Ransomware

Allerta Ransomware 2025: La Minaccia In Evoluzione e Come Proteggersi

Il ransomware continua a rappresentare una delle minacce cyber più pervasive e distruttive del nostro tempo. Ogni anno porta con sé nuove varianti e tecniche d'attacco, rendendo indispensabile rimanere aggiornati per proteggere i nostri dati e la nostra privacy. Fino a oggi, il panorama delle minacce è in costante mutamento, con attori malevoli che affinano continuamente le loro tattiche.
In questo articolo, esploreremo alcuni dei ransomware e dei gruppi di minaccia più significativi emersi o particolarmente attivi nel 2025 fino a questo momento, analizzeremo la loro storia, il modus operandi e, soprattutto, forniremo le contromisure essenziali per difendersi.

Il Panorama dei Ransomware nel 2025
Il 2025 ha già visto emergere diverse nuove minacce e l'evoluzione di famiglie di ransomware esistenti. Sebbene la situazione sia dinamica e nuove scoperte avvengano continuamente, di seguito elenchiamo alcune delle varianti e dei gruppi che hanno catturato l'attenzione degli esperti di sicurezza fino a oggi:

Puld (variante di MedusaLocker):
- Storia e Scoperta: Puld è una variante del noto gruppo MedusaLocker, rilevata a Giugno 2025. MedusaLocker è storicamente noto per prendere di mira ambienti aziendali. La variante Puld è stata identificata dai team di ricerca e advisory di CYFIRMA, che monitorano costantemente i forum underground.
- Danni Creati: Colpisce principalmente i sistemi operativi Windows, ampiamente diffusi in numerosi settori. Questo ransomware cripta i file aggiungendo l'estensione .Puld39 e lascia una nota di riscatto intitolata "How_to_back_files.html". La nota avvisa le vittime che la loro rete aziendale è stata violata, tutti i file sono stati criptati e dati sensibili (inclusi informazioni su dipendenti e clienti) sono stati rubati.
- Come Funziona l'Attacco: Puld esegue chiamate a WMI (Windows Management Instrumentation) per eseguire comandi e raccogliere informazioni. Un aspetto chiave è il tentativo di eliminare le Volume Shadow Copies (VSS), un meccanismo che Windows usa per i backup locali, rendendo più difficile il recupero dei dati da parte delle vittime. Gli attaccanti offrono la decrittografia gratuita di due piccoli file (sotto i 2MB) come prova della loro capacità.

Silent:
- Storia e Scoperta: Identificato per la prima volta a Aprile 2025, questo gruppo è "silenzioso" di nome e di fatto. Opera senza un sito pubblico di leak di dati, usa una crittografia robusta e lascia pochissime impronte digitali, rendendone estremamente difficile il rilevamento e la tracciatura.
- Danni Creati: Le sue operazioni sono più discrete, ma altrettanto distruttive. La mancanza di un sito di leak pubblico rende difficile quantificare l'esatto impatto, ma gli esperti di sicurezza lo considerano una minaccia emergente significativa per la sua elusività.
- Come Funziona l'Attacco: Le tattiche precise di ingresso non sono sempre chiare a causa della sua natura elusiva, ma si presume che sfrutti tecniche avanzate di evasione e ingegneria sociale.

AiLock / Ailock:
- Storia e Scoperta: Diventato prominente a Aprile 2025, questo attore potrebbe essere assistito da IA o semplicemente aver scelto un nome che lo suggerisca.
- Danni Creati: Le loro campagne includono ceppi di malware polimorfi capaci di aggirare gli antivirus tradizionali e le soluzioni EDR (Endpoint Detection and Response), causando interruzioni diffuse nelle organizzazioni colpite.
- Come Funziona l'Attacco: Utilizza ceppi di malware che cambiano la loro firma (polimorfismo) per eludere il rilevamento basato su firme.

SafePay:
- Storia e Scoperta: Emerge nell'autunno del 2024 ma consolida la sua posizione di minaccia principale a Maggio 2025, superando Qilin per numero di vittime. Cyble Threat Intelligence ha tracciato 198 vittime da quando è emerso.
- Danni Creati: A maggio 2025 ha rivendicato 58 vittime. Si concentra su settori professionali e costruzioni, ma colpisce anche manifattura, governo, sanità, finanza e trasporti.
- Come Funziona l'Attacco: Le tattiche specifiche di SafePay sono ancora sotto analisi approfondita, ma la sua rapida crescita suggerisce l'uso di tecniche efficaci di intrusione e una forte strategia di estorsione.

Qilin:
- Storia e Scoperta: Originariamente lanciato come Agenda a Luglio 2022, Qilin è diventato sempre più attivo nel 2024 e ha continuato a essere una minaccia dominante nel 2025, specialmente a Aprile e Maggio. È anche noto per essere stato dispiegato da gruppi supportati da stati, come Moonstone Sleet (Corea del Nord).
- Danni Creati: Ha preso di mira il settore manifatturiero (con 72 incidenti ad aprile) e infrastrutture critiche. A maggio, ha rivendicato l'attacco alla Cobb County, Georgia (USA), dichiarando di aver sottratto 150 GB di dati e oltre 400.000 file.
- Come Funziona l'Attacco: Qilin utilizza attacchi sofisticati, spesso sfruttando vulnerabilità in ambienti ESXi (per server virtualizzati) e impiegando una strategia di doppia estorsione.

Dire Wolf & DATACARRY:
- Storia e Scoperta: Due nuovi gruppi emersi a Maggio 2025. Dire Wolf ha lanciato un sito di leak di dati basato su Onion, listando vittime in Asia, Australia e Italia. DATACARRY, anch'esso con un nuovo sito di leak su Onion, mira attivamente alle aziende europee, ha listato sette vittime da settori e paesi diversi.
- Danni Creati: Entrambi i gruppi si concentrano sulla esfiltrazione di dati (data exfiltration) e sulla minaccia di pubblicazione, con Dire Wolf che mostra file tree e campioni di dati rubati, e DATACARRY che comunica con le vittime tramite Session messenger. DATACARRY non ha ancora un "locker" ransomware osservato, indicando un focus primario sull'estorsione tramite furto di dati.
- Come Funziona l'Attacco: La loro operatività si basa fortemente sulla "doppia estorsione", rubando dati sensibili prima di chiedere il riscatto.

Chort:
- Storia e Scoperta: Rilevato in incidenti di Maggio 2025, come l'attacco alla città di Sheboygan, Wisconsin (USA).
- Danni Creati: L'attacco a Sheboygan ha colpito quasi 70.000 residenti, causando interruzioni nei servizi comunali.
- Come Funziona l'Attacco: Le specifiche tecniche di Chort sono ancora in fase di analisi dettagliata, ma ha dimostrato la capacità di causare interruzioni significative a enti pubblici.

Come Funziona un Attacco Ransomware: Il Ciclo Tipico
Sebbene ogni ransomware abbia le sue peculiarità, la maggior parte degli attacchi segue un ciclo simile:
Ingresso Iniziale (Initial Access): I cybercriminali ottengono accesso alla rete vittima. Questo può avvenire tramite:
- Phishing/Spear-phishing: Email con allegati malevoli o link a siti web compromessi.
- Vulnerabilità Software: Sfruttamento di bug in sistemi operativi, software o servizi (es. RDP, VPN non patchate).
- Credenziali Rubate/Deboli: Accesso tramite password deboli o ottenute attraverso data breach precedenti.
-Supply Chain Attack: Compromissione di un fornitore o partner fidato della vittima.
Esecuzione e Persistenza: Una volta dentro, il ransomware si esegue e cerca di stabilire una persistenza per rimanere attivo anche dopo un riavvio del sistema.
Ricognizione Interna e Movimento Laterale: Il malware o gli attaccanti stessi (nel caso di ransomware "umano-operati") esplorano la rete per identificare sistemi critici, backup e server di file, e si muovono lateralmente per infettare più macchine possibili e raggiungere i dati di valore.
Esfiltrazione Dati (Doppia Estorsione): Una pratica sempre più comune è la "doppia estorsione". Prima di crittografare i dati, gli attaccanti li esfiltrano (li rubano). Questo permette loro di minacciare non solo di non decrittografare i dati, ma anche di pubblicarli online se il riscatto non viene pagato, aumentando enormemente la pressione sulla vittima.
Crittografia: Il ransomware avvia la crittografia dei file sui sistemi compromessi, rendendoli inaccessibili.
Richiesta di Riscatto: Una volta completata la crittografia, appare una "nota di riscatto" (ransom note) sullo schermo delle vittime o in file di testo nelle cartelle. Questa nota spiega che i dati sono stati criptati, come contattare gli attaccanti e come pagare il riscatto (solitamente in criptovalute) per ottenere la chiave di decrittazione.

Contromisure: Come Evitare di Essere Colpiti
La prevenzione è la migliore difesa contro i ransomware. Ecco le strategie chiave:
Backup Regolari e Offline: Effettua backup frequenti di tutti i dati critici. È FONDAMENTALE che una copia di questi backup sia offline e isolata dalla rete principale, per impedire che venga criptata durante un attacco. Testa regolarmente il processo di ripristino per assicurarti che funzioni.
Aggiornamenti e Patching Costante: Mantieni sistemi operativi, software e applicazioni sempre aggiornati con le ultime patch di sicurezza. Molti attacchi sfruttano vulnerabilità note e correggibili.
Software Antivirus/EDR Avanzato: Utilizza soluzioni antivirus di nuova generazione (NGAV) e EDR (Endpoint Detection and Response) che possano rilevare comportamenti anomali e minacce sconosciute, non solo basandosi su firme di malware predefinite.
Principio del Minimo Privilegio: Limita i permessi degli utenti e delle applicazioni solo a ciò che è strettamente necessario per svolgere le loro funzioni. Questo riduce il raggio d'azione di un eventuale malware e ne limita i danni.
Autenticazione Multi-Fattore (MFA): Abilita l'MFA ovunque possibile, in particolare per l'accesso a servizi critici, VPN, email e account amministrativi. Riduce drasticamente il rischio di accessi non autorizzati con credenziali rubate.
Formazione e Consapevolezza del Personale: Addestra regolarmente i dipendenti a riconoscere i tentativi di phishing, a non cliccare su link sospetti o aprire allegati da mittenti sconosciuti. La consapevolezza umana è la prima linea di difesa.
Segmentazione della Rete: Dividi la tua rete in segmenti isolati. Questo può contenere un'infezione ransomware impedendone la diffusione orizzontale all'intera infrastruttura.
Disabilitare RDP Esposti e Non Usati: Se utilizzi RDP, assicurati che sia protetto da VPN e MFA, e non sia esposto direttamente a internet. Disabilita RDP se non necessario.
Filtri Email e Web: Implementa filtri avanzati per la posta elettronica e la navigazione web per bloccare allegati malevoli, link a siti compromessi e contenuti dannosi prima che raggiungano gli utenti.

Cosa Fare Se Si è Colpiti da un Ransomware
Se, nonostante tutte le precauzioni, ti trovi di fronte a un attacco ransomware, agisci rapidamente:
Isola i Sistemi Infetti: Disconnetti immediatamente i dispositivi compromessi dalla rete (stacca il cavo Ethernet, disabilita il Wi-Fi). Questo impedirà al ransomware di diffondersi ulteriormente.
Non Pagare il Riscatto (Se Possibile): Se hai backup validi, non pagare il riscatto. Non vi è alcuna garanzia che riceverai la chiave di decrittazione, e pagare finanzia i cybercriminali, incoraggiando ulteriori attacchi.
Contatta Esperti di Sicurezza: Rivolgiti immediatamente a professionisti della sicurezza informatica o a un'azienda specializzata nella risposta agli incidenti. Possono aiutarti nell'analisi forense, nella bonifica e nel recupero dei dati.
Notifica le Autorità: Segnala l'incidente alle forze dell'ordine competenti (ad esempio, la Polizia Postale in Italia). Possono esserci indagini in corso e la tua segnalazione potrebbe aiutarle.
Determina la Gravità: Cerca di capire l'estensione dell'attacco: quali sistemi sono stati colpiti, quali dati sono stati criptati o esfiltrati.
Verifica i Backup: Se hai backup affidabili e isolati, il recupero dei dati da questi backup è la soluzione più efficace e sicura.
Pulizia Completa: Anche se recuperi i dati, è fondamentale eseguire una bonifica completa dei sistemi per assicurarti che non ci siano backdoor o altri malware persistenti. Questo potrebbe significare formattare e reinstallare i sistemi operativi da zero.
Analisi Post-Incidente: Una volta superata l'emergenza, conduci un'analisi approfondita per capire come è avvenuto l'attacco, quali vulnerabilità sono state sfruttate e come rafforzare le tue difese per il futuro.

In conclusione..
La battaglia contro il ransomware è una corsa continua. Mantenere un approccio proattivo alla sicurezza cibernetica, investire in tecnologie e formazione e avere un piano di risposta agli incidenti ben definito sono passaggi cruciali per proteggere la tua azienda e i tuoi dati in questo panorama di minacce in continua evoluzione.

Ubicazione: Via Quena, 37024 Quena VR, Italia

Commenti

Posta un commento

Post popolari in questo blog

Phishing

Immagine
Cos'è il phishing? Il phishing è un tipo di truffa online in cui un truffatore cerca di ingannare la vittima inducendola a rivelare informazioni personali, come password, numeri di carta di credito o altre informazioni sensibili. I truffatori spesso si spacciano per entità affidabili, come banche, società o agenzie governative, per indurre le vittime a fornire queste informazioni. Come proteggersi dal phishing? Non fidarti delle e-mail o dei messaggi sospetti. Se ricevi un'e-mail o un messaggio che ti chiede di fornire informazioni personali, fai attenzione. Verifica sempre l'indirizzo e-mail del mittente e non cliccare su link o allegati sospetti. Non fornire mai informazioni personali su siti web non sicuri. Prima di inserire informazioni personali su un sito web, assicurati che l'indirizzo web inizi con "https://" e che sia presente un'icona a forma di lucchetto nella barra degli indirizzi. Utilizza password complesse e univoche per i tuoi account o...
Continua a leggere

Catalogo

Immagine
Microsoft Office 2024 Professional Plus LTSC 100,00 € Lingua: Multi-Lingua Numero Dispositivi: 1 Sistema Operativo: Windows Durata Licenza: Perpetua (Senza scadenza) Importante: Attivare le licenze entro 30 giorni dalla ricezione del product key Acquista https://www.paypal.com/paypalme/seller/ITIsaccoBellorti/dashboard/preview Microsoft Windows 11 Pro 80,00 € Lingua: Multi-Lingua Dispositivi: 1 Durata Licenza: Perpetua (Senza scadenza) Importante: Attivare le licenze entro 30 giorni dalla ricezione del product key Acquista https://www.paypal.com/paypalme/seller/ITIsaccoBellorti/dashboard/preview Office 2024 Professional Plus + Microsoft Windows 11 Pro 120,00 € Lingua: Multi-Lingua Dispositivi: 1 Durata Licenza: Perpetua (Senza scadenza) Importante: Attivare le licenze entro 30 giorni dalla ricezione del product key  Acquista https://www.paypal.com/paypalme/seller/ITIsaccoBellorti/dashboard/preview   
Continua a leggere

Profilo Attività

Immagine
Sono un tecnico informatico freelance con esperienza pluriennale nel fornire supporto e manutenzione per sistemi informatici. Posso aiutarti con: - Installazione e configurazione: Sistemi operativi Windows, driver, software di vario genere - Aggiornamenti Hardware : Ottimizzazione e potenziamento di PC e laptop  - Manutenzione Sistemi Windows: Pulizia, ottimizzazione, risoluzione di problemi - Upgrade Archiviazione e Memoria: Sostituzione hard disk con SSD per maggiore velocità, aumento RAM (previa verifica compatibilità) - Sicurezza Informatica: Rimozione virus, protezione da malware, consigli per navigare in sicurezza - Supporto Tecnico di Primo Livello: Risoluzione di problematiche software e hardware Perché scegliere i miei servizi? - Competenza e professionalità: Offro un servizio di alta qualità basato sulla mia esperienza - Flessibilità: Mi adatto alle tue esigenze e ai tuoi orari - Soluzioni personalizzate: Trovo la soluzione migliore per le tue specifiche necessità - Dis...
Continua a leggere