Ransomware, l'evoluzione verso la multi-estorsione e le contromisure efficaci

in Article

Il ransomware ha superato il modello della sola cifratura: oggi prevale l’esfiltrazione dei dati con minaccia di pubblicazione. Analizziamo come si è trasformata la minaccia e quali controlli tecnici e organizzativi riducono concretamente il rischio.


Il ransomware resta una delle minacce più rilevanti per le organizzazioni, ma il modello operativo degli attaccanti è cambiato. La sola cifratura dei dati — contrastabile con backup adeguati — ha lasciato spazio a schemi di estorsione multipla, in cui la leva non è più solo la disponibilità delle informazioni, ma la loro riservatezza e l’esposizione reputazionale.

Dalla cifratura alla multi-estorsione

Nella doppia estorsione i dati vengono esfiltrati prima di essere cifrati: anche un ripristino completo da backup non elimina il rischio di pubblicazione delle informazioni sottratte. Con la tripla estorsione la pressione si estende a terzi — clienti, fornitori, soggetti interessati — oppure a tecniche accessorie come gli attacchi DDoS, usati per accelerare la trattativa.

Parallelamente si è consolidato il modello Ransomware-as-a-Service (RaaS), che separa chi sviluppa il malware da chi conduce l’attacco, abbassando la barriera d’ingresso e aumentando il volume delle campagne.

Vettori di accesso ricorrenti

Le compromissioni iniziali si concentrano su poche categorie ben note:

  • credenziali valide ottenute tramite phishing o acquistate da initial access broker;
  • servizi di accesso remoto esposti (VPN, RDP) privi di autenticazione a più fattori;
  • vulnerabilità note non ancora rimediate su sistemi perimetrali;
  • compromissione della catena di fornitura software.

Controlli che riducono il rischio

L’efficacia difensiva deriva dalla combinazione di più livelli, non da un singolo prodotto:

  • backup immutabili e offline secondo la logica 3-2-1, con test di ripristino periodici e verificati;
  • MFA resistente al phishing (token FIDO2/WebAuthn) su accessi remoti e privilegiati;
  • gestione delle vulnerabilità con prioritizzazione basata sull’effettiva esposizione;
  • segmentazione di rete e principio del privilegio minimo per limitare il movimento laterale;
  • rilevamento e risposta sugli endpoint (EDR/XDR) e raccolta centralizzata dei log;
  • un piano di risposta agli incidenti documentato e provato con esercitazioni.

La gestione dell’incidente

Il pagamento del riscatto non garantisce il recupero dei dati né impedisce la loro diffusione, e va valutato anche alla luce dei vincoli normativi e sanzionatori. La priorità operativa è disporre in anticipo di procedure di incident response, di backup verificati e di una catena di escalation chiara: è in fase di preparazione, non durante l’attacco, che si determina l’esito.

Riferimenti: Agenzia per la Cybersicurezza Nazionale