Google ha annunciato in una conferenza stampa virtuale, l’introduzione di nuove protezioni basate sull’intelligenza artificiale in Google Drive per desktop, progettate per bloccare la diffusione dei ransomware e consentire il recupero dei file compromessi.
Quando viene rilevata un’anomalia, il sistema sospende automaticamente la sincronizzazione con il cloud e mostra una notifica che guida l’utente nelle fasi di ripristino. La novità è resa disponibile in open beta senza costi aggiuntivi per la maggior parte dei piani commerciali di Workspace.
Indice degli argomenti
Ransomware: un problema in continua crescita
Per contestualizzare l’iniziativa, Kristina Behr, VP Product Management di Google Workspace, ha ricordato come le minacce ransomware siano in rapido aumento. Secondo il report M-Trends di Mandiant (aprile 2025), nel 2024 il 21% di tutte le intrusioni osservate era legato a ransomware, mentre, sempre per lo stesso, il Cost of a Data Breach Report di IBM ha stimato in oltre 5 milioni di dollari il costo medio globale per incidente o estorsione.
«La frequenza di questi attacchi e i costi per le organizzazioni sono cresciuti negli ultimi cinque anni. L’idea che un criminale ben finanziato e sofisticato possa tenere in ostaggio un’intera rete è roba da incubo», ha dichiarato Behr.
La stessa Behr ha poi voluto anche chiarire che i documenti nativi di Workspace, come Docs e Sheets, non sono colpiti dal ransomware, così come Chrome OS. Il problema riguarda invece file diffusi come PDF, documenti Microsoft Office e i sistemi operativi desktop come Windows.
«Molti dei nostri clienti operano in ambienti misti, con tecnologie diverse. È per questo che abbiamo deciso di analizzare i modelli che alimentano questa tendenza e di sviluppare una soluzione più efficace», ha spiegato.
Un approccio diverso dal passato
Il punto centrale emerso dalla conferenza è che il ransomware non può più essere considerato soltanto un problema di antivirus. «Abbiamo grande rispetto per l’industria dell’antivirus e sappiamo che la cybersecurity è una sfida complessa, con attori malevoli molto ben finanziati che cambiano costantemente tattiche per rendere difficile difendersi. Ma è altrettanto chiaro che il ransomware non è strettamente un problema di antivirus», ha dichiarato Luke Camery, Lead Group Product Manager di Google Workspace e responsabile diretto del progetto.
Secondo Camery, gli attacchi più pericolosi riescono quasi sempre ad aggirare le protezioni AV, diffondendosi da un utente all’altro fino a compromettere intere reti aziendali. «Non vogliamo mai lasciare le porte d’ingresso incustodite, ma dobbiamo anche chiederci cosa succede quando un aggressore trova un’altra via di accesso, come una finestra aperta. Ogni attacco riuscito aggira le difese tradizionali e diventa rapidamente incontrollabile», ha aggiunto.
La nuova protezione si inserisce come strato intermedio, con l’intento di colmare il divario tra antivirus e strumenti di recupero post-attacco. L’obiettivo che il team di Google Workspace si è prefissato è quello di intercettare in tempo reale i segnali di compromissione e bloccare la diffusione del ransomware prima che provochi danni irreversibili.
Come è stato addestrato il modello
Durante la conferenza, Camery ha chiarito alcuni aspetti del processo di training. Il sistema si basa su un motore AI addestrato su milioni di campioni reali di ransomware. Non si limita a cercare varianti note, ma valuta i cambiamenti che avvengono nei file, distinguendo tra modifiche legittime e quelle distruttive: da un PDF leggibile trasformato in contenuto offuscato fino a documenti rinominati con estensioni sospette come .locked.
Quando rileva un comportamento anomalo, Drive blocca immediatamente la sincronizzazione, impedendo la propagazione del malware, e avvisa l’utente tramite desktop o email seguito da un percorso di recupero guidato in modo da ridurre al minimo le interruzioni e la perdita di dati.
«Lo consideriamo non solo un sistema di allarme, ma una barriera che intrappola gli aggressori all’ingresso e impedisce loro di causare danni», ha spiegato Camery.
Per garantire la massima copertura, il training non ha escluso alcun tipo di file. Questo ha permesso al modello di osservare una grande varietà di trasformazioni normali e affinare, così, la capacità di individuare anomalie. I risultati hanno mostrato alta precisione e pochi falsi positivi. In caso di errore, l’utente può segnalarlo su drive.google.com e tornare subito operativo.
Funzionalità avanzate e valore per le aziende
Le nuove difese offrono, quindi, recupero file con un clic, sospensione automatica della sincronizzazione, avvisi basati su AI e piena visibilità per gli amministratori tramite la console di gestione. Il sistema è progettato per adattarsi ai nuovi attacchi grazie all’integrazione con VirusTotal e al motore di rilevamento già impiegato in Gmail e Chrome.
Gli amministratori oltre a monitorare gli eventi e intervenire direttamente dalla console, mantenendo il pieno controllo senza costi aggiuntivi, possono sfruttare il security center per esaminare il registro di controllo e avere più informazioni.
Luke Camery ha concluso ribadendo che questo approccio non richiede di sapere in anticipo se VirusTotal o altri database abbiano già catalogato un campione specifico di ransomware. Ciò che conta è riconoscere i comportamenti tipici di un attacco, indipendentemente dal nome o dalla variante del malware.
