Pensavi di sapere come funziona il ransomware. Ora tutto sta cambiando.
La maggior parte di noi conosce il funzionamento classico del ransomware. Gli aggressori — sempre più spesso parte di un gruppo organizzato, al servizio di uno Stato o abbonati a un servizio RaaS (Ransomware-as-a-Service) — ottengono accesso non autorizzato a un sistema, criptano i dati vitali e trattengono la chiave di decrittazione fino al pagamento del riscatto richiesto.
Fino a poco tempo fa, questo era il metodo operativo più comune per gli attacchi ransomware. Ma recentemente, gli esperti di sicurezza hanno segnalato un aumento di nuove varianti di ransomware che non criptano affatto i dati. Di seguito spiegheremo come funziona il ransomware senza crittografia e come può essere mitigato.
Cosa troverai in questo articolo
Cos’è il ransomware senza crittografia?
Conosciuto anche come ransomware di sola estorsione, il ransomware senza crittografia salta completamente il processo di cifratura. Gli aggressori ottengono accesso non autorizzato ai sistemi aziendali, esfiltrano i dati sensibili e minacciano di pubblicarli a meno che non venga pagato un riscatto. L’obiettivo è estorcere le vittime — in genere con la minaccia di vendere o diffondere le informazioni nel dark web — ma senza bloccare l’accesso ai sistemi, così che le operazioni aziendali possano proseguire.
Un’analisi pubblicata nella primavera del 2023 da Zscaler ha evidenziato queste tecniche tra le tendenze più significative, all’interno di un aumento del 40% degli attacchi ransomware nell’ultimo anno. In quel periodo, almeno 25 nuove famiglie di ransomware che utilizzano l’estorsione doppia o tecniche senza crittografia sono emerse.
Secondo un report di Cybersecurity Ventures, entro il 2031 ci sarà un attacco ransomware ogni 2 secondi, e si stima che le perdite globali causate dal ransomware supereranno i 265 miliardi di dollari. Inoltre, secondo IBM X-Force Threat Intelligence Index 2024, il 21% degli attacchi ransomware analizzati nel 2023 rientrava nella categoria “encryption-less” o “extortion-only”.
Tabella comparativa: ransomware con e senza crittografia
| Caratteristica | Ransomware con crittografia | Ransomware senza crittografia |
|---|---|---|
| Blocco accesso ai dati | Sì | No |
| Esfiltrazione dati | Talvolta | Sempre |
| Richiesta di riscatto | Per la chiave di decrittazione | Per evitare la pubblicazione dati |
| Tempo di esecuzione | Più lungo (cifratura necessaria) | Più rapido (solo esfiltrazione) |
| Rilevabilità | Alta (interruzione visibile) | Bassa (attacco silente) |
| Complessità tecnica per l’attaccante | Alta | Media-Bassa |
| Costi per il cybercriminale | Software + hosting + supporto | Minimi (tool open-source) |
Perché il ransomware senza crittografia è in crescita?
Il panorama digitale odierno è complesso, e anche l’ecosistema del crimine informatico lo è. L’aumento del ransomware senza crittografia non si spiega con una sola causa. Ecco alcuni dei fattori che contribuiscono alla diffusione di questo nuovo approccio.
Risponde alla presenza di nuovi strumenti di sicurezza
Secondo alcune analisi, il ransomware senza crittografia rappresenta una naturale evoluzione del ransomware. Di fronte a strumenti di decrittazione sempre più efficaci, il ransomware tradizionale sta perdendo efficacia. Gli aggressori sono quindi costretti ad adattare le loro tattiche per superare le soluzioni di mitigazione più moderne.
Per esempio, l’analisi del gruppo BianLian mostra un passaggio da tecniche di doppia estorsione basate sulla crittografia all’estorsione semplice, come risposta al rilascio da parte di Avast di strumenti pubblici di decrittazione.
Inoltre, con la diffusione di soluzioni di backup sempre più performanti — molte delle quali in cloud, come Veeam, Acronis o AWS Backup — le aziende possono ripristinare facilmente i dati bloccati. Questo riduce l’efficacia delle minacce tradizionali. Di conseguenza, gli attaccanti fanno sempre più affidamento sull’esfiltrazione dei dati per ottenere il pagamento del riscatto.
È più difficile da rilevare
Il ransomware tradizionale si basa sulla distruzione visibile. Bloccare l’accesso ai sistemi e interrompere le operazioni è l’arma principale per ottenere un riscatto.
Il ransomware senza crittografia invece è più sottile e meno rilevabile. Non essendoci interruzioni nei servizi, un’organizzazione può non accorgersi dell’attacco fino a quando non riceve la richiesta di riscatto.
Questa forma di attacco è spesso associata a tecniche avanzate di persistenza come web shells, reverse shell, beaconing, o tunneling su porte non standard (es. 443, 8080).
Se da un lato questo profilo basso può ridurre le conseguenze reputazionali immediate, dall’altro diminuisce la probabilità che la vittima segnali l’attacco alle autorità. Questo rende più difficile per le agenzie di cybersecurity individuare e contrastare le varianti in circolazione.
È efficace
È risaputo che la maggior parte delle aziende vuole evitare multe regolamentari (es. GDPR, HIPAA), danni reputazionali e perdite di fatturato derivanti da una violazione dei dati. Di fronte alla scelta tra pagare o vedere pubblicati i propri dati sensibili online, molte organizzazioni preferiscono cedere.
Abbiamo già visto questa tecnica affermarsi con gruppi storici come Babuk, fino a nuove famiglie come Donut, RansomHouse e BianLian.
Un esempio recente: nel dicembre 2023, un hacker ha messo in vendita dati presumibilmente rubati alla casa automobilistica svedese Volvo Cars. Sebbene la legittimità della fuga sia stata contestata, si parlava di informazioni su modelli futuri, sistemi di sviluppo e dati dei dipendenti.
È più semplice per gli attaccanti
Infine, questa forma di ransomware si sta diffondendo perché è più semplice da realizzare. I criminali informatici non devono più perdere tempo a cifrare i dati, attività che richiede competenze tecniche avanzate (es. implementazione di algoritmi AES, RSA, ChaCha20) e cicli di sviluppo software, o pagare un abbonamento RaaS.
Ora possono ottenere gli stessi risultati semplicemente esfiltrando i dati rilevanti, utilizzando strumenti open source come Rclone, Exfiltration over HTTPS, DNS Tunneling, o C2 Framework come Cobalt Strike. Come riportato nel rapporto di Zscaler del 2023, questa tattica “genera profitti più rapidi e maggiori per i gruppi ransomware, eliminando lo sviluppo software e il supporto alla decrittazione”.
Come possono le aziende proteggersi dal ransomware senza crittografia?
La minaccia principale è che i dati sensibili vengano esposti o venduti. La soluzione è rafforzare la sicurezza e la privacy dei dati, prevenendo accessi non autorizzati.
Eseguire audit di sicurezza regolari
Il primo passo è comprendere asset, sistemi e vulnerabilità dell’organizzazione. Per difendersi da ransomware classici e varianti nuove, servono valutazioni sistematiche dei sistemi informativi, delle policy e delle procedure.
Queste valutazioni possono essere eseguite:
- Internamente con strumenti come OpenVAS, Nessus, Qualys
- Da consulenti esterni certificati (es. CISA, CISM, ISO/IEC 27001)
- Tramite strumenti automatizzati con report di conformità
Ma devono essere regolari, per mantenere sistemi aggiornati e sicuri.
Implementare controlli di accesso stringenti
La CISA (Cybersecurity and Infrastructure Security Agency) raccomanda diverse misure per limitare l’accesso ai dati:
- Autenticazione multifattore (MFA) resistente al phishing, inclusi metodi password-less con PIN o biometria (es. FIDO2, WebAuthn)
- Sistemi di gestione identità e accessi (IAM) come Okta, Azure AD, Ping Identity per monitorare ruoli e privilegi
- Servizi di monitoraggio delle credenziali come Have I Been Pwned, SpyCloud o DeHashed che scandagliano il dark web in cerca di dati compromessi
Utilizzare strumenti avanzati
Esistono molte tecnologie — specifiche per il ransomware o generiche — per proteggere i dati:
- Sistemi di rilevamento intrusioni (IDS/IPS) come Snort, Suricata, Zeek
- Monitoraggio in tempo reale con SIEM come Splunk, IBM QRadar, Elastic Security
- Protezione degli endpoint (EDR/XDR) come CrowdStrike, SentinelOne, Microsoft Defender for Endpoint
- Soluzioni di disaster recovery (es. Rubrik, Veeam, Cohesity)
- Analisi comportamentale basata su machine learning o intelligenza artificiale, integrata in piattaforme come Darktrace, Vectra AI, Sophos Intercept X
Serve aiuto con il recupero dati dopo un attacco ransomware?
Se la tua azienda ha subito un attacco ransomware, con o senza crittografia, è fondamentale agire tempestivamente per limitare i danni e recuperare i dati. Il team di RecDati è specializzato nel recupero dati da sistemi compromessi, NAS, server, RAID e ambienti virtualizzati.
Contattaci oggi stesso per una valutazione gratuita e scopri come possiamo aiutarti a ripristinare l’accesso ai tuoi dati in sicurezza, anche in scenari complessi. Visita www.recdati.it o chiamaci al numero 0280889829.
FAQ: Domande frequenti sul ransomware senza crittografia
Cos’è la differenza tra ransomware classico e senza crittografia?
Il ransomware classico blocca l’accesso ai dati tramite crittografia. Quello senza crittografia invece esfiltra i dati e minaccia di pubblicarli, ma non ne impedisce l’accesso.
È più pericoloso un ransomware senza crittografia?
Dipende. Non blocca i sistemi, ma può causare gravi danni reputazionali e legali in caso di pubblicazione dei dati sensibili.
Quali segnali indicano un attacco di questo tipo?
Spesso non ci sono segnali evidenti finché non arriva una richiesta di riscatto. Tuttavia, un’attività anomala nei log o nel traffico in uscita può essere un indizio.
Cosa fare se si sospetta un’intrusione?
Isolare il sistema, non spegnerlo, avvisare subito il team IT e un servizio specializzato. Non pagare il riscatto senza una valutazione tecnica.
È possibile recuperare i dati dopo un attacco?
Sì. Se i dati sono stati esfiltrati ma non criptati, è fondamentale intervenire con strumenti forensi e backup aggiornati. In molti casi è possibile contenere o annullare il danno.
