In sintesi
- Le email di phishing rappresentano il 52.3% degli attacchi ransomware nel 2024, confermandosi il vettore principale
- Gli accessi RDP mal configurati restano una porta aperta per il 21% delle intrusioni documentate
- Gli attacchi alla supply chain hanno colpito oltre 2.100 aziende italiane attraverso software compromessi
- Il mercato nero conta 2.9 miliardi di credenziali uniche rubate, +700 milioni rispetto al 2023
Il ransomware non arriva per caso. Entra attraverso porte precise, sfruttando debolezze che spesso conosciamo ma sottovalutiamo. Mentre leggi questo articolo, un criminale informatico sta probabilmente testando uno di questi vettori contro la tua infrastruttura. La differenza tra chi subisce un attacco e chi lo respinge sta nel conoscere e presidiare i punti di ingresso critici.
I dati del primo semestre 2024 mostrano una realtà inequivocabile: i vettori di attacco ransomware si concentrano su pochi canali ad alta efficacia. Non servono tecniche sofisticate quando le basi sono scoperte. E le statistiche dimostrano che nella maggior parte dei casi, le basi sono effettivamente scoperte.
Phishing ransomware: il 52.3% degli attacchi parte da una email
Una email apparentemente innocua da un fornitore conosciuto. Un allegato che sembra una fattura. Un link per aggiornare le credenziali bancarie. Il phishing ransomware sfrutta la fiducia e la fretta quotidiana per infiltrarsi nei sistemi aziendali. I dati Clusit 2024 confermano che oltre la metà degli incidenti ransomware inizia proprio così.
Le tecniche si sono evolute. Non più solo email generiche mal tradotte, ma messaggi personalizzati che citano colleghi reali, riferimenti a progetti in corso, dettagli aziendali raccolti dai social media. Il Business Email Compromise (BEC) ha causato perdite per 2.9 miliardi di dollari globalmente nel 2023, con l’Italia al quarto posto in Europa per numero di attacchi subiti.
Particolarmente preoccupante è l’aumento del 318% degli attacchi QR-phishing registrato da Check Point Research nel primo trimestre 2024. I QR code bypassano i filtri antispam tradizionali e portano direttamente a siti di raccolta credenziali. Un metodo che ha già compromesso 14 aziende manifatturiere lombarde tra gennaio e marzo 2024.
L’evoluzione delle campagne di spear phishing
Le campagne moderne non sparano nel mucchio. Studiano l’organigramma aziendale su LinkedIn, monitorano le comunicazioni pubbliche, identificano i decisori chiave. Un CFO riceve una richiesta urgente dal CEO (falso) per un bonifico. Un responsabile IT riceve un alert di sicurezza da Microsoft (falso) che richiede l’inserimento delle credenziali amministrative.
Il gruppo criminale FIN7 ha dimostrato questa sofisticazione colpendo 130 aziende nel 2023 con email che simulavano perfettamente le comunicazioni interne delle vittime. Tempo medio tra l’apertura dell’email e la cifratura completa dei sistemi: 4 ore e 37 minuti.
RDP sicurezza: quando il desktop remoto diventa il cavallo di Troia
Il Remote Desktop Protocol esposto su Internet equivale a lasciare le chiavi dell’azienda sotto lo zerbino. Eppure, una scansione Shodan di ottobre 2024 rivela 3.2 milioni di server RDP accessibili pubblicamente, di cui 47.000 in Italia. Ogni porta 3389 aperta è un invito per i criminali informatici.
La RDP sicurezza viene compromessa principalmente attraverso attacchi brute force sulle password deboli. Un server RDP esposto riceve in media 1.400 tentativi di accesso non autorizzato al giorno. Con password come “Admin123” o “Azienda2024”, il tempo medio di compromissione scende a 14 minuti.
I marketplace del dark web vendono accessi RDP compromessi a prezzi che vanno dai 5 ai 500 dollari, in base al valore percepito dell’azienda target. Genesis Market, prima della chiusura, catalogava 24.000 accessi RDP italiani in vendita. Questi accessi rappresentano il punto di partenza per il 21% degli attacchi ransomware 2026 previsti dagli analisti.
Le vulnerabilità RDP più sfruttate
BlueKeep (CVE-2019-0708) continua a essere sfruttata nonostante la patch disponibile da maggio 2019. Un’analisi di Rapid7 mostra che il 17% dei server Windows Server 2008 e 2012 italiani rimane vulnerabile. La situazione peggiora con le implementazioni cloud, dove il 31% delle istanze EC2 con RDP esposto non ha Multi-Factor Authentication attiva.
I criminali non si limitano al brute force. Sfruttano vulnerabilità note, certificati SSL scaduti, configurazioni predefinite. Il gruppo Conti ha documentato nei suoi playbook leaked come identificare e sfruttare sistematicamente queste debolezze in meno di 30 minuti per target.
Supply chain attacks: quando il nemico arriva da fornitori fidati
Immagina di aggiornare un software gestionale che usi da anni, solo per scoprire che l’update conteneva un ransomware. Gli attacchi alla supply chain colpiscono proprio dove la guardia è più bassa: attraverso fornitori e software considerati affidabili.
Il caso MOVEit del 2023 ha dimostrato la devastazione potenziale: un singolo software compromesso ha impattato oltre 2.100 organizzazioni globalmente, incluse 47 aziende italiane del settore sanitario e finanziario. I vettori di attacco ransomware attraverso la supply chain sono particolarmente insidiosi perché bypassano le difese perimetrali tradizionali.
SolarWinds, Kaseya, 3CX: ogni attacco alla supply chain moltiplica esponenzialmente il numero di vittime. Un singolo fornitore compromesso può significare centinaia di aziende clienti infettate simultaneamente. Il ransomware entra attraverso canali di aggiornamento legittimi, firmato digitalmente, invisibile ai controlli di sicurezza standard.
Il rischio nascosto nei fornitori di terzo livello
La catena di fornitura IT media coinvolge 40-60 vendor diversi. Ogni fornitore rappresenta un potenziale vettore di ingresso. Particolarmente vulnerabili sono i fornitori di terzo e quarto livello: piccole software house, integratori locali, consulenti esterni che spesso operano con standard di sicurezza minimi.
Un’indagine ENISA 2024 rivela che il 62% degli attacchi supply chain sfrutta fornitori con meno di 100 dipendenti. Questi target “soft” diventano il trampolino per raggiungere clienti enterprise. Il tempo medio di scoperta di una compromissione supply chain: 206 giorni.
Credenziali compromesse: il mercato nero da 2.9 miliardi di identità
Ogni giorno, 8.1 milioni di nuove credenziali finiscono nel dark web. Il totale 2024 ha raggiunto 2.9 miliardi di set unici di username e password, un aumento del 32% rispetto ai 2.2 miliardi del 2023. Queste credenziali alimentano il 18% degli attacchi ransomware documentati.
Il problema non è solo la quantità, ma la qualità delle informazioni disponibili. I database leaked includono spesso email aziendali, password in chiaro, risposte alle domande di sicurezza. Il credential stuffing – l’uso automatizzato di credenziali rubate su molteplici servizi – ha un tasso di successo del 2-3%. Sembra poco, ma su miliardi di tentativi significa milioni di accessi riusciti.
Have I Been Pwned registra 714 breach maggiori nel 2024, con una media di 4.1 milioni di account compromessi per incidente. Le aziende italiane compaiono in 89 di questi breach, spesso senza esserne consapevoli. Il riutilizzo delle password amplifica il danno: il 65% degli utenti business usa la stessa password su almeno 5 servizi diversi.
Il business delle Initial Access Broker
Gli Initial Access Broker (IAB) hanno trasformato le credenziali rubate in un business strutturato. Vendono accessi pre-verificati a gruppi ransomware, con prezzi che variano da 500 a 150.000 dollari basati sul fatturato dell’azienda target. Un accesso VPN a un’azienda italiana del settore manifatturiero con fatturato sopra i 100 milioni viene quotato mediamente 25.000 dollari.
Questi broker offrono garanzie, sostituzioni in caso di accessi non funzionanti, persino “assistenza post-vendita”. Il modello Ransomware-as-a-Service si alimenta di questo ecosistema criminale professionalizzato.
Prioritizzare le difese: dove concentrare risorse limitate
Non puoi difendere tutto con la stessa intensità. I dati mostrano chiaramente dove concentrare gli sforzi: email security copre il 52% del rischio, RDP hardening il 21%, supply chain monitoring il 9%, credential monitoring il 18%. Questa distribuzione dovrebbe guidare l’allocazione del budget di sicurezza.
Il vulnerability scanning settimanale non è più opzionale. Tenable Research documenta che il tempo medio tra la pubblicazione di una vulnerabilità critica e il primo sfruttamento in the wild è sceso a 12 giorni nel 2024. Scanner automatizzati identificano esposizioni RDP, certificati scaduti, servizi non patchati prima che lo facciano i criminali.
La segmentazione della rete limita i danni quando un vettore viene compromesso. Un ransomware che entra via phishing ransomware non dovrebbe poter raggiungere i backup o i sistemi di produzione. Eppure, nel 73% degli incidenti analizzati da Mandiant nel 2024, l’attaccante ha ottenuto movimento laterale completo in meno di 24 ore.
Il ruolo critico del monitoraggio continuo
Un Security Operations Center (SOC) efficace riduce il tempo di rilevamento da 206 giorni a 24 ore. La differenza tra un incidente contenuto e un disastro aziendale sta proprio in questa finestra temporale. Strumenti di Extended Detection and Response (XDR) correlano segnali da email, endpoint, network per identificare catene di attacco complesse.
Il monitoraggio del dark web per credenziali aziendali compromesse dovrebbe essere routine. Servizi come SpyCloud o Recorded Future alertano quando email aziendali compaiono in nuovi breach. Intervenire prima che le credenziali vengano weaponizzate può prevenire completamente un attacco.
Conclusione: la difesa stratificata come unica risposta efficace
I vettori di attacco ransomware sono noti, documentati, prevedibili. Eppure continuano a funzionare perché le aziende sottovalutano sistematicamente il rischio o rimandano gli investimenti in sicurezza. La realtà è che non serve una sicurezza perfetta, ma una sicurezza migliore di quella del 70% delle altre aziende nel tuo settore.
Email security avanzata, chiusura degli RDP esposti, validazione della supply chain, monitoraggio delle credenziali: sono investimenti che si ripagano al primo attacco evitato. Il costo medio di un incidente ransomware in Italia nel 2024 supera i 4.2 milioni di euro. Il costo di una strategia di prevenzione efficace è una frazione di questa cifra.
Per approfondire come strutturare una ransomware azienda difesa completa e prepararsi agli scenari futuri, il framework di risposta agli incidenti diventa essenziale per ogni organizzazione che voglia sopravvivere nel panorama delle minacce 2025-2026.
FAQ
Quali sono i principali vettori di attacco ransomware nel 2024?
I principali vettori includono email di phishing (52.3% degli attacchi), Remote Desktop Protocol esposti (21%), attacchi alla supply chain (9%) e credenziali compromesse (18%). Questi quattro vettori coprono virtualmente tutti gli incidenti ransomware documentati.
Come identificare email di phishing ransomware sofisticate?
Le email moderne di phishing ransomware utilizzano informazioni pubbliche per personalizzare i messaggi, imitano perfettamente template aziendali noti, contengono QR code invece di link diretti, e spesso arrivano da domini molto simili a quelli legittimi (typosquatting). Verificare sempre mittente, urgenza della richiesta e presenza di allegati inattesi.
Quanto costa mediamente un accesso RDP compromesso nel dark web?
Gli accessi RDP vengono venduti tra 5 e 500 dollari in base al valore dell’azienda target. Aziende italiane con fatturato superiore a 100 milioni vedono i propri accessi quotati mediamente a 25.000 dollari. Initial Access Broker professionali offrono anche garanzie e sostituzioni.
Quali vulnerabilità RDP sono ancora sfruttate nonostante le patch disponibili?
BlueKeep (CVE-2019-0708) rimane sfruttata nel 17% dei server Windows italiani nonostante la patch del 2019. Altre vulnerabilità comuni includono configurazioni predefinite non modificate, assenza di Multi-Factor Authentication (31% delle istanze cloud), e certificati SSL scaduti.
Come funziona un attacco ransomware attraverso la supply chain?
I criminali compromettono un software utilizzato da molte aziende, inserendo codice malevolo negli aggiornamenti legittimi. Quando i clienti installano l’update, il ransomware entra bypassando tutti i controlli di sicurezza perché proviene da una fonte fidata e spesso è digitalmente firmato.
Qual è il tempo medio tra compromissione iniziale e cifratura completa dei dati?
Il tempo medio documentato è di 4 ore e 37 minuti per attacchi via email. Con accessi RDP già compromessi, il tempo scende a meno di 2 ore. Gli attacchi supply chain possono rimanere dormienti per settimane prima dell’attivazione, con tempo medio di scoperta di 206 giorni.
Ogni quanto dovrebbe essere eseguito un vulnerability scanning per essere efficace?
Il vulnerability scanning dovrebbe essere eseguito almeno settimanalmente, considerando che il tempo medio tra pubblicazione di una vulnerabilità e primo sfruttamento è di soli 12 giorni. Scansioni giornaliere sono consigliate per asset critici esposti su Internet.
Quali sono i segnali precoci di un possibile attacco ransomware in corso?
Segnali precoci includono: tentativi di login anomali fuori orario, scansioni di rete interne inusuali, creazione di nuovi account amministrativi, disabilitazione di software antivirus, accessi a share di rete raramente utilizzate, e modifiche alle configurazioni di backup. Il monitoraggio di questi indicatori può permettere l’interruzione dell’attacco prima della cifratura.