Ransomware

Il ransomware è un tipo di malware che impedisce l'accesso ai file o al dispositivo richiedendo un pagamento per sbloccarli. Gli attacchi di ransomware colpiscono aziende, organizzazioni e individui.

Antivirus gratuito

Punti chiave

  • Il ransomware è un tipo di malware che impedisce agli utenti di accedere al proprio sistema o ai propri file personali fino al pagamento di un riscatto. Da qui il nome «ransomware».
  • Nel 2023 i pagamenti per il ransomware hanno superato per la prima volta il miliardo di dollari all'anno , mentre l'importo medio del riscatto è salito a 620.000 dollari.
  • Nel 2024, Threatdown un aumento del 63% degli attacchi ransomware negli Stati Uniti e un aumento del 67% nel Regno Unito. 
  • A partire dal 2026, gli hacker hanno migliorato la velocità e la discrezione dei propri attacchi grazie a nuove tattiche. 
  • Esistono diversi tipi di ransomware, come gli scareware, i programmi che bloccano lo schermo, i ransomware a crittografia e altri ancora.
  • Gli attacchi ransomware colpiscono le aziende, ma anche i singoli consumatori ne sono vittime.

Che cos'è il ransomware?

Definizione di ransomware

Il malware di riscatto, o ransomware, è un tipo di malware che impedisce agli utenti di accedere al loro sistema o ai loro file personali e richiede un pagamento di riscatto per riottenere l'accesso. Mentre alcuni potrebbero pensare "un virus ha bloccato il mio computer", il ransomware viene generalmente classificato come un diverso tipo di malware rispetto a un virus.

Le prime varianti di ransomware sono state sviluppate alla fine degli anni '80 e il pagamento doveva essere inviato tramite posta ordinaria. Oggi, gli autori di ransomware ordinano che il pagamento venga inviato tramite criptovaluta o carta di credito e gli aggressori prendono di mira individui, aziende e organizzazioni di ogni tipo. Alcuni autori di ransomware vendono il servizio ad altri criminali informatici, il che è noto come Ransomware-as-a-Service o RaaS.

Attacchi ransomware

Come fa esattamente un attore delle minacce a portare a termine un attacco ransomware? Innanzitutto, deve ottenere l'accesso a un dispositivo o a una rete. L'accesso consente di utilizzare il malware necessario per crittografare o bloccare il dispositivo e i dati. Esistono diversi modi in cui il ransomware può infettare il vostro computer

Come si fa a prendere un ransomware?

  • Malspam: Per ottenere l'accesso, alcuni attori delle minacce utilizzano lo spam, che consiste nell'inviare un'e-mail con un allegato dannoso al maggior numero possibile di persone, per vedere chi apre l'allegato e "abbocca", per così dire. Lo spam dannoso, o malspam, è un'e-mail non richiesta che viene utilizzata per trasmettere malware. L'e-mail può contenere allegati con trappole esplosive, come PDF o documenti Word. Può anche contenere link a siti web dannosi.
  • Malvertising: Un altro metodo di infezione molto diffuso è il malvertising. Il malvertising, o pubblicità dannosa, è l'uso della pubblicità online per distribuire malware senza che sia necessaria alcuna interazione da parte dell'utente. Durante la navigazione in rete, anche su siti legittimi, gli utenti possono essere indirizzati a server criminali senza mai cliccare su un annuncio. Questi server catalogano i dettagli sui computer delle vittime e sulla loro posizione, per poi selezionare il malware più adatto da distribuire. Spesso questo malware è un ransomware. Il malvertising spesso utilizza un iframe infetto, o un elemento invisibile della pagina web, per svolgere il suo lavoro. L'iframe reindirizza a una landing page di exploit e il codice dannoso attacca il sistema dalla landing page tramite un kit di exploit. Tutto questo avviene all'insaputa dell'utente, motivo per cui viene spesso definito download.
  • Spear phishing: un mezzo più mirato per un attacco ransomware è lo spearphishing. Un esempio di spear phishing è l'invio di e-mail ai dipendenti di una certa azienda, sostenendo che l'amministratore delegato chiede di partecipare a un importante sondaggio tra i dipendenti o che l'ufficio risorse umane richiede di download e leggere una nuova politica. Il termine "whaling" viene utilizzato per descrivere questi metodi mirati ai responsabili decisionali di alto livello di un'organizzazione, come l'amministratore delegato o altri dirigenti.
  • Ingegneria sociale: Malspam, malvertising e spear phishing possono, e spesso lo fanno, contenere elementi di ingegneria sociale. Gli attori delle minacce possono utilizzare l'ingegneria sociale per indurre le persone ad aprire gli allegati o a fare clic sui link apparendo come legittimi, sia che si tratti di un'istituzione fidata o di un amico. I criminali informatici utilizzano l'ingegneria sociale in altri tipi di attacchi ransomware, ad esempio fingendosi l'FBI per spaventare gli utenti e convincerli a pagare una somma di denaro per sbloccare i loro file. Un altro esempio di social engineering è quello di un attore che raccoglie informazioni dai profili pubblici dei social media dell'utente sui suoi interessi, sui luoghi che visita spesso, sul suo lavoro, ecc. e utilizza alcune di queste informazioni per inviare un messaggio che gli sembra familiare, sperando che l'utente faccia clic prima di rendersi conto che non è legittimo. 
Infografica su malvertising e ransomware.

Crittografia dei file e richiesta di riscatto

Qualunque sia il metodo utilizzato dall'attore della minaccia, una volta ottenuto l'accesso e il software ransomware (in genere attivato dalla vittima facendo clic su un link o aprendo un allegato) cripta i file o i dati dell'utente in modo da impedirne l'accesso, viene visualizzato un messaggio che richiede il pagamento di un riscatto per ripristinare quanto sottratto. Spesso l'aggressore richiede il pagamento tramite criptovaluta.

Tipi di ransomware

I tre tipi principali di ransomware sono gli scareware, gli screen locker e i ransomware crittografici:

  • Scareware: Lo scareware, a quanto pare, non è poi così spaventoso. Si tratta di software di sicurezza non funzionanti e di truffe a danno dell'assistenza tecnica. Potreste ricevere un messaggio pop-up in cui si afferma che è stato scoperto del malware e che l'unico modo per liberarsene è pagare. Se non fate nulla, probabilmente continuerete a essere bombardati da pop-up, ma i vostri file sono sostanzialmente al sicuro. Un software di sicurezza informatica legittimo non solleciterebbe i clienti in questo modo. Se non avete già il software di questa azienda sul vostro computer, allora non vi starebbe monitorando per individuare eventuali infezioni da ransomware. Se si dispone di un software di sicurezza, non è necessario pagare per rimuovere l'infezione: il software è già stato pagato per svolgere questo compito.
  • Blocca schermo: Passate all'allerta terrorismo arancione per questi tipi. Quando un ransomware blocca-schermo entra nel vostro computer, significa che siete completamente bloccati fuori dal vostro PC. All'avvio del computer, viene visualizzata una finestra a grandezza naturale, spesso accompagnata da un sigillo ufficiale dell'FBI o del Dipartimento di Giustizia degli Stati Uniti, che indica che è stata rilevata un'attività illegale sul computer e che è necessario pagare una multa. Tuttavia, l'FBI non vi bloccherebbe il computer né vi chiederebbe un pagamento per attività illegali. Se si sospettasse di pirateria, pornografia infantile o altri crimini informatici, si procederebbe attraverso i canali legali appropriati.
  • Ransomware di criptaggio: questo è il tipo veramente pericoloso. Sono quelli che prendono i tuoi file e li criptano, chiedendo un pagamento per decriptarli e restituirteli. La ragione per cui questo tipo di ransomware è così pericoloso è che una volta che i cybercriminali hanno i tuoi file, nessun software di sicurezza o ripristino del sistema può restituirveli. A meno che non paghi il riscatto, per la maggior parte sono persi. E anche se paghi, non c'è garanzia che i cybercriminali ti ridaranno quei file.

Ransomware Mac

Scopri KeRanger, il primo vero ransomware per Mac.

Gli autori di malware per Mac non sono stati da meno nel gioco del ransomware, introducendo nel 2016 il primo ransomware per Mac OS chiamato KeRanger. Questo ransomware infettava un'app chiamata Transmission che, una volta lanciata, copiava file dannosi che continuavano a funzionare silenziosamente in background per tre giorni fino a quando non si attivavano ed encriptavano i file. Fortunatamente, il programma anti-malware integrato di Apple, XProtect, ha rilasciato un aggiornamento subito dopo la scoperta del ransomware che lo bloccava dall'infezione dei sistemi degli utenti. Tuttavia, il ransomware per Mac non è più solo teorico. 

Dopo KeRanger ci furono Findzip e MacRansom, entrambi scoperti nel 2017. Più di recente, nel 2020, c'è stato quello che sembrava un ransomware, ThiefQuest, noto anche come EvilQuest, ma si è rivelato essere in realtà un "wiper". Fingeva di essere un ransomware per coprire il fatto che stava estraendo tutti i tuoi dati, e sebbene criptasse i file, non aveva mai un modo per decriptarli o per contattare il gruppo per i pagamenti. 

Ransomware mobile

Non è stato fino all'apice dei famosi CryptoLocker e altre famiglie simili nel 2014 che il ransomware è stato visto su larga scala su dispositivi mobili. Il ransomware mobile mostra generalmente un messaggio che il dispositivo è stato bloccato a causa di un'attività illegale. Il messaggio afferma che il telefono sarà sbloccato dopo il pagamento di una tariffa. Il ransomware mobile viene spesso distribuito tramite app dannose e richiede che si avvii il telefono in modalità sicura e si elimini l'app infetta per recuperare l'accesso al dispositivo mobile.

Come posso rimuovere il ransomware?

Si dice che un grammo di prevenzione vale un chilo di cura. Questo è certamente vero quando si tratta di ransomware. Se un utente malintenzionato cripta il vostro dispositivo e chiede un riscatto, non c'è alcuna garanzia che lo sbloccherà, sia che paghiate o meno.

Ecco perché è fondamentale essere preparati prima di essere colpiti da un ransomware. Due passi fondamentali da compiere sono:

  • Installate il software di sicurezza prima di essere colpiti dal ransomware
  • Eseguire il backup dei dati importanti (file, documenti, foto, video, ecc.).

Se vi ritrovate con un'infezione da ransomware, la regola numero uno è di non pagare mai il riscatto. (Ciò non fa altro che incoraggiare i criminali informatici a lanciare ulteriori attacchi contro di voi o contro qualcun altro. 

Un'opzione potenziale per la rimozione del ransomware è la possibilità di recuperare alcuni file crittografati utilizzando decrittatori gratuiti. Per essere chiari: non per tutte le famiglie di ransomware sono stati creati dei decrittatori, in molti casi perché il ransomware utilizza algoritmi di crittografia avanzati e sofisticati.

E anche se esiste un decriptatore, non è sempre chiaro se si tratti della versione giusta del malware. Non si vuole criptare ulteriormente i propri file utilizzando lo script di decriptazione sbagliato. Pertanto, dovrete prestare molta attenzione al messaggio di riscatto stesso, o forse chiedere il parere di uno specialista di sicurezza/informatica prima di tentare qualsiasi cosa.

Altri modi per affrontare un'infezione da ransomware sono scaricare un prodotto di sicurezza noto per la bonifica ed eseguire una scansione per rimuovere la minaccia. Forse non riavrete i vostri file, ma potrete essere certi che l'infezione verrà ripulita. Per il ransomware screenlocking, potrebbe essere necessario un ripristino completo del sistema. Se non funziona, si può provare a eseguire una scansione da un CD o da un'unità USB avviabile.

Se volete provare a sventare un'infezione da ransomware crittografico in azione, dovrete rimanere particolarmente vigili. Se notate che il vostro sistema rallenta apparentemente senza motivo, spegnetelo e scollegatelo da Internet. Se, una volta riavviato, il malware è ancora attivo, non sarà in grado di inviare o ricevere istruzioni dal server di comando e controllo. Ciò significa che senza una chiave o un modo per estrarre il pagamento, il malware potrebbe rimanere inattivo. A questo punto, download e installate un prodotto di sicurezza ed eseguite una scansione completa.

Tuttavia, queste opzioni per la rimozione del ransomware non funzionano in tutti i casi. Come già detto, i consumatori devono difendersi in modo proattivo dai ransomware installando un software di sicurezza come Malwarebytes Premiume facendo il backup di tutti i dati importanti. Per le aziende, è bene saperne di più sulle soluzioni aziendali Malwarebytes che includono il rilevamento, la prevenzione e il rollback dei ransomware

Come posso proteggermi dal ransomware?

Gli esperti di sicurezza concordano sul fatto che il modo migliore per proteggersi dai ransomware è quello di evitare che si verifichino in primo luogo.


Leggi i modi migliori per prevenire un'infezione da ransomware.

Leggi i modi migliori per prevenire un'infezione da ransomware.

Sebbene esistano metodi per affrontare un'infezione da ransomware, si tratta di soluzioni imperfette e spesso richiedono competenze tecniche molto superiori a quelle dell'utente medio. Ecco quindi cosa consigliamo di fare per evitare le conseguenze degli attacchi ransomware.

Il primo passo per prevenire il ransomware è investire in un programma di cybersicurezza eccellente, con una protezione in tempo reale progettata per contrastare gli attacchi malware avanzati come il ransomware. Dovreste anche cercare funzioni che proteggano i programmi vulnerabili dalle minacce (una tecnologia anti-exploit) e che blocchino il ransomware dal tenere in ostaggio i file (un componente anti-ransomware ). I clienti che hanno utilizzato la versione premium di Malwarebytes per Windows, ad esempio, sono stati protetti da tutti i principali attacchi ransomware del 2017.

Successivamente, per quanto possa essere fastidioso, è necessario creare regolarmente backup sicuri dei propri dati. Il nostro consiglio è quello di utilizzare un servizio di archiviazione cloud che includa crittografia di alto livello e autenticazione a più fattori. Tuttavia, è possibile acquistare chiavette USB o un disco rigido esterno su cui salvare i file nuovi o aggiornati, assicurandosi di scollegare fisicamente i dispositivi dal computer dopo il backup, altrimenti anche questi potrebbero essere infettati dal ransomware.

Quindi, assicurati che i tuoi sistemi e software siano aggiornati. L'attacco ransomware di WannaCry ha sfruttato una vulnerabilità nel software Microsoft. Sebbene la compagnia avesse rilasciato una patch per la falla di sicurezza già a marzo 2017, molte persone non avevano installato l'aggiornamento—lasciandosi così aperte alle minacce. Comprendiamo che è difficile stare al passo con la lista sempre crescente di aggiornamenti dei vari software e applicazioni usati nella vita quotidiana. Ecco perché consigliamo di modificare le impostazioni per abilitare l'aggiornamento automatico.

Infine, resta informato. Uno dei modi più comuni con cui i computer vengono infettati dal ransomware è attraverso l'ingegneria sociale. Informati (e informa i tuoi dipendenti se sei un imprenditore) su come riconoscere malspam, siti sospetti e altre truffe. E soprattutto, usa il buon senso. Se sembra sospetto, probabilmente lo è.

Chi sono gli hackers?

Che cos'è lo scareware?

Che cos'è lo spyware?