Human-Operated Ransomware: l'evoluzione della minaccia cyber più sofisticata

Human-Operated Ransomware: l’evoluzione della minaccia cyber più sofisticata

A cura di:Redazione Ore

Il panorama delle minacce informatiche ha subito una trasformazione radicale negli ultimi anni, con l’emergere di una categoria di attacchi particolarmente insidiosa: il human-operated ransomware (HOR), noto anche come “big game hunting”. A differenza dei tradizionali attacchi ransomware automatizzati che si diffondono indiscriminatamente come malware self-replicating (quali WannaCry o NotPetya), questa tipologia coinvolge operatori umani altamente specializzati che conducono campagne mirate contro organizzazioni di alto valore, personalizzando ogni fase dell’attacco per massimizzare l’impatto e il riscatto.

La dimensione del fenomeno

I dati di Microsoft indicano un aumento del 275% degli attacchi ransomware condotti da operatori umani tra luglio 2023 e giugno 2024, evidenziando una crescita esponenziale che rappresenta una delle tendenze più preoccupanti nel panorama della cybersecurity contemporanea [1]. Nel primo semestre del 2024, le autorità statunitensi hanno tracciato 2.321 attacchi, con l’anno in corso che si avvia a superare il record di 4.506 attacchi registrati nel 2023 [2].

Le agenzie federali statunitensi, tra cui FBI, CISA (Cybersecurity and Infrastructure Security Agency) e il Multi-State Information Sharing and Analysis Center, hanno rilasciato numerosi advisory congiunti per diffondere informazioni su tattiche, tecniche e procedure (TTP) e indicatori di compromissione relativi a diverse varianti di ransomware come Interlock, Medusa e Play [3][4][5], testimoniando l’urgenza con cui le istituzioni affrontano questa minaccia.

Caratteristiche distintive degli attacchi Human-Operated Ransomware

A differenza degli attacchi ransomware automatizzati, gli attacchi human-operated sono il risultato di un’azione attiva da parte di cybercriminali che infiltrano l’infrastruttura IT di un’organizzazione, escalano i propri privilegi e distribuiscono ransomware su dati critici. Questi attacchi “hands-on-keyboard” prendono di mira organizzazioni piuttosto che singoli dispositivi [6][7].

Gli operatori dimostrano una conoscenza approfondita dell’amministrazione di sistema e delle configurazioni di sicurezza di rete più comuni, conducono ricognizioni dettagliate e si adattano continuamente a ciò che scoprono nella rete compromessa. Questi attaccanti utilizzano metodi di furto di credenziali e movimento laterale tradizionalmente associati agli attacchi mirati come quelli condotti da attori nation-state [7].

La catena di attacco: anatomia di un’intrusione sofisticata

Gli attacchi ransomware condotti da operatori umani seguono una progressione strutturata che comprende: compromissione iniziale, persistenza ed evasione dalle difese, movimento laterale, accesso alle credenziali e furto di dati [6].

Vettori di accesso iniziale

Le tecniche di accesso iniziale più diffuse osservate da Microsoft includono social engineering, compromissione dell’identità e sfruttamento di vulnerabilità in applicazioni pubblicamente esposte o sistemi operativi non aggiornati [2]. Storm-0501, un gruppo finanziariamente motivato, ha sfruttato vulnerabilità note in Zoho ManageEngine (CVE-2022-47966), Citrix NetScaler (CVE-2023-4966) e ColdFusion 2016 [8].

Il gruppo Play ransomware, responsabile di circa 900 entità compromesse fino a maggio 2025, ottiene l’accesso iniziale attraverso l’abuso di account validi, probabilmente acquistati nel dark web, e lo sfruttamento di applicazioni pubblicamente esposte, specificamente attraverso vulnerabilità note di FortiOS e Microsoft Exchange [9].

Persistenza e evasione

Gli attaccanti utilizzano strumenti legittimi come AnyDesk, un’applicazione di monitoraggio e gestione remota, per preservare l’accesso e facilitare i trasferimenti di file, e PuTTY, un client SSH ampiamente utilizzato, per stabilire tunnel per comunicazioni coperte e muoversi tra sistemi compromessi [10][11]. Questa tattica di “living-off-the-land” rende le azioni malevole meno suscettibili di attivare allarmi di sicurezza, poiché si confondono con l’attività amministrativa di routine.

Gli operatori di ransomware non affrontano un problema di software malevolo, ma un problema di criminalità umana. Le soluzioni utilizzate per affrontare problemi di commodity non sono sufficienti per prevenire una minaccia che assomiglia più da vicino a un attore di minaccia nation-state che disabilita o disinstalla software antivirus prima di criptare i file, disabilita servizi di sicurezza e logging per evitare il rilevamento, e localizza e corrompe o elimina i backup prima di inviare una richiesta di riscatto [12].

Il modello Ransomware-as-a-Service: professionalizzazione del crimine

L’evoluzione del ransomware verso il modello Ransomware-as-a-Service (RaaS) rappresenta un cambiamento paradigmatico nell’ecosistema del cybercrime. RaaS separa lo sviluppo dalla distribuzione: i creatori si concentrano esclusivamente sulla costruzione e manutenzione del ransomware, mentre gli affiliati gestiscono la distribuzione e il targeting delle vittime. Questa divisione del lavoro rispecchia i modelli di outsourcing delle imprese legittime, consentendo maggiore scalabilità, adattamento più rapido alle difese e un mercato in continua evoluzione di strumenti malevoli [13].

Medusa, una variante RaaS identificata per la prima volta nel giugno 2021, ha impattato oltre 300 vittime da una varietà di settori di infrastrutture critiche fino a febbraio 2025, inclusi settori medico, educativo, legale, assicurativo, tecnologico e manifatturiero. Gli sviluppatori di Medusa reclutano tipicamente initial access broker (IAB) in forum e marketplace cybercriminali per ottenere l’accesso iniziale alle potenziali vittime, con pagamenti potenziali tra 100 e 1 milione di dollari USD offerti agli affiliati [4].

Nel 2025, molteplici nuovi gruppi RaaS sono emersi, mentre oltre 29 gruppi ransomware sono diventati inattivi. Tuttavia, è comune per i gruppi RaaS semplicemente rebrandizzarsi, riemergendo come nuove entità [14]. Questo fenomeno di continua trasformazione rende particolarmente complessa l’attribuzione e il contrasto di queste organizzazioni criminali.

Multi-Extortion: l’evoluzione delle tattiche di estorsione

Una delle caratteristiche più preoccupanti dell’evoluzione del ransomware human-operated è il passaggio dalla semplice cifratura dei dati a schemi di estorsione multipla sempre più sofisticati.

Single Extortion: il modello originario

Tradizionalmente, il ransomware utilizzava un singolo vettore di estorsione, cifrando i dati e richiedendo un riscatto per la chiave di decrittazione [15]. Questo approccio si è rivelato progressivamente meno efficace con l’adozione diffusa di sistemi di backup robusti da parte delle organizzazioni.

Double Extortion: la minaccia della divulgazione

La doppia estorsione si verifica quando un attore di minaccia, durante un attacco ransomware, esfiltrata una copia dei dati dell’organizzazione prima di eseguire il processo standard di cifratura dei dati. Se l’organizzazione vittima rifiuta di pagare il riscatto o le negoziazioni falliscono, l’attore di minaccia minaccerà di esporre i dati e le informazioni personalmente identificabili (PII) dei clienti rilasciando i dati rubati non cifrati sul dark web o vendendoli a terzi [16].

La doppia estorsione è emersa come tendenza nel 2019, con gruppi ransomware notevoli come Maze e REvil che richiedevano un riscatto aggiuntivo in cambio di non rilasciare i dati esfiltrati durante gli attacchi ransomware. Questa tendenza è ora, sfortunatamente, la norma [16].

Triple Extortion e oltre

La triple extorsione aggiunge livelli ulteriori alle minacce ransomware. Gli attaccanti cifrano i dati della vittima e minacciano di divulgarli, come in un attacco di doppia estorsione, quindi potrebbero anche lanciare un attacco Distributed Denial of Service (DDoS) in modo che l’azienda non possa accedere o utilizzare i propri sistemi IT. Questo approccio intensifica la pressione sulle vittime per conformarsi alle richieste di riscatto minacciando non solo la privacy dei loro dati ma anche la loro capacità operativa e reputazione pubblica [17][18].

In alcuni casi, gli attaccanti introducono un quarto livello, che coinvolge il targeting non solo dell’organizzazione primaria ma anche dei suoi associati, come clienti, fornitori o partner, con richieste di riscatto. Questa tattica sfrutta la natura interconnessa degli ecosistemi aziendali, utilizzando la minaccia di vittimizzazione secondaria per applicare ancora più pressione [17].

L’aumento della triple extorsione è strettamente legato al miglioramento delle difese aziendali, in particolare all’adozione diffusa di backup. Secondo Unit 42 di Palo Alto Networks, quasi la metà (49,5%) delle aziende colpite da ransomware nel 2024 ha ripristinato con successo i file attraverso i backup, rispetto a solo l’11% nel 2022: un aumento del 360%. Con la maturazione delle strategie di backup, la sola cifratura dei file è diventata meno efficace per gli attaccanti [19].

Settori critici nel mirino

Gli attacchi al settore sanitario sono particolarmente preoccupanti per il loro impatto sull’assistenza ai pazienti. Gli attacchi ransomware alle strutture sanitarie creano gravi interruzioni che minacciano sia la sicurezza dei dati che l’erogazione di servizi medici essenziali. L’analisi degli attacchi del 2024 mostra che hanno compromesso le cartelle cliniche sensibili di oltre un milione di pazienti, mentre hanno interrotto operazioni critiche come test ematici e capacità di trasfusione, servizi diagnostici critici, procedure mediche d’emergenza e sistemi di appuntamenti per i pazienti [20].

Strategie di difesa: un approccio olistico

Per difendersi efficacemente dagli attacchi ransomware condotti da operatori umani, le capacità chiave possono essere categorizzate nei temi di Superficie di Attacco Ridotta, Rilevamento Migliorato, Risposta Efficace e Recupero Robusto [21].

Riduzione della superficie di attacco

Le organizzazioni dovrebbero prevenire l’accesso iniziale implementando il filtraggio del sistema di nomi di dominio e firewall di accesso web, e formando gli utenti per individuare tentativi di social engineering. È fondamentale mitigare le vulnerabilità note assicurando che sistemi operativi, software e firmware siano aggiornati con le patch più recenti [3][22].

L’implementazione di DNS protettivo può fornire un’elevata sicurezza di rete per i lavoratori remoti. Questi servizi di sicurezza analizzano le query DNS e intraprendono azioni per mitigare le minacce, come malware, ransomware, attacchi di phishing, virus, siti malevoli e spyware, sfruttando il protocollo e l’architettura DNS esistenti [22].

Segmentazione e gestione degli accessi

La segmentazione delle reti è cruciale per limitare il movimento laterale dai dispositivi inizialmente infetti e da altri dispositivi nella stessa organizzazione. Le organizzazioni devono implementare politiche di gestione dell’identità, delle credenziali e degli accessi (ICAM) in tutta l’organizzazione e richiedere l’autenticazione multi-fattore (MFA) per tutti i servizi nella misura massima possibile [3].

Il 92% degli attacchi di successo è originato da dispositivi non gestiti [2], sottolineando l’importanza di estendere i controlli di sicurezza a tutti i dispositivi che accedono alle risorse aziendali, inclusi quelli personali utilizzati in policy BYOD (Bring Your Own Device).

Rilevamento avanzato e risposta agli incidenti

Il rilevamento migliorato si concentra sull’identificazione delle minacce il più precocemente possibile per mitigare i danni. Il monitoraggio in tempo reale e gli avvisi rilevano attività anomale attraverso i sistemi in tempo reale. Le soluzioni Endpoint Detection and Response (EDR) isolano i dispositivi infetti per prevenire la diffusione del ransomware [21].

Microsoft Incident Response si affida pesantemente ai dati per tutte le indagini e utilizza servizi di sicurezza Microsoft come Defender for Office 365, Defender for Endpoint, Defender for Identity e Defender for Cloud Apps. Il rilevamento rapido e la rimediazione degli attacchi comuni su endpoint, email e identità sono prioritari, monitorando gli avversari che disabilitano la sicurezza [12].

Backup e Recovery resiliente

Il recupero robusto assicura che i sistemi possano rapidamente riprendersi dagli attacchi con tempi di inattività e perdita di dati minimi. I backup sicuri garantiscono che i punti di ripristino siano protetti e non possano essere alterati o cifrati dagli attaccanti [21].

Tuttavia, è fondamentale comprendere che l’estorsione offre agli attori di minaccia un vantaggio durante il loro attacco. Un’area in cui l’estorsione ha dato agli attori di minaccia il sopravvento è la capacità di neutralizzare l’efficacia dei processi di backup e ripristino. Le organizzazioni spesso utilizzano i backup per riavviare rapidamente le operazioni durante un attacco ransomware per evitare di pagare un riscatto, ma man mano che questa difesa diventa onnipresente, così anche l’estorsione, che può rendere quel recupero dei dati inutile[16].

Il ruolo dell’intelligenza artificiale

L’integrazione dell’intelligenza artificiale con RaaS consente ai cybercriminali di operare sofisticati vettori di attacco con processi migliorati e capacità di evasione più forti. Gli strumenti automatizzati di AI accelerano la produzione di email di phishing insieme alle operazioni di scansione delle vulnerabilità, portando a sostanziali miglioramenti delle dimensioni degli attacchi e dell’efficacia operativa [23].

Funksec è uno dei pochi gruppi che utilizza apertamente LLM (Large Language Models) nei propri strumenti. Il gruppo utilizza template di phishing generati da AI e ha sviluppato il chatbot malevolo denominato “WormGPT”. È possibile che gruppi aggiuntivi integreranno l’uso di LLM o chatbot nelle loro operazioni nel 2025 [14].

Riflessioni critiche e prospettive future

L’evoluzione del ransomware human-operated rappresenta un punto di inflessione nella storia della cybersecurity. Ciò che inizialmente era un fenomeno criminale relativamente semplice si è trasformato in un’industria sofisticata con modelli di business strutturati, catene di approvvigionamento articolate e strategie di marketing che emulano quelle delle imprese legittime.

Questa professionalizzazione del crimine informatico solleva questioni fondamentali che vanno oltre gli aspetti puramente tecnici. In primo luogo, la commodificazione degli strumenti di attacco attraverso il modello RaaS ha abbassato drasticamente le barriere all’ingresso, consentendo a individui con competenze tecniche limitate di condurre attacchi devastanti. Questo fenomeno democratizza il crimine informatico in modo preoccupante, amplificando esponenzialmente il numero di potenziali attaccanti.

In secondo luogo, l’adozione di tattiche di multi-extortion rivela una comprensione profonda da parte degli attaccanti delle dinamiche organizzative e delle pressioni a cui le aziende moderne sono soggette. Gli operatori di ransomware non si limitano più a sfruttare vulnerabilità tecniche, ma manipolano abilmente le vulnerabilità umane, organizzative, legali e reputazionali delle loro vittime. La minaccia di coinvolgere clienti, partner e autorità di regolamentazione trasforma l’attacco ransomware da un problema IT a una crisi aziendale multidimensionale che richiede il coinvolgimento del management esecutivo, dei dipartimenti legali e delle pubbliche relazioni.

Sebbene gli incontri con ransomware siano aumentati, la percentuale di organizzazioni che vengono effettivamente riscattate (raggiungendo la fase di cifratura) è diminuita di oltre tre volte negli ultimi due anni [1]. Questo dato, apparentemente positivo, suggerisce che le organizzazioni stanno migliorando le proprie capacità difensive e di risposta. Tuttavia, l’aumento degli attacchi human-operated e l’evoluzione verso la multi-extortion indicano che gli attaccanti stanno semplicemente adattando le proprie tattiche per mantenere l’efficacia.

Il futuro della lotta contro il ransomware human-operated richiederà un approccio olistico che vada oltre le soluzioni tecnologiche tradizionali. Le organizzazioni devono adottare una mentalità di “assume breach”, riconoscendo che la compromissione è sempre possibile e concentrandosi tanto sulla resilienza e sul recupero rapido quanto sulla prevenzione. La collaborazione tra settore pubblico e privato, la condivisione di intelligence sulle minacce e l’armonizzazione delle normative a livello internazionale saranno essenziali per contrastare efficacemente questa minaccia transnazionale.

Inoltre, è necessaria una riflessione più ampia sulle implicazioni etiche e sociali di questa evoluzione. L’escalation degli attacchi contro infrastrutture critiche, in particolare il settore sanitario, solleva interrogativi sulla proporzionalità delle azioni criminali e sulla necessità di stabilire norme internazionali che vietino esplicitamente questi attacchi, analogamente alle convenzioni che regolano i conflitti armati tradizionali.

Conclusioni

Il ransomware human-operated rappresenta la convergenza di sofisticazione tecnica, acume commerciale e comprensione psicologica in un’unica minaccia multiforme. Questi attacchi sono spesso prevenibili e rilevabili. Combattere e prevenire attacchi di questa natura richiede un cambiamento di mentalità, che si concentri sulla protezione completa necessaria per rallentare e fermare gli attaccanti prima che possano avere successo [7].

La battaglia contro il ransomware human-operated non sarà vinta attraverso singole soluzioni tecnologiche, ma richiederà un approccio sistemico che integri tecnologia avanzata, processi organizzativi robusti, formazione continua del personale e collaborazione estesa tra tutti gli stakeholder dell’ecosistema della sicurezza informatica. Solo attraverso questo impegno collettivo sarà possibile ridurre l’efficacia di questa minaccia persistente e proteggere le organizzazioni e le società che servono.

Fonti:

[1] Microsoft. (2024). Microsoft Digital Defense Report 2024. Microsoft Corporation.
[2] Cybersecurity Dive. (2024, ottobre 16). Microsoft reveals ransomware attacks against its customers nearly tripled last year.
[3] Cybersecurity and Infrastructure Security Agency (CISA). (2025, luglio 22).
[4] Cybersecurity and Infrastructure Security Agency (CISA). (2025, marzo 12). #StopRansomware: Medusa Ransomware. Cybersecurity Advisory AA25-071A.
[5] Cybersecurity and Infrastructure Security Agency (CISA). (2025, giugno 4). #StopRansomware: Play Ransomware. Cybersecurity Advisory AA23-352A.
[6] Microsoft Learn. (2024). What is ransomware? Human-operated ransomware overview.
[7] Microsoft Security Blog. (2020, marzo 5). Human-operated ransomware attacks: A preventable disaster.
[8] Microsoft Security Blog. (2024, settembre 26). Storm-0501: Ransomware attacks expanding to hybrid cloud environments.
[9] Federal Bureau of Investigation (FBI). (2025, giugno 4). #StopRansomware: Play Ransomware. Joint Cybersecurity Advisory.
[10] ISACA. (2025). Defending Against Human Operated Ransomware Attacks. ISACA Now Blog.
[11] Recorded Future. (2025). H1 2025 Malware and Vulnerability Trends.
[12] Microsoft Learn. (2024). Microsoft Incident Response ransomware approach and best practices.
[13] Wibowo, B., Hafiz, N. L., & Hidayat, T. (2025). Ransomware-as-a-Service (RaaS): The Business Model of Cybercrime. International Journal of Science Education and Cultural Studies, 4(1), 11-21.
[14] Flashpoint. (2025, agosto 22). New Ransomware-as-a-Service (RaaS) Groups to Watch in 2025.
[15] Infosecurity Europe. (2025, marzo 17). Ransomware Trends: The Rise of Multi-Extortion Tactics.
[16] Arctic Wolf. (2025, luglio 7). Double and Triple Extortion: Understanding the Dangers.
[17] Prolion. (2025, luglio 4). What Is Double, Triple and Multi Extortion Ransomware?
[18] Check Point Software. (2024, febbraio 8). What is Triple Extortion Ransomware?
[19] Penta Security. (2025, agosto). The Hacking Techniques in 2025: Deepfakes, AI, Triple Extortion.
[20] Halcyon.ai. (2025, aprile 8). Last Year in Ransomware: CISA Advisories and Updated Security Recommendations.
[21] ISACA. (2025). Defending Against Human Operated Ransomware Attacks. ISACA Now Blog.
[22] Cybersecurity and Infrastructure Security Agency (CISA). (2023). #StopRansomware Guide.
[23] ResearchGate. (2025, febbraio 13). The Evolution of Ransomware-as-a-Service (RaaS): AI’s Role in Cybercrime and Countermeasures.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi