I ransomware sono un fenomeno cyber criminale comparso circa dal 2012, facilitato dalla diffusione di internet e dalla nascita delle criptovalute che permettono di incassare il riscatto senza essere tracciati.
Ma - in realtà - il ransomware era nato qualche anno prima.
Il primo ransomware della storia
Era il 1989 quando quello che viene considerato il primo ransomware della storia ha fatto il suo debutto. Battezzato "PC Cyborg", perché i pagamenti erano diretti a una fantomatica "PC Cyborg Corporation", il malware bloccava il funzionamento del computer giustificandolo attraverso la presunta "scadenza della licenza di un non meglio specificato software". Si chiedevano 189 dollari per far tornare tutto alla normalità. Fu diffuso a un congresso della OMS sull'Aids, mediante 20.000 floppy disk infetti consegnati ai partecipanti. Inserendo il floppy disk il virus si installava e criptava i file.
Il primo ransomware
Questo ransomware ebbe una diffusione estremamente limitata, perché poche persone usavano un personal computer, si trasmetteva via floppy disk (Internet era una rete per pochi addetti ai lavori), la tecnologia di criptazione era limitata e i pagamenti erano molto più macchinosi.
Il responsabile, Joseph Popp, fu scoperto ed arrestato poche settimane dopo.
Da allora i ransomware si sono enormemente evoluti, sia nella diffusione che nelle tecniche di attacco (TTP: tactics, techniques, and procedures).
In questa immagine (Fonte: ACN "Caratteristiche, preparazione e risposta agli attacchi ransomware"), vediamo rappresentata l'evoluzione dei ransomware dai primi anni ad oggi:
L'evoluzione dei ransomware
Oggi a produrre i malware sono aziende cybercriminali strutturate e dotate di grandi mezzi, con un business model paragonabile a quello delle migliori aziende "tradizionali". E capaci di fare ricerca e sviluppo per creare ransomware sempre più sofisticati ed aggressivi.
Nei primi anni (2013÷2017 circa) si assisteva soprattutto ad attacchi con la tecnica della "pesca a strascico": obbiettivi non mirati e riscatti in genere bassi, dell'ordine di qualche centinaio di dollari. Nell'80% dei casi la richiesta di riscatto non superava i 1.000 dollari.
Oggi assistiamo ad un minor numero di attacchi opportunistici ed a molti più attacchi mirati. Con i cybercriminali che preparano l'attacco con attività di OSINT (Open Source INTelligence) e tecniche d'attacco di tipo APT (Advanced Persistent Threat).
Di conseguenza è molto aumentata la somma richiesta per il riscatto. Il riscatto medio pagato è passato da 115.123 dollari nel 2019 a 1.542.333 dollari nel 2023 (fonte Sophos: The State of Ransomware 2023).
La Double Extortion
Ma la maggiore innovazione nel mercato del ransomware è stata sicuramente la comparsa della "Double Extortion". La doppia estorsione che ha drammaticamente complicato la vita per le aziende colpite.
Ne riportiamo la definizione che fornisce il Rapporto Clusit:
Double Extortion: attacchi ransomware che, oltre a cifrare i file, ne fanno anche una copia di "sicurezza" con il loro trasferimento sui computer dei cyber criminali minacciando di procedere alla loro diffusione pubblica e/o metterli all'asta nel dark web per la vendita al miglior offerente.
Il "pioniere" della Double Extortion è stato il gruppo criminale russo Maze nel 2019, poi questa tecnica è stata utilizzata anche da molti altri ransomware quali LockBit (uno dei più attivi), RagnarLocker, BlackBasta, RansomHub e molti altri.
Oggi la Double Extortion è ormai diventata quasi la regola e si combina con la "classica" crittografia dei dati, tecnica con cui il ransomware è nato.
Anche nel 2024 il Malware continua ad essere la tecnica preferita dai cyber criminali, utilizzata nel 32% degli attacchi (fonte Rapporto Clusit 2025).
Sebbene questa categoria comprenda molte tipologie di codici malevoli, il ransomware è in assoluto quella principale e maggiormente utilizzata. Questo grazie anche all'elevata resa economica per gli aggressori, che spesso collaborano fra loro con uno schema di affiliazione (il Ransomware-as-a-Service di cui parleremo in seguito).
È, a tutti gli effetti, un sequestro di dati a scopo di estorsione.
Le nazioni più colpite dai ransomware
Nei molti report che vengono pubblicati (tra questi il Rapporto Clusit, Associazione italiana per la sicurezza informatica) si evidenzia come le nazioni più colpite siano quelle più ricche, come evidenziato da questo studio di ENISA (European Network and Information Security Agency, l'Agenzia dell'Unione europea per la cybersicurezza), relativo agli attacchi ransomware, oggi tra i più diffusi e dannosi per le aziende.
Fonte: ENISA THREAT LANDSCAPE FOR RANSOMWARE ATTACKS 2022
I dati ENISA evidenziano che le nazioni più colpite sono le economie più ricche: queste classifiche ricalcano quella del G7.
L'Italia, in quanto nazione con un'economia importante, è sempre nei primissimi posti in questa poco invidiabile classifica, anzi risulta "sovraesposta" per numero di attacchi subiti rispetto alla dimensione del suo PIL nazionale.
Perché l'Italia è tanto attaccata
È noto ed incontrovertibile che oltre il 90% degli attacchi informatici sono causati da un errore umano. Citiamo al proposito una fonte autorevole quale il World Economic Forum: "95% of cybersecurity issues can be traced to human" (fonte: WEF Global Risks Report 2022 - Chapter 3. Digital Dependencies and Cyber Vulnerabilities).
Quindi, il ruolo dell'utente nella gestione e prevenzione dei potenziali rischi cyber è fondamentale. Probabilmente il più importante di tutti i fattori che rendono possibile un cyber attacco.
Anche negli attacchi più evoluti, quelli definiti APT (Advanced Persistent Threat), la fase iniziale di exploitation, cioè quella nella quale l'attaccante entra nel sistema target, è molto spesso basata su tecniche di social engineering e phishing.
Poi - una volta guadagnato l'accesso al sistema - l'attaccante potrà eseguire azioni diverse a seconda delle finalità e degli obbiettivi che si è dato.
La conclamata criticità del "fattore umano" si sposa in Italia con una maturità digitale molto bassa.
Il livello di cultura digitale nel nostro Paese è ben rappresentato dal Rapporto "Digital Economy and Society Index (DESI) 2022" redatto dalla Commissione Europea. L'Italia si colloca al 18° posto fra i 27 Stati membri della UE ed addirittura al 25° per la componente "Fattore Umano".
Un altro dato preoccupante: l'Italia ha una percentuale molto bassa di laureati nel settore TIC (Tecnologie dell'Informazione e della Comunicazione, in inglese ICT). Solo l'1,4 % dei laureati italiani sceglie discipline TIC, il che rappresenta il dato più basso registrato nella UE (media UE 3,9%).
Dovremo invertire questa tendenza, anche perché nel settore le opportunità professionali per i giovani sono molto interessanti.
A ciò si aggiunge una criticità tipica della nostra nazione: in Italia il tessuto imprenditoriale è costituito per oltre il 90÷95% da PMI (piccole e medie imprese) nelle quali spesso mancano figure e competenze in ambito cybersecurity.
Con queste preoccupanti premesse, abbiamo dunque in Italia le condizioni per la "tempesta perfetta": fattore umano come prima causa di attacco informatico e fattore umano molto debole in Italia nella cultura digitale.
