Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Estorsione informatica: guida ai rischi e alla prevenzione
Cybersecurity 101/Informazioni sulle minacce/Estorsione informatica

Estorsione informatica: guida ai rischi e alla prevenzione

L'estorsione informatica combina la cifratura ransomware, minacce di furto di dati e attacchi DDoS. Scopri come la piattaforma autonoma di SentinelOne blocca campagne di estorsione multi-fase.

CS-101_Threat_Intel.svg
Indice dei contenuti
Che cos'è l'estorsione informatica?
Impatto dell'estorsione informatica sulle organizzazioni
Estorsione informatica vs Ransomware
Componenti principali dell'estorsione informatica
Indicatori chiave di un tentativo di estorsione informatica
Tipologie di estorsione informatica
Come funziona l'estorsione informatica
Come rilevare i tentativi di estorsione informatica
Come prevenire l'estorsione informatica
Fasi di risposta agli incidenti di estorsione informatica
Sfide e limiti nella difesa contro l'estorsione informatica
Errori comuni nell'estorsione informatica
Best practice per l'estorsione informatica
Esempi reali di incidenti di estorsione informatica
Difendi la tua organizzazione dall'estorsione informatica con SentinelOne
Punti chiave

Articoli correlati

  • Come prevenire lo spoofing IP?
  • Che cos'è il rilevamento e la risposta alle minacce (TDR)?
  • Cosa sono gli attacchi di forza bruta?
  • Che cos'è la resilienza informatica? Vantaggi e sfide
Autore: SentinelOne | Recensore: Dianna Marks
Aggiornato: March 27, 2026

Che cos'è l'estorsione informatica?

Negli attacchi di estorsione informatica, i criminali compromettono i tuoi sistemi, rubano i tuoi dati o interrompono le tue operazioni, quindi richiedono un pagamento in criptovaluta per fermare l'attacco o impedire la divulgazione dei dati. Secondo il rapporto 2024 dell'Internet Crime Complaint Center dell'FBI pubblicato il 24 aprile 2025, le segnalazioni di estorsione sono salite a 12.618 incidenti nel 2024, rappresentando un aumento del 134% rispetto alle 5.396 segnalazioni del 2023.

L'estorsione informatica moderna prende di mira contemporaneamente i tuoi ricavi, la continuità operativa e la conformità normativa tramite minacce di estorsione dei dati e di cifratura. Secondo l'analisi delle tendenze finanziarie di FinCEN, i gruppi ransomware hanno estorto oltre 2,1 miliardi di dollari dal 2022 al 2024, con i settori manifatturiero, dei servizi finanziari e sanitario come i più colpiti.

Cyber Extortion - Featured Image | SentinelOne

Impatto dell'estorsione informatica sulle organizzazioni

L'estorsione informatica genera effetti a cascata su tutta l'azienda. L'impatto finanziario si estende ben oltre le richieste di riscatto. L'attacco del 2024 a Change Healthcare ha comportato costi di risposta per miliardi di dollari, coprendo risposta all'incidente, ripristino dei sistemi, notifiche regolamentari e interruzione delle attività.

L'interruzione operativa aggrava le perdite finanziarie. Quando Synnovis, un fornitore NHS di patologia, ha subito un attacco ransomware nel giugno 2024, gli ospedali di Londra hanno rinviato oltre 1.100 interventi programmati e 2.000 appuntamenti ambulatoriali. Trasfusioni di sangue, trattamenti oncologici e tagli cesarei sono stati ritardati con impatto diretto sull'assistenza ai pazienti. Il danno reputazionale persiste a lungo dopo il ripristino dei sistemi e le sanzioni regolamentari per violazione dei dati aggiungono ulteriori oneri finanziari, soprattutto nei settori sanitario e finanziario.

Comprendere perché questi attacchi causano danni così diffusi richiede di distinguere l'estorsione informatica dagli attacchi ransomware più semplici.

Estorsione informatica vs Ransomware

Il ransomware cifra i tuoi file e richiede un pagamento per le chiavi di decrittazione. L'estorsione informatica include il ransomware ma aggiunge molteplici tattiche di pressione progettate per forzare il pagamento anche quando disponi di opzioni di ripristino tramite backup.

Il ransomware tradizionale rappresenta una singola transazione: paghi per decifrare. Se mantieni backup offline, puoi recuperare senza pagare. Gli aggressori hanno riconosciuto questo limite ed evoluto le loro tattiche. L'estorsione informatica moderna combina cifratura con furto di dati, minacce di pubblicazione, attacchi DDoS durante le negoziazioni e contatti diretti con clienti o partner. Ogni tattica aggiuntiva elimina una possibile opzione di recupero. Anche con backup perfetti, rischi comunque l'esposizione dei dati se rifiuti di pagare.

L'estorsione informatica prevede anche tempistiche di attacco più lunghe. Il ransomware può agire in pochi secondi. Le campagne di estorsione informatica richiedono giorni o settimane di ricognizione, furto di credenziali, movimento laterale ed esfiltrazione dei dati prima della fase finale di cifratura. Questa tempistica estesa crea molteplici finestre in cui puoi individuare e fermare l'attacco, ma solo se la tua architettura di sicurezza è in grado di identificare il comportamento degli aggressori durante queste fasi.

I componenti principali delle campagne moderne di estorsione informatica mostrano come queste tattiche lavorino insieme per massimizzare la pressione.

Componenti principali dell'estorsione informatica

L'estorsione informatica moderna combina molteplici metodi di attacco che colpiscono simultaneamente la tua organizzazione, tra cui cifratura ransomware, furto di dati con minacce di pubblicazione e attacchi DDoS.

  1. Cifratura ransomware blocca i tuoi sistemi di produzione e i repository di dati fino al pagamento della chiave di decrittazione. Gli aggressori prendono di mira prima l'infrastruttura di backup: secondo l'analisi CISA delle campagne ransomware, gli attaccanti sfruttano specificamente vulnerabilità nei software di backup come CVE-2023-27532 in Veeam, spesso molto tempo dopo la disponibilità delle patch.
  2. L'estorsione tramite furto di dati prevede che gli aggressori esfiltrino i tuoi dati sensibili prima della cifratura, minacciando poi di pubblicare le informazioni rubate o di contattare direttamente i clienti coinvolti. Secondo la nota congiunta CISA e FBI sul ransomware Medusa, questa strategia di doppia estorsione è diventata prassi standard.
  3. Disservizi basati su DDoS tramite attacchi distributed denial of service sovraccaricano la tua infrastruttura di rete mentre gli aggressori distribuiscono ransomware e minacciano la pubblicazione dei dati. Questo approccio di tripla estorsione colpisce contemporaneamente le tue operazioni, i tuoi dati e i partner della supply chain.

Questi componenti agiscono in una sequenza prevedibile e riconoscere i segnali di una campagna di estorsione può aiutarti a rispondere prima che venga distribuita la cifratura.

Indicatori chiave di un tentativo di estorsione informatica

Le campagne di estorsione informatica lasciano tracce durante le fasi di ricognizione e preparazione. La nota CISA sul ransomware Play documenta che gli aggressori utilizzano strumenti come AdFind per enumerare i controller di dominio e gli account privilegiati. Presta attenzione a improvvisi picchi di query AD da workstation che normalmente non svolgono funzioni amministrative.

Prima dell'esfiltrazione, gli aggressori consolidano i file rubati in archivi compressi. Monitora i processi che accedono a migliaia di file, la creazione insolita di archivi e connessioni inattese a servizi di storage cloud. Secondo la guida CISA sul ransomware, gli aggressori utilizzano Rclone, Rsync, servizi di storage file web e FTP/SFTP per l'esfiltrazione dei dati.

Gli aggressori disabilitano anche gli strumenti di sicurezza prima di distribuire il ransomware. Attiva allerta su manomissioni degli agenti di sicurezza, eliminazione delle copie shadow e modifiche ai servizi di backup.

Questi indicatori compaiono durante tempistiche di attacco estese documentate dalle indagini FBI. Gli aggressori li combinano in configurazioni crescenti in base al tipo di campagna di estorsione implementata.

Tipologie di estorsione informatica

Le campagne di estorsione informatica si suddividono in tre categorie in base al numero di tattiche di pressione utilizzate dagli aggressori. Ogni evoluzione aggiunge leve che rendono il pagamento più probabile, anche quando le vittime dispongono di solide capacità di backup e ripristino.

  1. Estorsione singola si basa esclusivamente sulla cifratura ransomware. Gli aggressori cifrano i tuoi sistemi e richiedono il pagamento per le chiavi di decrittazione. Se mantieni backup offline, puoi recuperare senza pagare.
  2. Doppia estorsione aggiunge il furto di dati alla cifratura. Gli aggressori esfiltrano dati sensibili prima di cifrare i sistemi, minacciando poi di pubblicare le informazioni rubate se rifiuti di pagare. Anche con il ripristino da backup, rischi sanzioni regolamentari e danni reputazionali dovuti all'esposizione dei dati.
  3. Tripla estorsione sovrappone attacchi DDoS e pressione sulla supply chain alla doppia estorsione. Gli aggressori sovraccaricano la tua rete durante le negoziazioni di riscatto mentre contattano clienti, partner o investitori per aumentare la pressione.

L'evoluzione verso campagne multilivello riflette il fatto che gli aggressori hanno imparato che il ripristino da backup vanifica gli attacchi basati solo sulla cifratura. Comprendere la sequenza dell'attacco rivela dove puoi interrompere queste campagne.

Come funziona l'estorsione informatica

Gli attacchi di estorsione informatica seguono una progressione a più fasi: accesso iniziale, escalation dei privilegi, movimento laterale, esfiltrazione dei dati e distribuzione della cifratura. Le indagini CISA e FBI mostrano che gli attori delle minacce trascorrono giorni o settimane in ricognizione prima della cifratura, offrendoti molteplici opportunità per individuare attività sospette.

  • Accesso iniziale tramite vulnerabilità sfruttate: Gli aggressori ottengono l'accesso tramite vulnerabilità software non patchate. La nota CISA AA25-163A documenta attori ransomware che sfruttano SimpleHelp Remote Monitoring and Management non aggiornato. Secondo la Cybersecurity Advisory CISA su Interlock ransomware, gli attori delle minacce hanno ottenuto accesso iniziale tramite download drive-by da siti web legittimi compromessi.
  • Accesso alle credenziali e ricognizione: Gli aggressori rubano credenziali amministrative tramite strumenti di credential dumping. Secondo la nota CISA AA23-278A, gli attori malevoli abusano regolarmente delle credenziali di default per l'accesso VPN e amministrativo ai sistemi di backup. La nota CISA su Play ransomware documenta l'uso di AdFind per mappare l'intera struttura di dominio prima della cifratura.
  • Movimento laterale ed esfiltrazione dati: Gli aggressori utilizzano strumenti come PsExec per muoversi lateralmente tramite comunicazioni Server Message Block (SMB). La StopRansomware Guide di CISA rileva che la maggior parte delle organizzazioni non configura i sistemi Windows per richiedere IPsec basato su Kerberos per le comunicazioni SMB laterali. Gli attori delle minacce trascorrono giorni o settimane esfiltrando dati sensibili prima di distribuire il ransomware.
  • Cifratura cross-platform: L'FBI ha osservato Interlock ransomware distribuire cifratori per sistemi operativi Windows e Linux. Quando viene eseguita la cifratura, vengono colpiti contemporaneamente ambiente di produzione, infrastruttura virtuale e sistemi di backup.

La natura multi-fase di questi attacchi crea finestre difensive, ma sfruttarle richiede piattaforme di sicurezza in grado di individuare il comportamento degli aggressori nelle fasi iniziali.

Come rilevare i tentativi di estorsione informatica

Individuare le campagne di estorsione informatica richiede il monitoraggio del comportamento degli aggressori in tutte le fasi dell'attacco. Le soluzioni puntuali che segnalano solo l'esecuzione di malware non rilevano le settimane di attività che precedono la cifratura.

Attività di ricognizione

Le piattaforme di sicurezza dovrebbero correlare l'attività di query Active Directory con i processi che generano tali query. Presta attenzione a:

  • AdFind o strumenti simili che interrogano i controller di dominio da workstation che non svolgono mai funzioni amministrative
  • Enumerazione di account privilegiati, appartenenze a gruppi e relazioni di trust
  • Port scanning o mappatura di rete da sistemi interni
  • Query contro infrastrutture di backup e sistemi di storage

Indicatori di movimento laterale

Traccia i pattern di autenticazione che si discostano dal comportamento di base:

  • Account di servizio che accedono a sistemi mai toccati prima
  • Strumenti amministrativi (PsExec, WMI, PowerShell remoting) eseguiti da directory non standard
  • Connessioni Remote Desktop da sistemi sorgente insoliti
  • Anomalie di autenticazione pass-the-hash o pass-the-ticket

Preparazione ed esfiltrazione dei dati

Configura gli strumenti di sicurezza per segnalare comportamenti di aggregazione dati:

  • Processi che accedono a centinaia di file in più directory in tempi brevi
  • Creazione di archivi (ZIP, RAR, 7z) in cartelle temporanee o posizioni non standard
  • Connessioni in uscita a storage cloud (Mega, Dropbox, Google Drive) da server
  • Grandi trasferimenti di dati fuori orario o verso IP esterni sconosciuti
  • Attività Rclone, Rsync o FTP/SFTP da sistemi che normalmente non usano questi strumenti

Tentativi di elusione delle difese

Attiva allerta immediata su manomissioni degli strumenti di sicurezza:

  • Agente di protezione endpoint fermato o disinstallato
  • Eliminazione delle copie shadow (vssadmin delete shadows)
  • Modifiche ai servizi di backup o ai task pianificati
  • Esclusioni di Windows Defender aggiunte in modo programmato

L'analisi comportamentale è fondamentale perché gli aggressori utilizzano strumenti legittimi invece di malware personalizzati. Le piattaforme di sicurezza che correlano i singoli indicatori in timeline unificate mostrano l'intero percorso dell'attacco invece di eventi scollegati.

Individuare tempestivamente i tentativi di estorsione ti dà il tempo di implementare misure preventive per ogni fase della catena d'attacco.

Come prevenire l'estorsione informatica

Le strategie di prevenzione devono coprire ogni fase della catena d'attacco dell'estorsione informatica. Concentrati sui controlli specifici che interrompono la progressione degli aggressori dall'accesso iniziale alla cifratura.

Blocca l'accesso iniziale

  • Applica le patch ai sistemi esposti a Internet entro 48 ore dalla divulgazione di vulnerabilità critiche, dando priorità a VPN, firewall, strumenti di accesso remoto e gateway email
  • Disabilita i protocolli di accesso remoto non necessari (RDP, SSH) sui sistemi che non li richiedono
  • Implementa allowlisting delle applicazioni sui server per impedire esecuzioni non autorizzate
  • Distribuisci filtri email che rimuovano allegati pericolosi e analizzino gli URL

Elimina le debolezze delle credenziali

Secondo la nota CISA AA23-278A, le credenziali di default restano una delle configurazioni errate più sfruttate.

  • Inventaria tutti i sistemi e verifica che le password di default siano state cambiate, in particolare su sistemi di backup, gateway VPN e portali amministrativi
  • Richiedi MFA su accesso VPN, portali amministrativi, servizi cloud ed email. La violazione di Change Healthcare ha sfruttato un singolo account senza MFA, colpendo infine circa 190 milioni di individui.
  • Implementa la gestione degli accessi privilegiati (PAM) per gli account amministrativi
  • Imponi password di almeno 15 caratteri per gli account di servizio

Limita il movimento laterale

  • Segmenta la rete in base a funzione e sensibilità dei dati
  • La StopRansomware Guide di CISA raccomanda di configurare i sistemi Windows per richiedere IPsec basato su Kerberos per le comunicazioni SMB laterali
  • Disabilita LLMNR, NetBIOS e WPAD per prevenire l'intercettazione delle credenziali
  • Limita l'uso degli account amministrativi locali sulle workstation

Proteggi l'infrastruttura di backup

  • Mantieni backup offline e cifrati isolati dalla rete
  • Conserva le credenziali di backup separatamente dall'Active Directory di produzione
  • Testa le procedure di  ripristino da ransomware ogni trimestre per verificare la capacità di recupero
  • Implementa storage di backup immutabile che impedisca eliminazione o modifica

Anche con una prevenzione solida, gli incidenti possono comunque verificarsi. Disporre di un piano di risposta chiaro determina se riuscirai a contenere rapidamente un attacco o subirai una prolungata interruzione operativa.

Fasi di risposta agli incidenti di estorsione informatica

Quando scopri un attacco di estorsione informatica, la risposta nelle prime ore determina se gli aggressori raggiungeranno i loro obiettivi. Segui questi passaggi sulla base della  checklist CISA sul ransomware:

  1. Isola immediatamente i sistemi compromessi. Disconnetti i sistemi compromessi dalla rete ma lasciali accesi. L'isolamento di rete previene il movimento laterale e ulteriore cifratura. Mantenere i sistemi accesi preserva la memoria volatile contenente artefatti forensi.
  2. Attiva il tuo team di risposta. Contatta contemporaneamente il reparto IT, il fornitore di servizi di sicurezza gestiti, la compagnia assicurativa cyber e i responsabili di reparto. Non aspettare di completare l'indagine prima di coinvolgere le risorse.
  3. Determina l'estensione della compromissione. Identifica quali sistemi sono cifrati, quali account sono compromessi e se i dati sono stati esfiltrati. Valuta il traffico di rete in uscita per grandi trasferimenti di dati verso servizi di storage cloud.
  4. Preserva le prove forensi. Immagina i sistemi compromessi prima della bonifica per supportare le indagini delle forze dell'ordine e le richieste assicurative. Documenta la timeline dell'attacco, le richieste di riscatto e ogni comunicazione con gli aggressori.
  5. Coinvolgi le risorse federali. Secondo la  StopRansomware Guide di CISA, la risposta federale include assistenza tecnica, identificazione di altre entità a rischio e indicazioni sulle risorse di recupero. Segnala gli incidenti all'IC3 dell'FBI e a CISA.
  6. Esegui le procedure di ripristino. Ripristina i sistemi da backup noti come puliti dopo averne verificato l'integrità. Ricostruisci i sistemi compromessi invece di rimuovere semplicemente il malware. Cambia tutte le credenziali che potrebbero essere state esposte.

Anche con una risposta efficace, le organizzazioni affrontano sfide persistenti nella difesa contro le campagne di estorsione informatica.

Sfide e limiti nella difesa contro l'estorsione informatica

Le architetture di sicurezza tradizionali faticano ad affrontare le sfide strutturali poste dall'estorsione informatica. Le organizzazioni non applicano ripetutamente le patch di sicurezza alle infrastrutture critiche, in particolare ai sistemi di backup e ripristino. Gli aggressori prendono di mira specificamente i sistemi di backup prima di cifrare i dati di produzione, eliminando le opzioni di recupero.

La nota CISA su Play ransomware documenta lo sfruttamento sistematico di configurazioni errate di Active Directory. Gli aggressori utilizzano AdFind per la ricognizione, PsExec per il movimento laterale e Cobalt Strike per comunicazioni di comando e controllo persistenti. Anche i tuoi sistemi di sicurezza incontrano difficoltà nell'individuare le minacce durante sequenze di attacco prolungate, poiché gli operatori di Play ransomware ricompilano il malware in modo univoco per ogni attacco per complicarne l'identificazione.

Affrontare queste sfide richiede di evitare gli errori comuni che consentono il successo delle campagne di estorsione.

Errori comuni nell'estorsione informatica

  • Ritardare le azioni di contenimento: Scopri attività sospette ma ritardi l'implementazione delle misure di isolamento durante l'indagine, consentendo al ransomware di diffondersi lateralmente. La checklist CISA sul ransomware sottolinea che devi isolare immediatamente i sistemi compromessi mantenendoli accesi per la conservazione forense.
  • Non monitorare l'esfiltrazione dei dati: Gli strumenti di sicurezza segnalano l'esecuzione di malware ma non rilevano settimane di esfiltrazione dati precedente. Secondo la guida CISA sulla risposta al ransomware, devi monitorare Rclone, Rsync, servizi di storage file web e FTP/SFTP. Le piattaforme di sicurezza avanzate individuano gli strumenti di esfiltrazione dal loro comportamento: processi che accedono a migliaia di file, comprimono dati e avviano connessioni in uscita verso storage cloud.
  • Utilizzo di credenziali di default su sistemi critici: Secondo la nota CISA AA23-278A, le credenziali di default restano una delle configurazioni errate più sfruttate, in particolare su sistemi di backup, gateway VPN e portali amministrativi.

Questi errori sono evitabili. Le agenzie governative forniscono indicazioni specifiche che affrontano direttamente ogni vulnerabilità sfruttata dagli aggressori.

Best practice per l'estorsione informatica

Le agenzie governative forniscono indicazioni specifiche per la prevenzione e la risposta all'estorsione informatica:

  • Implementa l'autenticazione a più fattori in modo universale. La  StopRansomware Guide congiunta CISA/FBI/NSA impone MFA per tutti i servizi, in particolare webmail, VPN e accesso ai sistemi critici.
  • Configura Kerberos-IPsec per le comunicazioni SMB. La StopRansomware Guide di CISA raccomanda di richiedere IPsec basato su Kerberos per le comunicazioni SMB laterali per impedire agli aggressori di accedere a sistemi esterni al tuo dominio Active Directory.
  • Mantieni backup cifrati offline. Le  linee guida congiunte CISA/FBI/NSA specificano che i backup devono essere isolati dalla rete e cifrati.
  • Monitora gli strumenti di esfiltrazione dati. Secondo la guida CISA sul ransomware, monitora Rclone, Rsync, servizi di storage file web e FTP/SFTP.
  • Scopri i dispositivi non gestiti. Utilizza la scoperta continua degli asset per individuare dispositivi non gestiti e shadow IT che potrebbero contenere credenziali di default.
  • Coinvolgi proattivamente le risorse federali. La risposta federale include assistenza tecnica, identificazione di altre entità a rischio e indicazioni sulle risorse di recupero.

Seguire queste pratiche rafforza le difese di base. Gli incidenti recenti dimostrano cosa accade quando le organizzazioni non le implementano.

Esempi reali di incidenti di estorsione informatica

Le campagne recenti di estorsione informatica dimostrano come gli aggressori combinino più tattiche per massimizzare la pressione sulle vittime.

  1. Change Healthcare (febbraio 2024): Il gruppo BlackCat (ALPHV) ha infiltrato Change Healthcare sfruttando un singolo account senza MFA. Gli aggressori hanno esfiltrato dati sensibili e distribuito ransomware che ha bloccato pagamenti elettronici e gestione delle richieste mediche a livello nazionale. Secondo il  portale delle violazioni dell'HHS Office for Civil Rights, la violazione ha colpito circa 190 milioni di individui, rendendola la più grande violazione di dati sanitari nella storia degli Stati Uniti. L'incidente ha dimostrato come una singola debolezza nelle credenziali possa causare una interruzione operativa a livello nazionale.
  2. Synnovis-NHS (giugno 2024): Il gruppo ransomware Qilin ha attaccato Synnovis, fornitore NHS di patologia, costringendo gli ospedali di Londra a rinviare oltre mille interventi programmati e migliaia di appuntamenti ambulatoriali. Trasfusioni di sangue, risultati di test e trattamenti oncologici sono stati ritardati. Gli aggressori hanno rubato dati sensibili e richiesto un pagamento, pubblicando i dati rubati quando le negoziazioni sono fallite. L'attacco ha dimostrato come le compromissioni di terze parti impattino direttamente l'erogazione di servizi sanitari critici.
  3. Violazioni clienti Snowflake (maggio 2024): Gli hacker hanno sfruttato credenziali compromesse per accedere alla piattaforma cloud dati Snowflake, colpendo oltre 100 clienti tra cui grandi aziende. Gli aggressori hanno esfiltrato grandi volumi di dati dei clienti e utilizzato tattiche di estorsione, richiedendo riscatti alle aziende coinvolte per evitare la pubblicazione dei dati. L'incidente ha evidenziato i rischi della supply chain quando gli aggressori prendono di mira fornitori di infrastrutture condivise.
  4. Blue Yonder (novembre 2024): Il gruppo ransomware Termite ha preso di mira Blue Yonder, importante fornitore di software per la supply chain, interrompendo i servizi per migliaia di clienti aziendali. Termite ha utilizzato tattiche di doppia estorsione, cifrando i sistemi e minacciando la pubblicazione dei dati rubati. L'attacco ha dimostrato come le compromissioni della supply chain amplifichino l'impatto su più organizzazioni contemporaneamente.

Questi incidenti condividono elementi comuni: presenza prolungata degli aggressori prima della cifratura, sfruttamento di debolezze nelle credenziali o vulnerabilità non patchate e tattiche di pressione multilivello. Le organizzazioni dotate di piattaforme di sicurezza in grado di individuare la ricognizione e correlare gli indicatori di attacco possono interrompere queste campagne prima che raggiungano la fase di cifratura.

Difendi la tua organizzazione dall'estorsione informatica con SentinelOne

L'aumento del 134% delle segnalazioni di estorsione conferma che gli attori delle minacce sono passati a campagne multi-fase. La catena d'attacco estesa significa che hai molteplici opportunità per fermare gli attacchi prima che arrivino le richieste di riscatto. La Singularity Platform di SentinelOne affronta ogni fase dell'attacco con funzionalità progettate per interrompere la catena di estorsione prima dell'inizio della cifratura.

Singularity XDR individua i pattern di ricognizione correlando le query AdFind sui controller di dominio, i processi padre che avviano strumenti di enumerazione e gli indirizzi IP esterni che ricevono i risultati. Purple AI accelera le indagini accettando query in linguaggio naturale come "mostrami tutti i sistemi a cui questo account compromesso ha avuto accesso nelle ultime 72 ore". Purple AI riduce i tempi di indagine fino all'80%, consentendo al tuo team di fermare l'esfiltrazione dei dati prima della distribuzione della cifratura.

Storyline ricostruisce l'intera catena d'attacco correlando esecuzioni di processi, modifiche ai file e connessioni di rete in timeline unificate. Nelle valutazioni MITRE ATT&CK, la Singularity Platform ha generato l'88% di alert in meno rispetto ai concorrenti: solo 12 alert contro 178.000 di altre piattaforme.

Ranger fornisce una scoperta continua degli asset per individuare dispositivi non gestiti e shadow IT che potrebbero contenere credenziali di default. Secondo la nota CISA AA23-278A, gli attori malevoli abusano regolarmente delle credenziali di default su gateway VPN e portali amministrativi.

Prenota una demo di SentinelOne per provare queste funzionalità nel tuo ambiente.

Punti chiave

L'estorsione informatica si è evoluta dal semplice ransomware a campagne multi-fase che combinano furto di dati, attacchi DDoS e targeting della supply chain. L'FBI ha documentato un aumento del 134% delle segnalazioni di estorsione nel 2024, con aggressori che trascorrono giorni o settimane all'interno delle reti prima di distribuire la cifratura. Questa tempistica estesa crea molteplici finestre difensive in cui puoi fermare gli attacchi durante la ricognizione, il furto di credenziali o l'esfiltrazione dei dati.

Difendersi da queste campagne richiede di passare dal rilevamento del malware al momento della cifratura all'individuazione del comportamento degli aggressori giorni prima. Singularity XDR correla i pattern di ricognizione, Purple AI accelera le indagini con query in linguaggio naturale, Storyline ricostruisce l'intera catena d'attacco e Ranger scopre gli asset non gestiti prima che vengano sfruttati dagli aggressori.

Domande frequenti

L'estorsione informatica è una categoria di crimine informatico in cui gli attaccanti compromettono sistemi o rubano dati, poi richiedono un pagamento per evitare danni. A differenza del semplice furto, l'estorsione informatica comporta minacce continue: pagare o affrontare cifratura, pubblicazione dei dati o interruzione operativa. 

La difesa richiede capacità che spaziano dalla prevenzione, identificazione e risposta.

Gli estorsori informatici selezionano le vittime in base al fatturato, alla capacità di pagamento, alla sensibilità dei dati, allo status di infrastruttura critica e alla copertura di assicurazione informatica. I settori più colpiti sono manifatturiero, servizi finanziari e sanitario. 

Gli aggressori prendono di mira anche organizzazioni con urgenze operative, inclusi ospedali che non possono ritardare l’assistenza ai pazienti e aziende manifatturiere con programmi di produzione just-in-time.

Gli attacchi di cyber estorsione sfruttano specifiche lacune di sicurezza. Secondo l’avviso di CISA sulle configurazioni errate in ambito cyber, gli attaccanti sfruttano vulnerabilità non corrette e abusano delle credenziali predefinite per VPN e accessi amministrativi. 

I programmi di cybersecurity efficaci affrontano questi vettori di attacco tramite patching tempestivo, gestione delle credenziali e monitoraggio della sicurezza.

Il ransomware tradizionale cifra i dati e richiede un pagamento per le chiavi di decrittazione. L'estorsione informatica moderna sovrappone più tattiche di pressione: furto di dati con minacce di pubblicazione, attacchi DDoS durante le trattative e targeting della supply chain. Ogni tattica aggiuntiva aumenta la pressione sulla vittima affinché paghi.

CISA consiglia esplicitamente di non pagare i riscatti perché il pagamento non garantisce la decrittazione né che gli attaccanti si astengano dal divulgare i dati rubati. 

Molte vittime che hanno pagato hanno subito attacchi ripetuti o decrittazione incompleta. Concentrarsi invece sul ripristino da backup e sull'indagine forense.

Le indagini dell'FBI documentano che attori delle minacce sofisticati trascorrono giorni o settimane all'interno delle reti prima di distribuire il ransomware. L'analisi Play ransomware di CISA mostra attaccanti che eseguono ricognizione Active Directory, mappano l'infrastruttura di backup ed esfiltrano dati per periodi prolungati prima della cifratura.

I settori critici tra cui manifatturiero, sanitario, energetico, trasporti e servizi finanziari sono colpiti in modo sproporzionato. 

Gli attaccanti selezionano i bersagli in base a fatturato, capacità di pagamento, sensibilità dei dati, status di infrastruttura critica e copertura assicurativa cyber.

La checklist ransomware di CISA impone di isolare immediatamente i sistemi compromessi dalla rete mantenendoli accesi per preservare le prove forensi. Contattare contemporaneamente il reparto IT, il fornitore di servizi di sicurezza gestiti, la compagnia assicurativa cyber e i responsabili di reparto.

Scopri di più su Informazioni sulle minacce

Che cos'è il malware polimorfico? Esempi e sfideInformazioni sulle minacce

Che cos'è il malware polimorfico? Esempi e sfide

Il malware polimorfico modifica il proprio codice per eludere il rilevamento. Comprendere le sue caratteristiche e come proteggersi da questa minaccia adattiva.

Per saperne di più
Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzioneInformazioni sulle minacce

Che cos'è l'adware? Suggerimenti per il rilevamento e la prevenzione

Questa guida approfondita spiega cos'è l'adware, fornendo definizioni, vie di infezione, metodi di rilevamento e consigli di prevenzione. Impara a rimuovere gli adware, proteggere i dispositivi e difendere le aziende dalle minacce degli adware.

Per saperne di più
Cosa sono gli indicatori di compromissione (IoC)?Informazioni sulle minacce

Cosa sono gli indicatori di compromissione (IoC)?

Gli indicatori di compromissione (IOC) aiutano a identificare le violazioni della sicurezza. Scopri come utilizzare gli IOC per un rilevamento e una risposta efficaci alle minacce.

Per saperne di più
Che cos'è un exploit nella sicurezza informatica?Informazioni sulle minacce

Che cos'è un exploit nella sicurezza informatica?

Comprendere e difendersi dagli exploit è fondamentale. Esplora i diversi tipi di exploit e le misure pratiche che puoi adottare per proteggere i tuoi sistemi da potenziali minacce.

Per saperne di più
Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Siete pronti a rivoluzionare le vostre operazioni di sicurezza?

Scoprite come SentinelOne AI SIEM può trasformare il vostro SOC in una centrale elettrica autonoma. Contattateci oggi stesso per una demo personalizzata e per vedere il futuro della sicurezza in azione.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano