cui è essenziale disporre di backup offline. Verifica periodicamente i punti di ripristino per assicurarti che i dati siano aggiornati e non danneggiati. Se i criminali cifrano la produzione, i backup offline possono essere utilizzati per ripristinare rapidamente senza pagare il riscatto. In questo modo, tramite runbook di incident response, il personale può gestire le infiltrazioni reali con facilità, riducendo il disordine.

Rilevamento & Rimozione del Ransomware

La prevenzione del ransomware non è sempre infallibile e l’infiltrazione può avvenire durante lo sfruttamento di una vulnerabilità zero-day o di un attacco di social engineering. Il rilevamento precoce del codice malevolo può interrompere la cifratura a processo avviato, salvando l’intero ambiente. Ecco cinque passaggi per riconoscere rapidamente comportamenti pericolosi e coordinare la rimozione del ransomware dopo un’infezione:

  1. Protezione Endpoint Basata sul Comportamento: Un antivirus basato solo su firme è spesso lento ad adattarsi poiché il codice cambia rapidamente e frequentemente. Invece, soluzioni EDR avanzate osservano i comportamenti a runtime, come un nuovo processo che cifra molti file contemporaneamente. Se un’anomalia corrisponde a un pattern di infiltrazione riconosciuto, viene gestita isolandola o mettendola in quarantena. Questa sinergia consente di rilevare in tempo reale anche programmi malevoli fileless o completamente nuovi.
  2. Monitoraggio delle Anomalie di Rete: Trasferimenti di dati fuori orario o improvvisi picchi di banda indicano esfiltrazione o cifratura di massa. Strumenti SIEM o NDR possono rilevare tali pattern e avvisare il personale per ulteriori indagini. Analizzare la distribuzione del traffico e le connessioni est-ovest può rivelare le fasi iniziali del pivot di infiltrazione. Previene che l’attaccante prenda piede e cifri tutti i file o trasmetta tutti i dati rubati.
  3. Strumenti di Scansione Ransomware: Alcuni software anti-ransomware sono progettati per cercare attivamente algoritmi di cifratura specifici, operazioni di rinomina o estensioni di file tipicamente bloccate. Possono anche controllare scritture parziali o modifiche alle shadow copy. Se attivati, terminano il processo responsabile o ripristinano i file alterati tramite journaling. Oltre all’antivirus standard, questi scanner specifici riducono notevolmente i tempi di infiltrazione.
  4. Contenimento & Ripristino Automatico: Una volta attivato un framework di automazione, può spegnere gli host infetti e negare l’accesso alla rete, fermando così il movimento laterale. Alcune soluzioni avanzate offrono funzionalità di ‘rollback’ per catturare lo stato del sistema e consentire al personale di riportarlo a prima dell’infezione. Associare il contenimento alla fase di rilevamento impedisce ai criminali di muoversi lateralmente o esfiltrare dati. Questo fa risparmiare tempo nella finestra dell’evento, riducendo l’impatto complessivo.
  5. Rimozione del Ransomware & Bonifica Forense: Dopo il contenimento, resta sempre del codice residuo da neutralizzare, file di sistema da controllare e tutti i possibili trigger da eliminare. Questo può includere la scansione dei programmi di avvio, dei programmi pianificati o dei registri per eventuali collegamenti malevoli. In caso di cifratura parziale, i file possono essere recuperati da backup o decriptati tramite tool di decrittazione. Un’analisi approfondita post-evento aiuta a perfezionare le regole di rilevamento future e a correggere gli angoli di infiltrazione.

Previeni gli Attacchi Ransomware con SentinelOne

Il rilevamento autonomo delle minacce AI di SentinelOne può aiutare le organizzazioni a combattere malware, ransomware, phishing e tutte le forme di minacce informatiche. Il suo Offensive Security Engine con Verified Exploit Paths può rilevare quando qualcosa non va, scoprire nuovi angoli di attacco e mitigarli prima che possano essere potenzialmente sfruttati.

L’avanzata protezione endpoint di SentinelOne può proteggere VM, workload, cloud, container, utenti e identità. Purple AI, analista di cybersecurity generativa, può individuare insight unici su attaccanti e pipeline di sicurezza. Otterrai la migliore sicurezza per pipeline CI/CD e una copertura di sicurezza adeguata. SentinelOne è in grado di rilevare oltre 750+ tipi diversi di secret e prevenire la fuga di credenziali cloud.

Puoi identificare account inattivi o dormienti e scansionare processi malevoli prima che possano prendere il controllo, dirottare account o eseguire escalation dei privilegi. SentinelOne può eseguire scansioni attive e passive in background e operare 24/7, inviando automaticamente avvisi ogni volta che sorgono problemi ed eliminando i falsi positivi.

Include anche l’integrazione con Snyk e dispone di una soluzione CNAPP olistica agentless che può offrire una protezione completa. Utilizzando le soluzioni SentinelOne, garantisci anche la conformità continua con framework normativi come SOC 2, NIST, HIPAA, CIS Benchmark e altri. Le organizzazioni possono inoltre difendersi dagli attacchi Active Directory ed Entra ID grazie alle funzionalità della piattaforma.

Rilevamento e risposta degli endpoint basati su AI.

Conclusione

Il ransomware rimane una delle minacce più pericolose per le aziende moderne, poiché mette a rischio dati, processi aziendali e la fiducia dei clienti. Quando si tratta di metodi di infiltrazione come phishing, exploit kit o movimento laterale, è molto più efficace analizzare gli approcci a livello individuale e sviluppare più livelli di protezione. Tuttavia, fermare l’infiltrazione è solo una parte della soluzione; identificare le attività malevole durante un attacco e disporre di sistemi di backup affidabili costituiscono gli altri due pilastri. Che si tratti di un ambiente cloud di breve durata o di un server on-premises in uso da anni, la scansione, la formazione del personale e l’implementazione della micro-segmentazione riducono significativamente il numero di vettori di ingresso.

Nessuna soluzione singola è sufficiente quando i criminali si adattano a nuove strategie di infiltrazione, come la doppia estorsione o l’incorporazione di funzionalità worm avanzate. Tuttavia, miglioramenti continui basati su policy ben definite, backup comprovati e soluzioni EDR adattive mantengono sotto controllo le minacce di infiltrazione. Se combinati con uno scanner ransomware dedicato o una piattaforma di Endpoint Protection basata su AI come SentinelOne, il tuo ambiente ottiene rilevamento in tempo reale e remediation automatica.

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Domande frequenti

Il ransomware è un malware che blocca e cripta i tuoi dati e file. Impedisce l’accesso alle tue informazioni fino a quando non paghi un riscatto agli attaccanti. Quando infetta il tuo sistema, il ransomware cripta i file importanti e aggiunge estensioni come .darky. Puoi perdere l’accesso a tutte le tue informazioni se non hai backup. Gli attaccanti richiederanno il pagamento tramite email o note di riscatto lasciate sul tuo sistema per il recupero dei file.

Puoi rimuovere il ransomware isolando innanzitutto i dispositivi infetti dalla rete per impedirne la diffusione. Utilizza strumenti anti-malware per eseguire la scansione ed eliminare i file dannosi. Se hai una piattaforma di sicurezza come SentinelOne implementata, rileverà e bloccherà automaticamente i processi di ransomware. Dovresti ripristinare i dati da backup puliti conservati offline. Se non disponi di backup, avrai bisogno di strumenti di decrittazione specializzati, se disponibili per quella specifica variante di ransomware.

RaaS è un modello di business in cui gli sviluppatori di ransomware vendono o affittano il loro software dannoso ad altri criminali che vogliono lanciare attacchi. I criminali che acquistano questi servizi sono chiamati affiliati. Pagano gli sviluppatori per utilizzare strumenti ransomware preconfezionati. Il modello RaaS rende facile per chiunque lanciare attacchi ransomware, anche senza competenze di programmazione. Troverai questi servizi pubblicizzati su forum del dark web con supporto e dashboard.

La funzione principale del ransomware è generare profitto per gli attaccanti tenendo in ostaggio i tuoi dati. Cripta i tuoi file, database e applicazioni così non puoi più accedervi. Il ransomware mostrerà quindi una nota di riscatto con le istruzioni di pagamento. Se paghi, gli attaccanti potrebbero fornirti una chiave di decrittazione per sbloccare i file. Minacceranno anche di pubblicare i tuoi dati sensibili su leak site se non paghi.

Il ransomware non è facile da eliminare una volta che ha infettato il sistema. La crittografia utilizzata è quasi impossibile da rompere senza la chiave di decrittazione. Affronterai una situazione difficile se non hai buoni backup. Se provi a rimuovere il ransomware stesso, puoi eliminare i file dannosi, ma i tuoi dati resteranno criptati. Dovresti concentrarti sulla prevenzione perché la bonifica dopo un attacco è difficile e costosa.

Gli attacchi ransomware iniziano quando clicchi su link email dannosi o scarichi file infetti. Il malware si installa sul sistema e cerca file di valore da criptare. Cercherà di diffondersi sulla rete e sulle unità montate. Prima di criptare, disabiliterà i processi di sicurezza ed eliminerà le shadow copy. Dopo la crittografia, riceverai una nota di riscatto con istruzioni di pagamento e scadenze, solitamente 24-48 ore.

Sì, il ransomware è un tipo di malware. Agisce infiltrandosi nel sistema, solitamente tramite email di phishing o vulnerabilità di sicurezza. A differenza di altri malware che possono rubare informazioni o danneggiare i sistemi, il ransomware ha un solo scopo: bloccare i tuoi file tramite crittografia fino al pagamento. Puoi identificarlo tramite note di riscatto ed estensioni come .darky o .crYpt aggiunte ai file. Esistono molte famiglie di ransomware, ciascuna con caratteristiche uniche.

Non dovresti mai pagare il riscatto. Anche se paghi, non c’è garanzia che gli attaccanti forniscano le chiavi di decrittazione o che non attacchino di nuovo. Potrebbero anche aumentare le richieste una volta che sanno che sei disposto a pagare. Il pagamento finanzia le attività criminali e incoraggia altri attacchi. Invece, dovresti segnalare l’incidente alle autorità come CISA e l’IC3 dell’FBI, e recuperare utilizzando i tuoi backup.

Gli attacchi ransomware più famosi includono WannaCry, che ha colpito oltre 200.000 computer in 150 paesi nel 2017. NotPetya ha causato miliardi di danni nello stesso anno. Colonial Pipeline è stata attaccata nel 2021, causando carenze di carburante. L’attacco a JBS Foods ha interrotto la fornitura di carne. L’attacco a Kaseya VSA nel 2021 ha colpito fino a 1.500 aziende. Darkside, REvil e Conti sono gruppi noti dietro molti attacchi di alto profilo.

Per recuperare da un attacco ransomware, devi isolare subito i sistemi infetti. Disconnetti tutti i dispositivi dalla rete per contenere l’infezione. Puoi poi utilizzare i backup offline per ripristinare i dati dopo aver bonificato i sistemi infetti. Se non hai backup, verifica la disponibilità di decryptor gratuiti da parte delle aziende di sicurezza. Dovresti anche segnalare l’attacco alle autorità e rafforzare la sicurezza implementando MFA e aggiornamenti regolari.

Il ransomware danneggia le aziende ben oltre il solo pagamento del riscatto. Quando gli attaccanti criptano i tuoi dati, le operazioni si fermano completamente. Affronterai costi di inattività, perdita di produttività e danni alle relazioni con i clienti. Se i dati sensibili vengono divulgati, potresti incorrere in sanzioni normative e problemi legali. Dovrai anche spendere per il recupero, le indagini e il miglioramento della sicurezza. Il danno reputazionale può durare anni dopo la risoluzione dell’attacco.

Scopri di più su Sicurezza informatica

Cos'è il Purdue Model? Definizione, livelli e best practiceSicurezza informatica

Cos'è il Purdue Model? Definizione, livelli e best practice

Il Purdue Model è lo standard federale per la segmentazione delle reti ICS, organizzando gli ambienti OT in sei livelli gerarchici con confini di trust applicati.

Per saperne di più
Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegataSicurezza informatica

Che cos'è un Secure Web Gateway (SWG)? Difesa della rete spiegata

I Secure Web Gateway filtrano il traffico web, bloccano il malware e applicano le policy per workforce distribuite. Scopri i componenti SWG, i modelli di deployment e le best practice.

Per saperne di più
Cos'è l'OS Command Injection? Sfruttamento, Impatto e DifesaSicurezza informatica

Cos'è l'OS Command Injection? Sfruttamento, Impatto e Difesa

L'OS Command Injection (CWE-78) consente agli attaccanti di eseguire comandi arbitrari tramite input non sanificato. Scopri le tecniche di sfruttamento, CVE reali e le difese.

Per saperne di più
Statistiche MalwareSicurezza informatica

Statistiche Malware

Scopri le ultime statistiche malware per il 2026 nei mondi del cloud e della cyber security. Scopri contro cosa si trovano ad affrontare le organizzazioni, preparati per i tuoi prossimi investimenti e altro ancora.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano