Cos'è Ransomware?
Il ransomware è un malware che cifra i file di una vittima o la blocca fuori dai propri sistemi, richiedendo poi un pagamento — tipicamente in criptovaluta — in cambio della chiave di decifratura o del ripristino dell'accesso.
Noto anche come: ransomware attack, crypto-ransomware
Il ransomware si è evoluto da attacchi opportunistici contro singoli individui a una sofisticata industria criminale che prende di mira aziende, ospedali e agenzie governative. Le moderne operazioni ransomware seguono spesso un modello di "doppia estorsione": gli attaccanti prima esfiltrano dati sensibili, poi cifrano i sistemi della vittima. Se la vittima rifiuta di pagare per la decifratura, gli attaccanti minacciano di pubblicare i dati rubati. Alcuni gruppi hanno aggiunto un terzo livello, lanciando attacchi DDoS durante le negoziazioni.
Il vettore di infezione iniziale è tipicamente un'email di phishing, credenziali compromesse o lo sfruttamento di vulnerabilità non patchate in servizi esposti su Internet. Una volta all'interno, gli attaccanti si muovono lateralmente attraverso la rete, escalano i privilegi, disabilitano i backup e distribuiscono il payload del ransomware contemporaneamente su quanti più sistemi possibile. La cifratura usata dal ransomware è genuina — senza la chiave dell'attaccante, il ripristino è spesso impossibile.
La difesa richiede un approccio completo: patching regolare, segmentazione della rete, backup immutabili conservati offline, rilevamento degli endpoint, accesso con privilegi minimi e pianificazione della risposta agli incidenti. Ridurre il volume di dati sensibili archiviati in modo persistente — in particolare credenziali e segreti in email, documenti e log di chat — limita sia la leva che gli attaccanti hanno per l'estorsione sia il danno derivante dall'esfiltrazione dei dati.
Come Vaulted usa Ransomware
Vaulted riduce i dati sensibili disponibili agli operatori ransomware che esfiltrano dati prima di cifrare i sistemi. I segreti condivisi tramite Vaulted sono effimeri — si autodistruggono dopo un numero limitato di visualizzazioni e scadono automaticamente. A differenza delle password archiviate in email o documenti condivisi che persistono indefinitamente e diventano obiettivi ad alto valore durante l'esfiltrazione dei dati, i link Vaulted non lasciano testo in chiaro recuperabile sul server. L'architettura zero-knowledge significa che anche un server compromesso fornisce agli attaccanti solo blob cifrati che non possono decifrare.