Lingua
ENUKESFRDEITPTPLROCSSKHUNLTR
← Torna al blog

Cos'è il ransomware e come funziona?

__Cybersecurity17 marzo 2026·8 minuti di lettura

Immagina di accendere il computer e di vedere un messaggio: "Tutti i tuoi file sono stati crittografati. Paga $ 5.000 in Bitcoin entro 72 ore o i tuoi dati verranno eliminati definitivamente." Questo è ransomware ed è una delle minacce informatiche più devastanti del nostro tempo.

Nel 2025, gli attacchi ransomware hanno causato oltre 30 miliardi di dollari di danni in tutto il mondo. Gli ospedali furono costretti a respingere i pazienti. Le scuole hanno perso anni di record. Le piccole imprese hanno chiuso definitivamente. Nessuno è immune.

Come funziona il ransomware: passo dopo passo

Fase 1: Infezione

Il ransomware entra nel tuo sistema attraverso uno di questi vettori:

  • E-mail di phishing: un'e-mail convincente con un allegato o un collegamento dannoso (più comune, ~70% dei casi)
  • Vulnerabilità sfruttate: software senza patch con buchi di sicurezza noti
  • Remote Desktop Protocol (RDP): forzatura bruta di password deboli su server RDP esposti
  • Siti Web compromessi: download drive-by da siti legittimi infetti
  • __Unità USB: dispositivi USB infetti lasciati in luoghi pubblici

    • Fase 2: Esecuzione e persistenza

    Una volta dentro, il ransomware:

  • Disabilita antivirus e strumenti di sicurezza
  • Stabilisce la persistenza (sopravvive ai riavvii)
  • Si diffonde ad altri dispositivi sulla rete
  • Identifica ed elimina le copie di backup (copie shadow su Windows)
  • Comunica con il server dei comandi dell'aggressore per ricevere le chiavi di crittografia

    • Fase 3: crittografia

    Il ransomware crittografa i tuoi file utilizzando la crittografia di livello militare (tipicamente AES-256). Prende di mira documenti, foto, database e backup. La chiave di crittografia è archiviata solo sul server dell'aggressore.

    Il ransomware moderno crittografa i file selettivamente: salta i file di sistema in modo che il computer si avvii comunque e tu possa vedere la richiesta di riscatto.

    Fase 4: richiesta di riscatto

    Appare una nota che richiede il pagamento in criptovaluta (solitamente Bitcoin o Monero). Le richieste vanno da 500 dollari per i privati ​​a milioni per le organizzazioni. Un timer per il conto alla rovescia crea urgenza.

    Doppia e tripla estorsione

    Le moderne bande di ransomware non si limitano a crittografare, ma rubano prima i tuoi dati. Se rifiuti di pagare per la decrittazione, minacciano di pubblicare online i tuoi file sensibili. Questa è una "doppia estorsione".

    La "tripla estorsione" aggiunge un attacco DDoS contro la tua organizzazione mentre stai tentando di recuperare e contatti i tuoi clienti o partner per spingerti a pagare.

    5 I più grandi attacchi ransomware della storia

  • __WannaCry (2017) — ha infettato oltre 200.000 computer in 150 paesi in poche ore, paralizzando il sistema sanitario sanitario del Regno Unito
  • NotPetya (2017) — ha causato danni per 10 miliardi di dollari, colpendo principalmente l'Ucraina ma diffondendosi a livello globale
  • Colonial Pipeline (2021) — ha chiuso il più grande gasdotto degli Stati Uniti, causando penuria di gas lungo la costa orientale
  • Kaseya (2021) — attacco alla catena di fornitura che colpisce oltre 1.500 aziende attraverso un unico fornitore di software
  • MOVEit (2023) — ha sfruttato uno strumento di trasferimento file utilizzato da governi e aziende, colpendo oltre 60 milioni di persone

    • Come proteggersi

    Per individui

  • __Esegui il backup regolarmente: Segui la regola 3-2-1: 3 copie, 2 supporti diversi, 1 fuori sede. Mantieni almeno un backup disconnesso.
  • Aggiorna tutto: Abilita gli aggiornamenti automatici per il tuo sistema operativo, il browser e tutte le applicazioni.
  • __Utilizza password complesse: Genera password univoche con un generatore di password per ogni account.
  • __Abilita 2FA: Anche se la tua password è compromessa, autenticazione a due fattori impedisce l'accesso non autorizzato.
  • __Sii cauto con le email: Non aprire mai allegati inattesi. Verifica i mittenti tramite un canale diverso.

    • Per organizzazioni

  • __Segmenta la tua rete: Limita i movimenti laterali in modo che il ransomware non possa diffondersi a tutti i sistemi.
  • Disabilita RDP: Se è necessario l'accesso remoto, utilizzare una VPN con MFA.
  • __Formare i dipendenti: Simulazioni regolari di phishing e formazione sulla sensibilizzazione alla sicurezza.
  • __Implementa EDR: Gli strumenti di rilevamento e risposta degli endpoint possono rilevare il comportamento del ransomware prima che la crittografia venga completata.
  • __Testa i tuoi backup: Verifica regolarmente che i backup possano effettivamente essere ripristinati.

    • Cosa fare se sei infetto

  • __Disconnetti immediatamente: scollega il dispositivo infetto dalla rete per impedirne la diffusione
  • Non pagare — solo il 65% delle vittime che pagano recuperano i propri dati
  • __Segnala: contatta le forze dell'ordine (FBI IC3 negli Stati Uniti, Action Fraud nel Regno Unito)
  • __Check No More Ransom: il progetto su nomoreransom.org dispone di strumenti di decrittazione gratuiti per molte varianti di ransomware
  • Ripristina dai backup: cancella il sistema infetto e ripristina backup puliti

    • FAQ

    Devo pagare il riscatto del ransomware?

    Le forze dell'ordine sconsigliano universalmente di pagare. Solo il 65% delle vittime che pagano recupera effettivamente i propri dati e il pagamento incoraggia ulteriori attacchi. Concentrati invece sulla prevenzione e sui backup.

    Il ransomware può diffondersi tramite e-mail?

    Sì, l'e-mail è il metodo di consegna più comune. Il ransomware è generalmente nascosto negli allegati (documenti Word con macro, PDF, file ZIP) o distribuito tramite collegamenti a siti Web dannosi.

    Il software antivirus può fermare il ransomware?

    I moderni antivirus sono in grado di rilevare le varianti di ransomware conosciute, ma ogni giorno vengono creati nuovi ceppi. Le funzionalità anti-ransomware che rilevano comportamenti sospetti di crittografia dei file forniscono una protezione migliore rispetto al solo rilevamento basato sulla firma.

    Il ransomware può infettare il mio telefono?

    Sì, il ransomware mobile esiste, anche se è meno comune. In genere blocca lo schermo anziché crittografare i file. Resta negli app store ufficiali e mantieni aggiornato il tuo telefono.

    Strumenti correlati

  • __Generatore di password: impedisce punti di ingresso a forza bruta
  • Anatomia di un attacco di phishing: riconosce il metodo di distribuzione del ransomware n. 1