Ransomware: un modello di business che scala

Management Summary

La dura verità: il ransomware non è più un “caso speciale”, ma attività industriale quotidiana per gli attaccanti. Il modello RaaS abbassa le barriere d’ingresso, professionalizza i processi e distribuisce i rischi su molti attori. Le aziende falliscono meno per mancanza di strumenti e più per carenza di disciplina nei controlli di base, percorsi decisionali chiari e playbook collaudati. Chi oggi non definisce obiettivi temporali solidi e ponti di emergenza paga due volte durante un incidente: una volta agli attaccanti e una seconda volta nella fase di ripristino.

Perché RaaS cambia tutto

In passato serviva un team completo di criminali con tecnologia, infrastruttura e canali di riciclaggio. RaaS separa questi elementi: gli sviluppatori forniscono kit, gli affiliati gestiscono l’accesso iniziale, altri curano negoziazione e monetizzazione. Il risultato: più campagne, iterazioni più rapide, migliore “assistenza clienti” dal lato degli attaccanti. Per i difensori significa attacchi più frequenti, più varianti e maggiore professionalità. Un caso isolato? No: un ecosistema scalabile con incentivi chiari.

Tattiche & punti di ingresso: le leve 80/20

La maggior parte dei casi di successo inizia ancora dalle stesse porte:

• Phishing e social engineering: credenziali, cookie di sessione, approvazioni affrettate.

• Vulnerabilità non patchate in servizi esposti a Internet (VPN, gateway, web app).

• Accessi compromessi da sistemi di terze parti o tramite credential stuffing.

• Abuso di tecniche LOTL (Living off the Land) per muoversi nella rete senza malware “rumoroso”.

I difensori perdono tempo in ecosistemi di strumenti complessi, mentre gli attaccanti accelerano con componenti standard. Conseguenza: ridurre l’attrito, aumentare l’affidabilità, fissare SLO rigorosi—anziché perdersi in misure cosmetiche.

Logica economica: perché i numeri crescono—e restano alti

Il ransomware resta attraente perché i margini funzionano. L’esfiltrazione dei dati prima della cifratura (“double/triple extortion”) massimizza la pressione, anche quando esistono backup. Inoltre, molte aziende sono integrate nelle catene di fornitura: un incidente non genera solo costi interni, ma attiva penali contrattuali, obblighi di notifica e fermi operativi per i partner. Finché queste cascata di effetti si traduce in denaro, l’incentivo per gli attaccanti rimane stabile—indipendentemente da arresti o takedown isolati.

Cosa funziona subito—senza edulcorare

• Rafforzare le identità: MFA resistente al phishing (es. passkey/FIDO2), disattivazione dei flussi legacy deboli, monitoraggio end-to-end delle sessioni. Zero Trust significa: verificare, non sperare.

• Rendere vincolanti gli SLO di patching: criticità esposte a Internet in giorni; vulnerabilità interne con scadenze chiare. Le violazioni degli SLO attivano escalation automatiche—non e-mail.

• Protezione e-mail + awareness realistica: controlli tecnici (autenticazione, anomalie) combinati con formazione basata su scenari che simulano vere tattiche di pressione.

• Backup che aiutano davvero: offline/immutabili, test di ripristino sotto pressione temporale, prova di integrità. Senza esercitazioni, i backup sono solo speranza.

• Frenare il movimento laterale: segmentazione di rete, allowlisting delle applicazioni, blocco predefinito degli strumenti di scripting pericolosi, hardening delle workstation amministrative.

• Mettere in sicurezza le interfacce di filiera: requisiti minimi, accesso solo tramite ponti verificati, obblighi di logging e test su evento.

Piano di 90 giorni contro il ransomware

Giorni 0–15 – Quadro iniziale & baseline

• Identificare i 3 principali vettori (e-mail, app esterne, accessi remoti) e documentarli con dati.

• Rilevare la baseline dei KPI: MTTD/MTTR per criticità, conformità agli SLO di patching, copertura MFA, tempi di ripristino.

• Aggiornare ruoli e matrice di approvazione per la incident response (incluse autorità e canali di comunicazione).

Giorni 16–45 – Hardening & accelerazione

• Distribuire MFA resistente al phishing, disattivare protocolli legacy, pilotare privilegi JIT per gli admin.

• Imporre gli SLO di patching (finestre di change, poteri di intervento, logica di escalation).

• Rafforzare la segmentazione; applicare policy elevate a workstation amministrative e server critici.

Giorni 46–75 – Automatizzare & testare

• Automatizzare le risposte standard: isolamento, blocco account, ticketing, conferma allarmi.

• Esercitazione di ripristino: recovery cronometrato di un sistema critico con prova di integrità.

• Filiera: provare contatti di emergenza, processi di change-freeze e protocolli per fornitori di accesso.

Giorni 76–90 – Consolidare l’impatto

• Verifica KPI vs baseline: MTTD/MTTR in calo, tasso SLO di patching in aumento, tempi di ripristino ridotti.

• Finalizzare policy sul riscatto e albero decisionale (con paletti legali).

• Fissare uno steering trimestrale: il budget segue la riduzione del rischio dimostrabile, non l’intuizione.

Comunicazione & logica decisionale durante l’incidente

Il maggiore driver di costo è il tempo perso per incertezza. Definire in anticipo:

• Chi decide su fermo produttivo, forensica esterna, comunicazioni a clienti/autorità?

• Quali criteri attivano quali escalation (es. indicatori di esfiltrazione, cifratura attiva, filiera coinvolta)?

• Quali canali out-of-band usare se i sistemi primari sono inaffidabili?

Conclusione: la disciplina batte lo zoo di strumenti

Il ransomware non scomparirà—è redditizio. I difensori vincono con velocità, chiarezza e pratica: mettere in sicurezza le identità, chiudere le falle in giorni, provare il ripristino con evidenze e cablare in anticipo le decisioni. Non è un “nice to have”, è l’airbag dei costi. Chi esegue correttamente il piano dei 90 giorni riduce i danni e la pressione negoziale—e rende RaaS un po’ meno profittevole.