Ransomware

Il ransomware è un tipo di malware che crittografa i file e richiede un pagamento per ripristinare l'accesso, spesso minacciando di far trapelare i dati rubati.
18 Febbraio 2026

Cos'è il ransomware:

Il ransomware è una forma di malware progettata per crittografare i dati o bloccare i sistemi e poi richiedere un pagamento per il rilascio.

Un attacco ransomware, tuttavia, non consiste semplicemente nell'impiego di ransomware. Si tratta di un'intrusione in più fasi in cui gli aggressori ottengono prima l'accesso, stabiliscono la persistenza, aumentano i privilegi, si spostano lateralmente tra i sistemi e spesso esfiltrano dati sensibili prima di distribuire il ransomware come passaggio finale per interrompere le operazioni e imporre il pagamento.

I moderni gruppi ransomware combinano la crittografia con il furto di dati e l'estorsione, trasformando la compromissione di una rete su vasta scala in un modello di business criminale altamente redditizio.

Quali sono le fasi di un attacco ransomware?

  • Infiltrazione: Solitamente tramite un'e-mail di phishing, credenziali di desktop remoto (RDP) compromesse o una vulnerabilità software.
  • Messa in scena e furtività: Il malware comunica con il server dell'aggressore per impostare le chiavi di crittografia, rimanendo nascosto agli antivirus di base.
  • Esfiltrazione dei dati: Prima di crittografare, l'aggressore carica silenziosamente copie dei tuoi file sensibili sui propri server.
  • Crittografia: Il software blocca i file, modificandone l'estensione (ad esempio, .docx diventa .locked).
  • La nota di riscatto: Sullo schermo compare un messaggio con le istruzioni su come pagare, solitamente in Bitcoin, per ottenere uno strumento di decrittazione.

È possibile recuperare senza pagare?

Pagare il riscatto non è mai consigliabile, poiché non garantisce il recupero dei file e ti identifica come un "pagatore volontario" per futuri attacchi. Il percorso di recupero migliore prevede:

  • Backup fuori sede: Il ripristino da un backup pulito e disconnesso è l'unico metodo di recupero efficace al 100%.
  • Rollback EDR: Alcuni strumenti di sicurezza avanzati possono "annullare" la crittografia ripristinando i file dalle copie shadow locali prima che venissero bloccati.
  • Strumenti di decrittazione: Di tanto in tanto, i ricercatori di sicurezza trovano delle falle nel codice di uno specifico ransomware e rilasciano dei "decryptor" gratuiti.

Cosa fa WatchGuard Ransomware Tracker?

IL Tracker ransomware WatchGuard è un database pubblico e completo di informazioni sulle minacce gestito dal WatchGuard Threat Lab. Il suo obiettivo principale è fornire una visione storica e in tempo reale del panorama globale del ransomware, aiutando i professionisti della sicurezza e il pubblico a comprendere le minacce attive.

Ecco una ripartizione di ciò che fornisce il tracker:

1. Catalogazione delle minacce attive

Il tracker mantiene un elenco esaustivo delle varietà di ransomware (ad esempio, Akira, RansomHub, 0mega). Per ogni voce, in genere tiene traccia di:

  • Primo e ultimo avvistamento: Quando il ransomware è stato identificato per la prima volta e la data della sua attività più recente.
  • Stato: Se il gruppo o il ceppo è attualmente "attivo" o è diventato dormiente.
  • Linea di discendenza e alias: Eventuali collegamenti ad altre famiglie di ransomware o nomi precedenti utilizzati dal gruppo.


2. Intelligenza tecnica

Per molte delle principali varianti di ransomware, il tracker fornisce un'analisi approfondita del funzionamento del malware, il che può essere fondamentale per la difesa. Ciò include:

  • Tipi di estorsione: Dettagli sul fatto che il gruppo utilizzi la "doppia estorsione" (crittografia dei file E rubare dati per poi divulgarli in seguito).
  • Metodi di crittografia: Informazioni sugli algoritmi specifici utilizzati (ad esempio, AES-256 o ChaCha20) e sulle chiavi coinvolte.
  • Canali di comunicazione: Link ai "siti di fuga" del gruppo basati su TOR, ai canali Telegram o a identificatori specifici come gli ID Tox.


3. Monitoraggio globale delle vittime

Lo strumento è dotato di un Mappa di tracciamento dei ransomware che visualizza la prevalenza degli attacchi per paese. Aggrega dati su:

  • Numero totale di vittime monitorate: Numero di organizzazioni confermate colpite da ransomware.
  • Gruppi attivi totali: Numero di organizzazioni criminali uniche attualmente operative.
  • Disponibilità del decryptor: Evidenzia se esiste un decryptor gratuito (spesso tramite Niente più riscatto progetto), che può salvare la vittima dal pagamento di un riscatto.

4. Approfondimenti strategici

Il tracker alimenta il più ampio "Cybersecurity Hub" di WatchGuard, collegando i dati in tempo reale con i loro dati trimestrali Rapporti sulla sicurezza di Internet . Ciò consente agli utenti di visualizzare tendenze quali:

  • Se il volume del ransomware sta aumentando o diminuendo in una regione specifica.
  • Il passaggio dagli attacchi basati sulla rete agli attacchi focalizzati sugli endpoint.
  • L'ascesa del "Ransomware-as-a-Service" (RaaS), in cui gli sviluppatori noleggiano il loro codice ad altri criminali.
Classificati sotto: Trend di cybersecurity, Ransomware, Zero Trust