Redazione RHC : 24 Gennaio 2025 07:10
Milano, 23 gennaio 2025 – Trentacinque anni di ransomware. Un anniversario al quale nessuno avrebbe mai voluto assistere, dal momento che il “software malevolo” più famoso al mondo rappresenta forse la peggiore delle minacce nel campo della sicurezza informatica. Basti pensare che solo nel 2024 il ransomware ha causato perdite globali per 1,1 miliardi di dollari, e fra giugno 2023 e giugno 2024 ha costituito il 44% di tutti i casi segnalati da Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity. I settori più colpiti sono stati quello della Sanità, dell’Istruzione e dei Servizi finanziari, con un’attenzione particolare verso la produzione e le infrastrutture critiche.
Vale dunque la pena di analizzarne la storia, comprendere il suo pericoloso presente e identificare le strategie con cui le organizzazioni possono mitigare il suo impatto futuro.
Partiamo dalle origini: Il primo ransomware conosciuto al mondo potrebbe essere stato il Trojan AIDS, un floppy disk creato nel 1989 dal dottor Joseph L. Popp, il quale richiedeva alle proprie vittime un riscatto tramite corrispondenza in cambio dei dati rubati. Dopodiché il fenomeno si è allargato a macchia d’olio, sviluppandosi nel giro di 15 anni con una velocità decisamente superiore rispetto alle atre minacce informatica e diventando un business globale. Con il progressivo ampliamento delle reti informatiche, si arriva a un altro anniversario significativo: il GPCode, un allegato e-mail mascherato da offerta di lavoro che a partire dal 2004 colpisce numerose vittime, soprattutto in Russia. Pur basandosi su un ricatto finanziario relativamente semplice – la richiesta di acquistare carte regalo e condividere i codici – il GPCode può essere considerato la genesi del ransomware moderno così come lo conosciamo oggi.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La dipendenza di GPCode dalle carte regalo mette in evidenza una delle principali sfide del ransomware: occultare la tracciabilità del denaro. Con l’inizio del 2010, l’arrivo del bitcoin ha rappresentato la risposta ideale per i criminali informatici, offrendo un metodo di pagamento anonimo e quasi impossibile da tracciare.
Nel 2016, il ransomware SamSam ha segnato un punto di svolta, diventando il primo a colpire grandi aziende con richieste di riscatto che raggiungevano cifre a sette zeri. Poco dopo, sono nati i primi gruppi organizzati di criminali informatici, pronti a sfruttare al massimo questa nuova era del cybercrimine.
Oggi, i gruppi hacker si specializzano in settori specifici, come la sanità o i servizi finanziari. A partire dal 2019, con l’introduzione del ransomware Maze, alcune di queste organizzazioni hanno adottato nuove tattiche di estorsione: minacciare di rendere pubblici i dati esfiltrati qualora il riscatto non venga pagato. Gli obiettivi principali odierni sono le piccole imprese e le infrastrutture critiche, come i settori dell’acqua, dell’energia e dei trasporti: tutte realtà che, purtroppo, non dispongono delle tecnologie e delle risorse necessarie per fronteggiare l’aumento esponenziale delle minacce informatiche.
Il ransomware continua a evolversi: nell’ultimo trimestre, Cisco Talos ha rilevato numerose nuove varianti, continuando al contempo a rispondere alle minacce già note.
Nonostante il panorama odierno del ransomware possa sembrare preoccupante, con i criminali informatici che si uniscono in gruppi sempre più ampi e utilizzano tecnologie emergenti come l’intelligenza artificiale, esistono procedure e strategie che le aziende possono adottare per proteggersi in modo efficace.
Il ransomware ha un tallone d’Achille: il backup dei dati. In caso di attacco e crittografia dei dati, è possibile ripristinarli utilizzando la copia di backup. Allo stesso tempo, il rafforzamento delle difese software, i miglioramenti della rete e l’aggiornamento delle patch sono fondamentali, così come la segmentazione delle reti, che aiuta a limitare i danni in caso di intrusione.
Cisco è uno dei principali fornitori di sicurezza a livello mondiale, e le sue soluzioni di difesa informatica end-to-end, potenziate dall’intelligenza artificiale, coprono aree come la sicurezza di rete, endpoint, e-mail e molto altro. Inoltre, questi strumenti sono supportati dall’intelligence sulle minacce informatiche di Cisco Talos. Grazie al rilevamento avanzato e alla diagnosi precoce, Cisco è in grado di avvisare la comunità globale della sicurezza riguardo alle minacce emergenti e applicare patch senza che i malintenzionati se ne accorgano.
Oltre alla tecnologia, l’elemento umano è cruciale. Avere un piano d’azione pronto in caso di violazione è un altro fattore fondamentale. Il coordinamento e una risposta rapida tra i team possono fare la differenza tra un impatto devastante o limitato sulla produttività e sulla fiducia dei clienti. Con il rafforzamento delle difese, dei sistemi di rilevamento e delle risposte, gli attori del ransomware si affidano sempre più alla distrazione dei lavoratori. Grazie a modelli linguistici avanzati come ChatGPT, i criminali informatici riescono ora a infiltrarsi nelle reti con maggiore facilità, senza dover ricorrere al complesso lavoro dell’hacking tradizionale.
Sebbene il ransomware rappresenti una minaccia globale, non siamo impotenti. Rallentare la sua diffusione richiederà uno sforzo coordinato e una distribuzione più equa delle difese, al fine di proteggere le piccole imprese vulnerabili e le organizzazioni del settore pubblico.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
RedazioneIl traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
Gli aggressori stanno attivamente sfruttando una falla critica nel sistema di protezione delle applicazioni web FortiWeb (WAF) prodotto da Fortinet, che potrebbe essere utilizzata come mezzo per condu...
Su uno dei più noti forum russi per la compravendita di vulnerabilità e strumenti offensivi, il thread è arrivato come una normale inserzione commerciale, ma il contenuto è tutt’altro che banale...
Shanghai, 11 novembre 2025 – Un nuovo studio condotto dallo Shanghai Artificial Intelligence Laboratory, in collaborazione con la Shanghai Jiao Tong University, la Renmin University of China e la Pr...
