Ransom note: struttura, funzione e ruolo negli attacchi ransomware

La ransom note è il messaggio lasciato dagli attaccanti dopo un ransomware. Analisi tecnica di struttura e tecniche di pressione utilizzate.

Ormai abbiamo imparato a riconoscere le fasi di un attacco ransomware. Accesso iniziale, movimento laterale, esfiltrazione dei dati e, infine, la cifratura dei sistemi. È una sequenza ormai nota, documentata e analizzata in numerosi incidenti che hanno colpito aziende di ogni dimensione. Eppure, c’è un elemento che compare sempre alla fine di questo processo e che spesso viene trattato come un dettaglio secondario. Dopo la cifratura dei dati e il blocco dei sistemi, l’attaccante lascia un file all’interno dell’infrastruttura compromessa.

Cos’è una ransom note
Struttura e contenuti tipici di una ransom note
Tecniche di pressione psicologica
Come comportarsi in caso di una ransom note

Ransom note su schermo con countdown e file cifrati che esercita pressione psicologica sulla vittima durante un attacco ransomware.

È la cosiddetta ransom note: il primo contatto tra chi ha condotto l’attacco e chi lo sta subendo. In quel documento si concentrano istruzioni operative, richieste economiche, tempistiche e, in molti casi, riferimenti ai dati sottratti durante l’intrusione. È il momento in cui l’attacco smette di essere solo un problema tecnico e diventa una gestione dell’emergenza, in cui ogni decisione ha un impatto diretto sulla continuità operativa dell’organizzazione.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è una ransom note

La ransom note è il messaggio che un gruppo ransomware lascia all’interno dei sistemi compromessi al termine della cifratura dei dati. Può essere salvata come file di testo, HTML o visualizzata direttamente a schermo. Questa contiene le istruzioni necessarie per avviare il contatto con gli attaccanti e accedere ad una possibilità di recuperare i file cifrati. Contrariamente alla credenza comune, si tratta di una componente prevista sin dalle prime fasi dell’attacco, presente in quasi tutti gli incidenti documentati.

La sua funzione principale è stabilire un canale di comunicazione tra vittima e attaccante. All’interno della nota vengono indicati i metodi di contatto, spesso tramite portali nel dark web o indirizzi specifici, insieme alle modalità di pagamento. Questi ultimi sono generalmente espressi in criptovaluta. In molti casi viene anche fornita una prova di decrittazione su uno o più file, per dimostrare che il recupero dei dati è tecnicamente possibile.

Ma oltre a questo aspetto operativo, la ransom note svolge anche un ruolo strategico. Gli attaccanti la utilizzano per guidare la vittima nelle fasi successive dell’incidente, imponendo tempi, condizioni e conseguenze in caso di mancato pagamento. È il momento in cui l’attacco si trasforma in una trattativa: da una parte chi detiene il controllo dei dati, dall’altra chi deve decidere come reagire sotto pressione.

Struttura e contenuti tipici di una ransom note

Solitamente una ransom note segue quasi sempre una struttura riconoscibile, indipendentemente dal gruppo che l’ha generata. Il primo elemento è l’indicazione dell’avvenuta compromissione, spesso accompagnata da un riferimento esplicito alla cifratura dei dati e, nei casi più recenti, anche all’esfiltrazione delle informazioni. Subito dopo vengono fornite le istruzioni per avviare il contatto, che può avvenire tramite indirizzi email dedicati o portali accessibili tramite rete Tor.

Un secondo elemento ricorrente riguarda le modalità di pagamento. Gli attaccanti specificano l’importo richiesto, la valuta da utilizzare, quasi sempre criptovalute come Bitcoin o Monero, unite alle tempistiche entro cui pagare il riscatto. In molti casi viene indicata una scadenza precisa, superata la quale il costo del riscatto aumenta oppure i dati vengono pubblicati. Questo si attesta solitamente tra le 48 e le 72 ore, ma esistono casi in cui gli attaccanti hanno concesso a malapena 6 ore. L’elemento di urgenza induce la vittima a prendere decisioni rapide e a non ragionare lucidamente.

Ma la ransom note include spesso istruzioni operative molto dettagliate. I collettivi ransomware arrivano a spiegare i passaggi da seguire per acquistare criptovaluta, accedere al portale di pagamento e caricare le prove da loro richieste. In molti casi gli stessi attaccanti forniscono anche un servizio di assistenza, con chat dedicate e supporto tecnico, trasformando di fatto la ransom note in un vero e proprio manuale per completare la transazione.

Tecniche di pressione psicologica

Come già accennato, la ransom note è creata per influenzare il comportamento della vittima. Il primo elemento ricorrente è la gestione del tempo. In presenza di scadenze ravvicinate, countdown e minacce di aumento del riscatto, la vittima è spinta ad agire d’impulso. In questo modo non analizza a fondo l’incidente che ha subito, proprio perché influenzata da un timer che si avvicina rapidamente allo zero.

Il secondo elemento ricorrente è la paura della perdita dei dati. Nei casi di doppia estorsione, gli attaccanti dichiarano esplicitamente di aver esfiltrato informazioni sensibili e minacciano la loro pubblicazione sul loro portale Tor, o nei black market del Dark Web. Questo sposta il problema dalla sola indisponibilità dei sistemi a un rischio reputazionale e legale, aumentando la pressione su chi deve prendere decisioni.

Ciò che influenza maggiormente le vittime è il linguaggio adottato. La ransom note è molto diretta e, in alcuni casi, quasi collaborativa. Questo fattore serve a trasformare l’attaccante in un interlocutore affidabile agli occhi della vittima, che lo vede come l’unica possibilità concreta per poter evitare un problema molto più grande. In tal modo, si abbassa notevolmente la percezione del rischio e il gruppo si trova a gestire facilmente la trattativa, spesso ottenendo anche più di quanto chiesto originariamente.

Questa strategia è ampiamente documentata nelle campagne ransomware Egregor, in cui le vittime aprivano una chat sul portale indicato dagli attaccanti e venivano prese in carico da un vero e proprio “supporto”. In uno dei casi esaminati, un operatore del gruppo spiegava di far parte di una struttura con ruoli distinti, tra cui finance department, data manager e supporto alle trattative.

Come comportarsi in caso di una ransom note

In presenza di una ransom note, significa che l’attacco è già in una fase avanzata. In questo momento le decisioni devono essere prese rapidamente, ma senza cedere alla pressione imposta dagli attaccanti.

Isolare immediatamente i sistemi compromessi.
I sistemi infetti devono essere scollegati dalla rete per evitare ulteriore propagazione, movimento laterale o esfiltrazione di dati ancora in corso.
Non interagire direttamente con gli attaccanti senza una strategia definita.
La comunicazione deve essere gestita in modo controllato, preferibilmente con il supporto di specialisti. Rispondere impulsivamente può compromettere analisi forense e gestione dell’incidente.
Coinvolgere immediatamente il team di risposta agli incidenti.
Se presente internamente o tramite partner esterni, il team IR deve analizzare la compromissione, identificare il vettore di attacco e valutare l’impatto reale sull’infrastruttura.
Preservare le evidenze.
Log, file di sistema, immagini disco e qualsiasi elemento utile devono essere conservati. Sono fondamentali per comprendere la dinamica dell’attacco e supportare eventuali indagini.
Valutare la situazione prima di prendere decisioni sul pagamento.
Il pagamento non garantisce il recupero dei dati né la loro non divulgazione. La decisione deve essere presa considerando aspetti tecnici, legali e operativi.
Attivare comunicazioni interne e, se necessario, esterne.
Management, responsabili IT e funzioni coinvolte devono essere informati. In base al contesto, può essere necessario coinvolgere autorità competenti o notificare l’incidente.

In conclusione

La ransom note è spesso percepita come l’ultimo passaggio dell’attacco, quasi una formalità che segue la cifratura dei dati. In realtà è il momento in cui l’operazione raggiunge il suo obiettivo: trasformare una compromissione tecnica in una pressione sull’organizzazione. Ogni suo elemento, dalle istruzioni alle tempistiche, è pensato per ridurre l’incertezza e portare chi legge a considerare il pagamento come una soluzione praticabile.

Comprendere il ruolo della ransom note significa leggere l’attacco per quello che è realmente. Non solo una violazione dei sistemi, ma un processo in cui la componente tecnica e quella psicologica lavorano insieme per ottenere un risultato preciso.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.