NAKIVO > Blog

Come rilevare il ransomware: comprendere i segni dell’infezione

Aggiornato: Gennaio 16, 2026

Written by: NAKIVO Team

Con l’aumentare della sofisticazione del ransomware, le organizzazioni sono costantemente minacciate dalla perdita di dati e dalle violazioni. Secondo Statista, dal 2018 un numero crescente di organizzazioni ha subito attacchi ransomware ogni anno e il picco è stato raggiunto nel 2021 con il 68,5% delle aziende. Inoltre, il numero di famiglie di ransomware rilevate nel 2020 è stato superiore del 34% rispetto a quello del 2019 (rispetto a 127 famiglie nel 2020).

In questo post del blog definiamo il ransomware e facciamo luce sui principali canali di infezione e sulle tecniche di rilevamento del ransomware. Inoltre, esaminiamo le soluzioni per identificare il ransomware, prevenire ulteriori infezioni e aumentare la resilienza dei vostri dati contro il ransomware.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Che cos’è il ransomware?

Il ransomware è un software dannoso utilizzato per introdursi in ambienti IT personali/aziendali e eseguire la crittografia o bloccare i dati. L’obiettivo degli attacchi ransomware è quello di estorcere un riscatto alle vittime in cambio del ripristino dell’accesso ai dati crittografati/bloccati.

Come i sistemi vengono infettati dal ransomware: 5 vettori di infezione

Per evitare che i sistemi IT della vostra organizzazione vengano infettati dal ransomware, è necessario essere consapevoli dei modi più comuni in cui il malware si diffonde. In questo modo, potrete capire quali componenti del sistema sono più esposti e vulnerabili agli attacchi ransomware e come rilevare tempestivamente l’attività ransomware nella vostra Infrastruttura.

I modi in cui la vostra organizzazione può diventare vittima di ransomware sono innumerevoli. Tuttavia, ecco i vettori di infezione da malware più diffusi:

  • Messaggi e-mail sospetti che invitano il destinatario a cliccare su un link o a scaricare un allegato contenente malware.
  • Siti web dannosi creati per indurre le persone a sfogliare le loro pagine e, alla fine, a essere infettate dal ransomware cliccando su collegamenti ipertestuali dannosi.
  • I social media sono spesso considerati piattaforme affidabili e legittime, il che induce le persone a fidarsi immediatamente di loro. In genere, il malware si diffonde attraverso applicazioni, pubblicità, plug-in e link dannosi presenti sulle piattaforme dei social media. Queste applicazioni, pubblicità, link e allegati del browser convincono poi gli utenti a scaricare contenuti dannosi, come ransomware o agenti di cryptomining.
  • Il malvertising è una forma di pubblicità online che contiene codice dannoso. Cliccando sul link di un sito web apparentemente legittimo, il computer può essere automaticamente infettato da malware.
  • Il ransomware mobile viene eseguito tramite app mobili in cui è stato inserito codice dannoso. Scaricando tali app, è possibile che il malware infetti il cellulare in pochi secondi e che l’infezione si diffonda al computer la volta successiva che si collegano i due dispositivi.

Tecniche di rilevamento del ransomware

Per rilevare il ransomware che tenta di introdursi o che sta già compromettendo il proprio ambiente IT, è possibile utilizzare una serie di strumenti e tecniche che aiutano a individuare i file dannosi e le attività sospette. Gli specialisti IT distinguono i seguenti tipi di tecniche di rilevamento:

  • Basate su firme
  • Basate sul comportamento
  • Inganno

Di seguito esaminiamo nei dettagli ciascuna tecnica di rilevamento del ransomware.

Rilevamento basato su firma

I metodi basati su firma confrontano un hash campione di un ceppo di ransomware con le firme trovate in precedenza. Si tratta di una tecnica comune di primo livello per le soluzioni antivirus e le piattaforme di sicurezza. Queste controllano i frammenti di dati contenuti in un file eseguibile prima di avviare tale file. La tecnica consiste nel rilevare tempestivamente frammenti di codice simili a ransomware e bloccare l’esecuzione del codice infetto.

Il metodo viene utilizzato per costruire la difesa di base di un’organizzazione. Tuttavia, anche se rilevano efficacemente i ceppi di ransomware noti, i metodi basati sulle firme possono fallire con i nuovi malware. Inoltre, gli hacker investono molto impegno nell’aggiornamento dei loro malware e degli strumenti di neutralizzazione della sicurezza, rendendo più difficile il rilevamento delle firme.

Attualmente sul mercato sono presenti diversi vendor di software per il rilevamento di malware. Ciascuno di essi offre una serie di strumenti di rilevamento del ransomware che possono essere efficaci fino a un certo punto. Tuttavia, secondo il rapporto di Sophos, oltre il 50% degli attacchi ransomware nel 2021 ha avuto successo, il che significa che nessun sistema di rilevamento malware è in grado di individuare il ransomware con una garanzia del 100%.

Rilevamento basato sul comportamento

I metodi di rilevamento del ransomware basati sul comportamento confrontano i comportamenti noti storicamente con quelli nuovi. Specialisti e strumenti automatici effettuano il monitoraggio delle attività degli utenti e delle applicazioni all’interno dell’ambiente per rilevare cambiamenti insoliti nei file system, traffico insolito, processi sconosciuti e chiamate API, tra gli altri segnali.

Controlla e ricorda i segni comportamentali comuni dei tentativi di attacco ransomware o delle infezioni di sistema riuscite:

  • E-mail di spam e phishing: Il phishing è l’approccio più comune utilizzato dagli hacker per diffondere il ransomware.
  • Riduzione delle prestazioni: Se i nodi della vostra infrastruttura IT funzionano più lentamente del previsto, assicuratevi di reagire a una potenziale intrusione di ransomware.
  • Attività di accesso sospette continue: Quando si verificano regolarmente tentativi di accesso non riusciti su vari account da ubicazioni e dispositivi insoliti, è molto probabile che qualcuno stia cercando di ottenere un accesso non autorizzato ai sistemi IT della vostra organizzazione.
  • Rilevati scanner di rete non autorizzati: Quando non si conosce chi ha avviato la procedura di scansione della rete e per quale scopo, è necessario indagare poiché potrebbe trattarsi di un’attività dannosa.
  • Potenziali attacchi di prova: Gli hacker possono lanciare alcuni attacchi leggeri su alcuni nodi per verificare la resilienza del sistema di protezione della vostra organizzazione e il tempo di reazione prima di lanciare un attacco su larga scala.
  • Disabilitazione o rimozione del software di sicurezza: Nessuna delle interruzioni del sistema di protezione deve essere ignorata, perché anche un malfunzionamento di breve durata significa una breccia aperta per un’infezione da ransomware.
  • Crittografia dei dati su alcuni nodi: La crittografia dei dati riuscita su qualsiasi nodo del sistema indica una violazione della protezione dei dati che gli hacker possono sfruttare per sferrare attacchi più gravi.
  • Strumenti di hacking noti rilevati: Se nell’ambiente della vostra organizzazione sono presenti applicazioni quali Microsoft Process Explorer, MimiKatz, IOBit Uninstaller e PC Hunter, è necessario eseguire una revisione completa della sicurezza di ogni nodo.
  • Attività insolita relativa ad Active Directory: È noto un caso d’uso in cui gli hacker hanno utilizzato il protocollo RDP (Remote Desktop Protocol) per raggiungere i server AD protetti di impianti petroliferi e di gas e iniettare il ransomware Ryuk direttamente nello script di accesso AD.
  • Tentativi di danneggiamento dei backup: Le piattaforme di archiviazione dei backup sono tra gli obiettivi prioritari degli attacchi informatici. Qualsiasi attività sospetta relativa all’archiviazione dei backup, sia su dischi fisici che sul cloud, può essere un segno di un potenziale attacco ransomware o di un attacco in corso.

Rilevamento basato sull’inganno

Proprio come gli hacker cercano regolarmente di ingannare i sistemi di rilevamento delle minacce digitali di un’organizzazione, gli specialisti della sicurezza IT hanno escogitato un modo per attirare i malintenzionati. Una delle esche più comuni è nota come honeypot: un server o un’area nell’ambiente IT di un’organizzazione che contiene dati che sembrano avere valore per gli hacker. Tuttavia, questo ambiente è completamente isolato dal sito e può essere utilizzato per il monitoraggio e l’analisi delle tattiche di attacco..

Le minacce in continua evoluzione spingono le aziende a utilizzare ogni opzione di sicurezza disponibile per prevenire violazioni e perdite di dati, pertanto combinare diversi metodi di rilevamento del ransomware è una pratica comune. Inoltre, una buona strategia per rilevare e combattere in modo proattivo gli attacchi ransomware consiste nel comprendere le tattiche degli aggressori e prevenire le infiltrazioni. Di seguito sono riportati alcuni consigli per identificare e prevenire gli attacchi.

Come identificare e prevenire un attacco

Si consiglia di adottare le seguenti pratiche per prevenire gli attacchi ransomware. Abbiamo anche aggiunto suggerimenti su come ridurre i rischi di perdita di dati nel caso in cui il ransomware si infiltri nell’ambiente dell’organizzazione.

  • Incoraggiare i dipendenti a:
    • Imparare a riconoscere i segnali più comuni del ransomware e di altri malware
    • Utilizzare password complesse e aggiornarle regolarmente
    • Esaminare i link e gli allegati prima di cliccarci sopra
    • Comprendere come funziona il phishing e controllare gli indirizzi e-mail dei messaggi in arrivo
  • Aggiornate regolarmente il vostro sistema

È necessario mantenere aggiornati il sistema operativo e le applicazioni critiche. Installare gli aggiornamenti non appena vengono rilasciati. Gli aggiornamenti di sistema e le patch di sicurezza hanno generalmente lo scopo di correggere i problemi delle versioni precedenti e coprire le vulnerabilità note del sistema.

  • Verifica il software di terze parti

Prima di installare software di terze parti, verificare che il vendor del software sia autentico e affidabile. A tal fine, installare un software di whitelisting (ad esempio Bit9, Velox, McAfee, Lumension), in grado di identificare se una nuova applicazione è sufficientemente sicura da poter essere installata ed eseguita nel proprio sistema.

  • Eseguite regolarmente la scansione della vostra infrastruttura

Installate e utilizzate un software anti-malware che vi avvisi di eventuali minacce, identifichi potenziali vulnerabilità e rilevi attività ransomware nella vostra infrastruttura. I moderni strumenti anti-ransomware consentono di eseguire la scansione dell’intero sistema alla ricerca di virus esistenti e minacce malware attive. Inoltre, tali scansioni del computer possono essere eseguite on demand o in base alla pianificazione impostata dall’utente, riducendo così al minimo l’intervento di gestione da parte sua.

  • Crea honeypot

Un honeypot è una delle misure di sicurezza più efficaci che possono essere utilizzate per confondere i criminali informatici e distogliere la loro attenzione dai file critici. Configurando un honeypot, si crea un archivio di file falso o un server che sembra un obiettivo legittimo per un estraneo e appare particolarmente allettante per gli autori di attacchi ransomware. In questo modo, non solo è possibile proteggere i propri file e rilevare rapidamente un attacco ransomware, ma anche imparare come operano i criminali informatici. Quindi, utilizzare tali dati ed esperienze per migliorare la protezione del proprio sistema contro futuri attacchi informatici.

  • Limitare l’accesso a sistemi e applicazioni critici

Applicare il principio del privilegio minimo quando si concedono ai dipendenti le autorizzazioni per l’accesso ai sistemi. Il principio prevede di concedere a un dipendente l’accesso solo ai file e alle risorse di sistema obbligatori per svolgere il proprio lavoro in modo efficiente. Qualsiasi azione o accesso non obbligatorio per lo svolgimento delle mansioni di un dipendente dovrebbe essere vietato dall’amministratore per evitare infezioni accidentali.

  • Protezione dei dati e test dei backup

Creare e aggiornare regolarmente i backup dei dati. Utilizzare la regola 3-2-1 per migliorare la protezione e garantire il ripristino dei dati crittografati dal ransomware. La regola impone di avere 3 copie dei dati e di archiviarle su 2 supporti diversi, di cui 1 offsite. Dopo aver eseguito il backup dei dati, eseguire dei test per verificare che i backup siano funzionanti e recuperabili. In questo modo è possibile prevenire guasti che altrimenti potrebbero verificarsi durante il ripristino del sistema.

Come NAKIVO può aiutare a proteggere i dati dal ransomware

Oggi, un attacco ransomware che rende indisponibili i dati di un’organizzazione non è solo un’altra probabilità, ma una questione di tempo. Il modo più efficace per prevenire incidenti di perdita di dati ed evitare interruzioni della produzione dopo attacchi ransomware riusciti è disporre di backup validi pronti per il ripristino dei dati.

Some 93% delle aziende che non implementano backup e piani di ripristino di emergenza cessano l’attività entro un anno da un disastro globale di perdita di dati. D’altra parte, il 96% delle aziende che dispongono di una strategia affidabile di backup e ripristino è stato in grado di riprendersi con successo dagli attacchi ransomware.

NAKIVO Backup & Replication è una soluzione di protezione dei dati che è possibile utilizzare per implementare una strategia affidabile di protezione dai ransomware e aumentare la resilienza dell’organizzazione agli attacchi:

  1. Creare backup affidabili e coerenti con le applicazioni dei propri dati.
  2. Archivia i backup onsite, inviali offsite o nel cloud per seguire la regola 3-2-1 ed evitare un singolo punto di errore.
  3. Abilita l’immutabilità per i backup archiviati in repository locali basati su Linux e/o nel cloud per garantire che i dati di backup rimangano invariati e disponibili anche se il ransomware colpisce l’infrastruttura di backup.
  4. Abilita la crittografia dei dati di backup in transito e inattivi. La soluzione utilizza lo standard di crittografia AES-256 per impedire l’accesso di terzi ai dati di backup.
  5. Utilizza il controllo degli accessi basato sui ruoli (RBAC) per impostare i diritti di accesso dei dipendenti e migliorare la sicurezza dei backup.
  6. Quando un attacco ransomware colpisce e crittografa i dati originali, utilizza i backup per il ripristino. È possibile ripristinare immediatamente VM complete e macchine fisiche come VM. Utilizza Instant Granular Recovery per ripristinare singoli file e oggetti applicativi nelle posizioni originali o personalizzate per tempi di inattività ancora più brevi.
  7. Utilizza la replica, il failover automatizzato e l’orchestrazione del ripristino di emergenza per una rapida disponibilità di sistemi e applicazioni.

La soluzione NAKIVO ti consente di controllare e automatizzare i processi di backup e ripristino da un unico pannello di controllo. Esegui backup ogni minuto per ridurre al minimo la perdita di dati. Con backup immutabili a vostra disposizione, potete evitare di pagare il riscatto agli hacker anche dopo che il ransomware ha aggirato i vostri sistemi di sicurezza e eseguito con successo la crittografia dei dati originali.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Le persone leggono anche

Picture
Come proteggere i backup dal ransomware con la scansione antimalware di NAKIVO
Picture
Come creare un disco rigido di dimensioni fisse per una VM Hyper-V
Picture
Procedure consigliate per il backup di Active Directory