Cos'è il ransomware e come funziona
Il ransomware è un malware che cifra i dati di un'organizzazione e chiede un riscatto per la chiave di decifratura. Le campagne moderne usano la doppia estorsione: prima esfiltrano i dati, poi cifrano, e minacciano di pubblicarli. Non è un evento istantaneo: l'attaccante resta in rete giorni o settimane (accesso iniziale, movimento laterale, esfiltrazione) prima della cifratura. È in quella finestra che si ferma.
Non un evento, un processo
Si immagina il ransomware come un lampo: un attimo prima tutto funziona, un attimo dopo è tutto cifrato. La realtà è diversa: l’attaccante è in rete da giorni o settimane prima della cifratura. Accesso iniziale, ricognizione, escalation, movimento laterale, esfiltrazione: la cifratura è l’ultimo atto, non il primo. Ed è prima di quell’atto che un attacco si vince o si perde.
Capire questo cambia la strategia di difesa. Se il ransomware fosse istantaneo, l’unica risposta sarebbe il backup. Poiché è un processo che si svolge nel tempo, esiste una finestra (il «dwell time») in cui un attaccante può ancora essere rilevato e fermato prima del danno irreversibile. Gli ordini di grandezza che contano:
- giorni–settimanedwell time tipico prima della cifratura
- 2–3 leveestorsione: cifratura · pubblicazione · DDoS/pressione
- 100%delle fasi pre-cifratura sono rilevabili
- 1 atto finalela cifratura è l'ultimo, non il primo
La kill chain del ransomware, e dove si ferma
Un attacco ransomware segue una sequenza riconoscibile. Ogni stadio lascia tracce: accessi anomali, strumenti di ricognizione, traffico verso server di comando e controllo, copie massive di dati. Il punto di svolta non è la cifratura: è il momento prima, quando l’attaccante si muove lateralmente e prepara l’esfiltrazione.
La doppia (e tripla) estorsione
Le gang moderne esfiltrano i dati prima di cifrarli: così, anche con backup perfetti, possono ricattare con la minaccia di pubblicazione su un sito di leak. Alcune aggiungono una terza leva (attacchi DDoS o pressioni dirette su clienti, dipendenti e partner) per aumentare l’urgenza. Per questo il backup, pur essenziale, non basta da solo: protegge la disponibilità, non la riservatezza.
Il backup non vi salva dalla pubblicazione. Con la doppia estorsione i dati sono già usciti prima della cifratura. Ripristinare riporta i sistemi online, ma non cancella le copie nelle mani del threat actor. L'unica difesa contro la divulgazione è fermare l'attacco prima dell'esfiltrazione.
Come entra: i vettori di accesso iniziale
Il ransomware non si materializza dal nulla. Arriva attraverso un numero limitato di porte d’ingresso, le stesse anno dopo anno:
- Phishing e furto di credenziali. Email mirate, pagine di login clonate, furto di sessione. Il punto d'ingresso più comune.
- Servizi esposti. RDP e VPN raggiungibili da Internet, spesso senza MFA o con credenziali deboli.
- Exploit di dispositivi perimetrali. Vulnerabilità su firewall, VPN gateway e appliance edge, sfruttate spesso entro giorni dalla divulgazione.
- Initial Access Broker. Attori che vendono accessi già pronti alle gang ransomware: l'ingresso e la cifratura sono ormai mestieri separati.
Sempre più spesso l’accesso non usa malware ma credenziali valide: l’attaccante entra come un utente legittimo. Per questo la detection basata solo sulle firme non basta, e serve l’analisi del comportamento (identità, accessi, movimenti anomali) per distinguere l’utente reale dall’intruso che ne ha rubato le chiavi.
Difendersi: fermare prima della cifratura
La difesa efficace agisce nella finestra pre-cifratura, non dopo. Quattro pilastri che lavorano insieme:
- Detection & response continua (MDR) · per intercettare movimento laterale, escalation ed esfiltrazione mentre accadono, non a danno avvenuto.
- Identità protette · MFA, privilegi minimi, monitoraggio degli accessi (ITDR): chiudere la porta più usata dal ransomware.
- Backup isolati e testati · offline o immutabili, verificati con prove di ripristino reali, non solo configurati.
- Piano di incident response pronto · ruoli, contatti e procedure decisi prima della crisi, non durante.
Il principio. Contro il ransomware non si vince all'ultimo atto, ma in tutti quelli prima. Rilevare l'attaccante mentre si muove (e contenerlo) significa trasformare una crisi potenziale in un incidente chiuso. È esattamente ciò che un MDR mette in pratica nella finestra pre-cifratura.
Se l’attacco è già in corso, conta la guida d’emergenza: cosa fare dopo un attacco ransomware. Ma la regola resta: la partita si gioca prima della cifratura, dove l’attaccante è ancora una presenza da scovare, non un danno da ripristinare.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo, prima che la chiave giri, è il secondo.
Le fasi di un attacco ransomware
| Fase | Cosa accade | Dove si interviene |
|---|---|---|
| Accesso iniziale | Phishing, VPN/RDP esposti, exploit edge | Detection precoce, ITDR |
| Movimento laterale | Escalation, ricognizione, persistenza | MDR: qui si ferma |
| Esfiltrazione | Copia dati verso l'esterno | Contenimento, blocco C2 |
| Cifratura | Ransomware eseguito, riscatto | Troppo tardi: recovery |
Nell'Operation Storming Tide il team Fortgale ha individuato l'attaccante nelle fasi pre-cifratura (Matanbuchus 3.0 → Astarion → SystemBC) e ha prevenuto esfiltrazione e ransomware con il contenimento.
Leggi l'analisi →Domande frequenti.
Devo pagare il riscatto?
Quasi mai. Pagare non garantisce il recupero né la cancellazione delle copie esfiltrate, finanzia il crimine e può violare normative (sanzioni, segnalazioni). Vedi la guida d'emergenza attacco ransomware: cosa fare.
Come entra il ransomware in azienda?
I vettori più comuni: phishing e furto di credenziali, servizi esposti (VPN, RDP), exploit di dispositivi perimetrali (firewall, VPN gateway), e accessi venduti dagli Initial Access Broker. Sempre più spesso l'ingresso non usa malware ma credenziali valide, e per questo richiede detection sul comportamento, non solo sulle firme.
La doppia estorsione cosa cambia?
L'attaccante esfiltra i dati prima di cifrarli e minaccia di pubblicarli. Anche con backup perfetti, resta il rischio di divulgazione: per questo conta fermare l'attacco prima dell'esfiltrazione, non solo poter ripristinare.
Quanto tempo resta l'attaccante in rete prima di cifrare?
Variabile: da poche ore nelle campagne più rapide a settimane in quelle mirate. Questa finestra (il «dwell time») è il terreno su cui si gioca la difesa: ogni ora in cui l'attaccante è dentro e non rilevato è un'ora in cui si poteva ancora fermarlo prima della cifratura.
Come ci si difende dal ransomware?
Backup testati e isolati, hardening di identità e accessi (MFA, privilegi minimi), detection & response continua (MDR) per intercettare l'attaccante nelle fasi pre-cifratura, e un piano di incident response pronto e provato.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Protezione ransomware Fortgale.
Risorse correlate: Attacco ransomware: cosa fare (emergenza) · Cos'è un MDR · Protezione ransomware · Gruppi ransomware tracciati (schede tecniche)
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.