Il ransomware cripta i tuoi dati e chiede un riscatto per decifrarli. È diventato l'arma più redditizia del crimine organizzato digitale. L'IA aggiunge precisione e scala.
Come l'IA cambia il ransomware:
- Targeting selettivo: analisi dei dati esfiltrati per identificare PMI con cyber-insurance (paga di più), aziende in periodi critici (chiusura bilancio, M&A).
- Esfiltrazione intelligente: invece di prendere tutto, prende solo ciò che fa più male (dati sensibili, contratti riservati, IP).
- Negoziazione automatizzata: chatbot gestiscono trattative col bersaglio, in italiano, h24.
- Doxxing intelligente: se non paghi, l'IA seleziona quali documenti pubblicare sul leak site per massimo danno reputazionale.
Gruppi attivi (turnover continuo):
- LockBit: smantellato da operazione internazionale Cronos 2024, riaffiora con varianti.
- BlackCat/ALPHV: chiuso 2024 dopo exit scam.
- Akira, Cl0p, Play, Medusa: gruppi attivi 2024-2025.
Italia bersaglio frequente:
- Attacco Westpole 2023: blocco di servizi PA, tra cui Comuni.
- Attacco a Synlab 2024: dati sanitari di centinaia di migliaia di pazienti pubblicati.
- PMI manifatturiere del Nord costantemente colpite.
Difese che funzionano davvero:
- Backup offline testati. Non basta avere il backup, va testato il restore.
- Segmentazione rete: il ransomware ha bisogno di muoversi laterale.
- EDR moderno: blocca il pattern di crittografia massiva.
- Patch management: l'80% degli attacchi sfrutta CVE noti da settimane.
- Zero trust: nessun account ha privilegi default su tutto.
- Piano di incident response testato: senza piano, la prima reazione è sempre sbagliata.
Se subisci un attacco: non pagare se possibile (alimenti il business), denuncia Polizia Postale, contatta CSIRT Italia, segnala al Garante entro 72 ore se ci sono dati personali coinvolti.