Cosa significa “zero-day”

Un exploit zero-day si basa su una vulnerabilità (difetto, falla) in software, hardware o firmware che non è ancora conosciuta dal fornitore del sistema o non è stata patchata.

Ecco le differenze di base:

• La vulnerabilità zero-day è la falla stessa, sconosciuta o non mitigata.
• L’exploit zero-day è il codice, metodo o tecnica che sfrutta quella falla.
• Un attacco zero-day è quando quell’exploit viene realmente usato per compromettere un sistema, rubare dati, installare malware, ecc.

Il nome “zero-day” deriva proprio dal fatto che il fornitore ha “zero giorni” (ossia nessun tempo) per reagire prima che la vulnerabilità venga sfruttata.

Perché gli exploit zero-day sono particolarmente pericolosi

Ci sono diversi motivi per cui questi exploit rappresentano una delle minacce più temute:

1. Assenza di protezione preventiva
   Siccome la falla è sconosciuta o non patchata, non esistono aggiornamenti o contromisure specifiche finché non viene scoperta ufficialmente. Strumenti di difesa basati su firme (antivirus tradizionali, rilevatori statici) spesso non la intercettano.
2. Tempo della finestra di rischio
   Dopo che è emersa la vulnerabilità, c’è un periodo in cui molti sistemi restano esposti finché non viene distribuita la patch e gli utenti la installano. In questi intervalli, gli aggressori possono sfruttarla. Più veloce è il tempo di risposta, minore è il rischio.
3. Maggiore valore per gli attaccanti
   Saper sfruttare una vulnerabilità zero-day — prima che il difensore ne sia consapevole — dà un vantaggio enorme: consente infiltrazioni stealth, accessi prolungati, furti dati, spionaggio, danneggiamenti.
4. Target ampi e impatti gravi
   Gli exploit zero-day spesso colpiscono software largamente utilizzati (sistemi operativi, applicazioni comuni, componenti di rete/cloude) perché garantiscono che molte vittime possibili siano vulnerabili. Questo amplifica l’impatto: non solo l’azienda attaccata, ma clienti, partner, catena di fornitura.
5. Mercato delle vulnerabilità
   Esiste un mercato (ufficiale o meno) per la scoperta e la vendita di vulnerabilità zero-day. Alcuni ricercatori “white hat” riportano le vulnerabilità ai vendor, altri attori le vendono a criminali o governi. Questo incentiva attività clandestine e aumenta il numero di zero-day “in circolazione”.

Tendenze attuali dei zero-day nel 2025

Ecco alcune tendenze recenti che mostrano come il fenomeno stia evolvendo:

• Le aziende del settore sanitario, le infrastrutture critiche e i prodotti di networking (VPN, firewall) sono particolarmente presi di mira.
• Il tempo che intercorre tra la pubblicazione di una patch o la divulgazione di una vulnerabilità e il primo attacco che la sfrutta si è drasticamente ridotto. Alcune fonti riportano che meno di cinque giorni sono sufficienti affinché venga sviluppato un exploit dopo che la vulnerabilità è resa pubblica.
• Secondo il Rapporto Clusit 2025, lo sfruttamento di vulnerabilità, comprese quelle zero-day, ha rappresentato circa il 15% degli incidenti informatici globali nel 2024, con particolare incidenza in PA, media e infrastrutture.

Come difendersi: approcci e strategie

Pur essendo minacce difficili da prevedere, ci sono varie contromisure che le organizzazioni possono usare per ridurre il rischio:

• Vulnerability Management proattivo
  Scansioni regolari, penetration test, bug-bounty, threat intelligence per individuare vulnerabilità potenziali prima che vengano sfruttate.
• Patch Management veloce ed efficace
  Tenere aggiornati software, firmware e sistemi; avere processi chiari per il rilascio e l’applicazione delle patch non appena disponibili.
• Defese comportamentali / basate sul comportamento
  Soluzioni che rilevano comportamenti sospetti o anomalie (EPP, EDR, XDR) piuttosto che basarsi solo su firme note.
• Segmentazione della rete e principi di “least privilege”
  Limitare il più possibile i privilegi, dividere la rete in zone, ridurre l’esposizione di servizi critici a Internet.
• Monitoraggio “in the wild” e threat intelligence
  Tenere d’occhio segnali che suggeriscono che alcuni exploit siano in uso, leak di vulnerabilità, attività sospette; condividere informazioni con community o gruppi di sectoral threat intel.
• Risposta rapida agli attacchi e preparazione
  Avere un piano di incident response che consideri il possibile uso di zero-day: rilevamento rapido, isolamento, mitigazione e rollback.

Conclusione

Gli exploit zero-day sono tra le minacce più temute perché sfruttano falle impreviste, sconosciute prima che ci sia la possibilità di reagire con patch o difese specifiche. Nel 2025, con l’aumento degli attacacchi e la riduzione dei tempi in cui un exploit può essere sviluppato, il rischio è più alto che mai.

Le organizzazioni più pronte non sono quelle che sperano di non essere attaccate, ma quelle che adottano una strategia di difesa multilivello: prevenzione, rilevamento, risposta e resilienza.

Introduzione

Il ransomware continua ad essere una delle principali minacce per aziende, organizzazioni pubbliche e persino individui. Ma nel 2025 non si tratta più soltanto di cifrare dati e chiedere un riscatto: gli attori malintenzionati hanno affinato le loro tattiche, adottando modelli di estorsione più sofisticati, multilivello e che generano pressioni non solo tecniche ma anche reputazionali, legali ed economiche.

Modelli di estorsione che stanno emergendo

Ecco i principali modelli che stanno prendendo piede nel panorama ransomware del 2025:

1. Double Extortion (“doppia estorsione”)
   Non basta più cifrare i dati: gli attaccanti prima esfiltrano (rubano) dati sensibili, poi richiedono il riscatto sia per il decrittamento sia per non pubblicare o vendere i dati rubati. Questo modello è ormai lo standard per molte gang ransomware.
2. Triple Extortion
   Un passo oltre: si aggiungono elementi come attacchi DDoS, minaccia alla reputazione tramite divulgazione pubblica, coinvolgimento di fornitori, clienti o partner dell’azienda vittima. In pratica, l’estorsione non colpisce solo la vittima diretta, ma si allarga a chi ha rapporti commerciali o di fiducia con essa.
3. Estorsione senza cifratura (pure extortion / encryption-less ransomware)
   In questo modello i criminali non cifrano i file (o non lo fanno subito) ma si concentrano al massimo sulla minaccia di rendere pubblici i dati esfiltrati se non viene pagato un riscatto. È meno “rumoroso” (dal punto di vista tecnico), ma molto efficace come leva per la pressione psicologica e reputazionale.
4. Uso dell’Intelligenza Artificiale e dei modelli LLM
   I ransomware del futuro cercano di sfruttare AI / LLM (Large Language Models) per automazione, generazione di phishing più mirato, personalizzazione dell’estorsione, evasione di rilevamento. Ad esempio, il report di Akamai evidenzia come alcuni gruppi usano GenAI per scrivere codice malware o potenziare le campagne di social engineering.
   C’è anche ricerca accademica su prototipi di ransomware orchestrati da LLM (che eseguono, ricompongono il codice in modo adaptivo) che mostrano come il “malware inteligente” sarà una sfida reale.
5. Aumento delle richieste medie di riscatto e pressione finanziaria e reputazionale
   I dati indicano che il valore medio dei riscatti è salito—non solo per cifratura, ma soprattutto nei casi dove la fuga dei dati è usata come leva. Tra le tattiche c’è anche la “minaccia di rivelare” cronologie, segreti industriali, dati clienti, oppure creare un conto alla rovescia (deadline) perché l’azienda sia sotto pressione di tempo.
6. Leak site / pubblicazione dati / vendite sul dark web
   Divulgazione parziale dei dati come prova, vendita dei dati rubati se il riscatto non viene pagato, uso pubblico dei leak per scoraggiare il rifiuto. Questo avviene sempre più frequentemente, come elemento centrale dell’estorsione.

Implicazioni per le aziende

Questi nuovi modelli di estorsione comportano rischi e sfide diverse rispetto al passato. Ecco cosa le aziende devono considerare:

• Backup non è più sufficiente da solo: anche se hai ottimi backup, il furto dei dati può comunque causare danni gravissimi, perché puoi essere esposto a pubblicazioni o vendite dei dati o a pressioni reputazionali.
• Gestione della reputazione: preparare piani di comunicazione, capire come rispondere mediaticamente, legale e regolamentare se i dati estratti diventano pubblici.
• Interventi rapidi e detections precoce: ridurre al minimo il tempo di latenza tra compromissione, identificazione e risposta. Monitorare leak site, attività sospette.
• Protezione della supply chain e dei fornitori: spesso gli attacchi partono da vulnerabilità nei fornitori o partner, che hanno accessi, credenziali privilegiate o dati sensibili condivisi.
• Policy di extorsione e decisione sul pagamento: alcune aziende stabiliscono politiche chiare su sé pagare o meno, considerando implicazioni legali, costi reputazionali, rischio ricorsivo.
• Uso delle tecnologie emergenti: AI, threat intelligence, automazione, strumenti di anonimizzazione/segmentazione, che possono aiutare a ridurre gli attacchi o mitigare gli effetti.

Come prepararsi

Ecco un approccio pratico per definire o aggiornare la tua strategia contro ransomware nel 2025:

1. Valutazione del rischio: identificare asset più critici, dati sensibili, possibili vettori di attacco (servizi esposti, vulnerabilità note, accessi RDP, credenziali condivise).
2. Aumentare la resilienza dei dati: policy 3-2-1 per backup; verificare encryptions; test di recovery; backup offsite; versioning; protezione delle copie di backup (immutabilità, air-gap).
3. Monitoraggio continuo e threat intelligence: tenere d’occhio siti di leak, gruppi ransomware attivi, indicatori di compromissione, attacchi su partner/settori simili.
4. Policy per incident response e gestione estorsioni: chi decide se pagare, come, coinvolgimento legale, comunicazione con stakeholder, pianificazione preventiva.
5. Formazione specifica per phishing & social engineering: poiché molti attacchi iniziano con phishing mirato, furto di credenziali o inganno, serve formazione che mostri scenari reali e uso di tattiche sofisticate (deepfake, AI, impersonation).
6. Segmentazione della rete e gestione accessi privilegiati: ridurre la capacità di propagazione di un attacco; limitare privilegi; uso di MFA obbligatorio; controlli sui privilegi amministrativi; rendere difficile il movimento laterale.

Conclusione

Nel 2025, il ransomware non è mai stato così dinamico: non basta proteggere i file, bisogna difendere dati, reputazione, relazioni, fiducia. I modelli di estorsione si evolvono per mettere le vittime sotto pressione non solo tecnica, ma legale, economica e sociale. Le aziende che non aggiornano le loro difese rischiano non solo danni economici, ma perdite di credibilità difficili da sanare.