Il ransomware (dalla crasi dei termini ransom, riscatto, e malware, software dannoso) è un programma informatico malevolo, in grado di infettare una rete, un sistema informatico, un computer, uno smartphone o qualunque altro dispositivo elettronico. Il ransomware impedisce alla vittima di accedere al sistema informatico e quindi ai suoi dati.
Si distinguono due tipi di ransomware: i cryptor che criptano i file contenuti in un dispositivo; e i blocker che rendono impossibile l’accesso al dispositivo infettato. In ogni caso, l’indisponibilità dei dati o del sistema avviene attraverso un complesso sistema di cifratura messo in atto dall’aggressore. Per poter accedere nuovamente al dispositivo e ai dati originali è necessario ottenere una chiave di decrittazione, posseduta dall’aggressore, che la mette a disposizione della vittima dietro pagamento di un riscatto. Il riscatto - estorto mediante un messaggio sullo schermo del dispositivo infettato - dovrà essere corrisposto in cripto valuta (es. bitcoin)
Col ransomware l’attaccante si muove su due fronti, realizzando una “doppia estorsione” (double extorsion). Se cioè la vittima non paga il riscatto, l’aggressore minaccia di diffondere i suoi dati su canali non autorizzati – di comunicazione o sul dark web –, rendendoli così visibili a terzi. La seconda minaccia costituisce un ulteriore elemento di pressione sulla vittima. 
I principali vettori di infezione del ransomware sono: la ricezione di e-mail contenenti allegati infetti o collegamenti diretti a software malevoli; la navigazione su siti web “compromessi” da hacker per essere veicoli di contagio da ransomware; cliccare su link o banner su siti web o social network non sicuri; usare reti aziendali vulnerabili. Inoltre, un dispositivo infettato può essere esso stesso un veicolo di infezione: può diffondere il ransomware anche ad altri dispositivi connessi sulla rete, sfruttando ad esempio le sincronizzazioni tra dispositivi.  
Infine, è importante sapere che le principali linee guida e migliori pratiche a livello internazionale sconsigliano il pagamento del riscatto, perché non è certo che il criminale consegni effettivamente la chiave di decifratura. E’ preferibile denunciare l’attacco ransomware alla polizia postale e contattare centri tecnici specializzati per sbloccare l’accesso al APPRO