Una delle piaghe informatiche più diffuse oggi, è senza ombra di dubbio il ransomware, minaccia che negli ultimi tempi sta subendo delle trasformazioni profonde.
Nell’articolo che condividiamo di seguito, Deepen Desai, EVP, Chief Security Officer di Zscaler analizza le ultime tattiche adottate dai criminali informatici e condivide qualche raccomandazione per le aziende dei settori più colpiti, al fine di aggiornare le infrastrutture di sicurezza e mitigare in modo più efficace le minacce future.
Buona lettura!
Il nuovo manuale del ransomware: estorsioni guidate dall’intelligenza artificiale e l’ascesa degli attacchi basati sui dati
Il ransomware sta attraversando una fase di profonda trasformazione. Tra aprile 2024 e aprile 2025, l’infrastruttura cloud di Zscaler ha bloccato oltre 10,8 milioni di tentativi di attacchi ransomware, con un incremento del 145,9% su base annua, il volume più elevato mai registrato dall’inizio del monitoraggio. Tuttavia, l’evoluzione di questa minaccia non riguarda soltanto la crescita quantitativa, ma anche la crescente sofisticazione e personalizzazione degli attacchi.
Gli attacchi, che un tempo erano opportunistici e basati sulla forza bruta per infiltrarsi e crittografare i sistemi, si sono evoluti in campagne strategiche di estorsione dei dati e pressione psicologica. Oggi i criminali informatici non si limitano più alla sola crittografia: sfruttano i dati sottratti come strumento di coercizione e impiegano l’intelligenza artificiale generativa per condurre attacchi con una velocità e una precisione senza precedenti.
Mentre le aziende si confrontano con attacchi ransomware sempre più personalizzati e persistenti, diventa essenziale raggiungere un nuovo livello di vigilanza e innovazione nella difesa. In questo articolo, analizziamo le ultime tattiche adottate dai criminali informatici e offriamo raccomandazioni per le aziende dei settori più colpiti, al fine di aggiornare le infrastrutture di sicurezza e mitigare in modo più efficace le minacce future.
Passaggio all’estorsione dei dati e all’utilizzo dell’IA generativa
Oggi gli hacker non si limitano più a bloccare l’accesso delle vittime ai propri sistemi, ma mirano al furto di informazioni sensibili e alla minaccia di esposizione pubblica sui siti di leak. Questa tattica sfrutta la paura delle aziende di subire gravi danni reputazionali, conseguenze normative e perdita di proprietà intellettuale, inducendo molte aziende a pagare riscatti anche quando i sistemi restano accessibili. L’adozione dell’intelligenza artificiale generativa ha accelerato questo cambiamento, automatizzando la fase di “reconnaissance”, il phishing e lo sviluppo di malware con un’efficienza senza precedenti.
Le campagne ransomware odierne sono altamente personalizzate; spesso sfruttano l’impersonificazione e prendono di mira gli utenti con accessi privilegiati per massimizzare gli impatti. Gli attacchi spam massivi e non mirati hanno lasciato il posto a intrusioni furtive e mirate che facilitano i movimenti laterali all’interno delle reti delle vittime. Per contrastare questo cambiamento negli attacchi, i team IT devono rivolgersi a strategie di difesa potenziate dall’Intelligenza Artificiale per combattere l’IA con l’IA stessa.
Settori sotto assedio – settore manifatturiero, sanità e tecnologia
Oltre all’evoluzione delle tattiche dei ransomware, si è registrato un corrispondente cambiamento nel bersaglio degli attacchi. Nell’ultimo anno, gli attacchi ransomware sono aumentati in tutti quei settori in cui l’interruzione delle attività, la sensibilità dei dati e le implicazioni normative offrono un elevato potere di ricatto. Il settore sanitario, in particolare, rimane uno degli obiettivi principali, a causa dei suoi vasti archivi di informazioni sanitarie protette (PHI), con 725 violazioni e 275 milioni di record esposti nel 2024.
Al di fuori della sanità, vi sono altri settori presi di mira in relazione ai loro sforzi di trasformazione digitale. L’Oil & Gas ha registrato un picco del 935% dei tentativi di ransomware, guidato da una maggiore automazione e dalle vulnerabilità dei sistemi di controllo industriale, che rendono altamente efficaci anche gli attacchi poco sofisticati. Nel settore agricolo gli attacchi sono cresciuti del 677% poiché la digitalizzazione dell’agricoltura (trattori intelligenti, sensori IoT) è stata più veloce rispetto all’adozione di adeguate misure di cybersicurezza. Technology & Manufacturing sono stati tra i settori più attaccati, riflettendo i loro ambienti ricchi di dati e le interdipendenze operative.
La sicurezza legacy non funziona
Il problema, in questi casi, non è necessariamente lo sforzo di trasformazione digitale in sé, ma le architetture di sicurezza legacy. Nonostante gli attacchi ransomware siano sempre più sofisticati, molti settori si affidano ancora ad architetture di sicurezza obsolete come VPN, firewall e soluzioni specifiche come l’anti-malware che non sono state progettate per contrastare le minacce moderne. Questi sistemi frammentati creano punti ciechi nel traffico crittografato, visibilità delle minacce in silos e applicazione incoerente delle policy. Peggio ancora, spesso concedono accessi eccessivamente permissivi, consentendo ai criminali informatici di muoversi lateralmente attraverso le reti, una volta all’interno.
Per affrontare queste e altre sfide, gli esperti promuovono una transizione verso architetture Zero Trust native del cloud e basate sull’intelligenza artificiale. Queste piattaforme unificano la sicurezza tra utenti, dispositivi e applicazioni indipendentemente dalla posizione, riducendo al minimo i rischi e semplificando la protezione.
I quattro pilastri della moderna difesa dal ransomware
Per affrontare efficacemente la moderna minaccia ransomware, le aziende devono concentrarsi sulla riduzione al minimo della superficie di attacco nascondendo utenti, applicazioni e dispositivi dietro ad un proxy cloud sicuro. Questo approccio rimuove gli indirizzi IP pubblici e l’accesso diretto alla rete, rendendo molto più difficile per i criminali informatici trovare e sfruttare le vulnerabilità.
Una difesa efficace richiede anche misure proattive per prevenire le compromissioni iniziali.
Effettuare un’ispezione completa dei protocolli Transport Layer Security (TLS)/Secure Socket Layer (SSL), implementare sandbox inline e isolare i file sospetti, garantisce che le minacce vengano fermate prima di raggiungere la rete, neutralizzando il ransomware prima che possa essere eseguito.
Prevenire i movimenti laterali all’interno della rete è altrettanto cruciale. Stabilendo connessioni dirette tra utenti e applicazioni, le aziende possono ridurre le opportunità per i criminali informatici di muoversi liberamente una volta entrati nella rete. La segmentazione basata sull’intelligenza artificiale adatta dinamicamente i privilegi di accesso in funzione del comportamento degli utenti e del contesto, mentre le tecnologie di deception attirano strategicamente i potenziali aggressori in trappole monitorate, aumentando la capacità di rilevamento e mitigazione delle minacce.
Infine, bloccare l’esfiltrazione dei dati è fondamentale per ridurre il potere ricattatorio del ransomware. La prevenzione della perdita di dati (DLP) inline, le tecnologie CASB (Cloud Access Security Broker) e l’ispezione completa del traffico operano insieme per impedire trasferimenti di dati non autorizzati verso lo shadow IT e verso infrastrutture di “command and control”. Grazie a queste strategie integrate e potenziate dall’intelligenza artificiale, le aziende possono stare al passo con l’evoluzione delle tattiche di ransomware e proteggere meglio le proprie risorse critiche.
Adattarsi a una nuova realtà
Nell’era dell’estorsione dei dati guidata dall’intelligenza artificiale, il ransomware è diventato un’arma chirurgica, capace di colpire sfruttando tanto le vulnerabilità tecnologiche quanto la psicologia umana. Non si tratta più di semplice crittografia: l’esfiltrazione dei dati, potenziata dall’IA generativa e dal targeting personalizzato, rende gli attacchi più rapidi, silenziosi e devastanti. Per difendersi, le aziende devono muoversi con la stessa velocità, sostituendo le difese legacy con framework di sicurezza intelligenti e integrati, in grado di anticipare, isolare e neutralizzare le minacce prima che si aggravino. L’urgenza è reale: in gioco non ci sono solo le attività aziendali, ma la sopravvivenza stessa delle aziende.
di Deepen Desai, EVP, Chief Security Officer di Zscaler
