Ransomware: cos’è, come proteggersi e cosa fare se sei colpito

Il ransomware è la minaccia informatica più temuta dalle aziende italiane. Un singolo attacco può bloccare l’operatività per giorni, cifrare anni di dati e costare centinaia di migliaia di euro. In questo articolo: cos’è, come funziona, come proteggersi e cosa fare se si viene colpiti.

Cos’è il ransomware

Malware che cifra i file della vittima e richiede un riscatto per restituire l’accesso. Le varianti moderne praticano la doppia estorsione: esfiltrano i dati prima di cifrarli, minacciando di pubblicarli nel dark web. Alcuni gruppi offrono Ransomware-as-a-Service (RaaS), moltiplicando gli attacchi.

In Italia, il danno medio per una PMI supera i 200.000 euro considerando fermo operativo, perdita dati e ripristino. La Toscana, con il suo tessuto di PMI manifatturiere, è tra le regioni più colpite.

Come funziona un attacco

Fase 1 — Accesso iniziale. Phishing (il più comune), vulnerabilità non patchate su VPN/RDP, credenziali rubate, compromissione supply chain.

Fase 2 — Movimento laterale. L’attaccante si muove nella rete, acquisisce privilegi, usa strumenti legittimi del sistema (living-off-the-land) per evitare il rilevamento.

Fase 3 — Preparazione. Disattiva le difese, identifica e compromette i backup raggiungibili, esfiltra i dati più preziosi. Questa fase può durare giorni.

Fase 4 — Cifratura e riscatto. I file vengono cifrati, compare il messaggio di riscatto. A quel punto: dati inaccessibili, backup compromessi, dati già esfiltrati.

Come proteggere la tua azienda

La protezione richiede un approccio multi-livello:

Protezione endpoint avanzata su TUTTI i dispositivi. Non antivirus tradizionale: serve analisi comportamentale che rileva il ransomware dal comportamento, non dalla firma.

Backup 3-2-1 con copia immutabile. 3 copie, 2 supporti, 1 offsite. Almeno una copia air-gapped o immutabile (non raggiungibile/modificabile dalla rete). I ransomware moderni cercano e distruggono i backup in rete.

MFA ovunque. Su VPN, email, accessi admin. Blocca il 99,9% degli attacchi basati su credenziali rubate.

Patching tempestivo. Le vulnerabilità su VPN e firewall sono il secondo vettore d’ingresso dopo il phishing.

Segmentazione di rete. Un ransomware che entra da un PC non deve raggiungere i server. VLAN e firewall interni limitano la propagazione.

Formazione anti-phishing. Il vettore #1. Simulazioni regolari riducono il tasso di click dal 30% al 5% in pochi mesi.

Cosa fare se sei sotto attacco

Isola i sistemi compromessi — disconnetti dalla rete ma non spegnere (evidenze in RAM). Non pagare il riscatto — non garantisce il ripristino, finanzia i criminali, ti rende bersaglio futuro. Attiva il team di incident response — MSP o team sicurezza immediatamente. Preserva le evidenze — log, email, screenshot del messaggio di riscatto. Valuta le notifiche obbligatorie — NIS2: 24 ore all’ACN. GDPR: 72 ore al Garante se c’è data breach.

Ransomware e NIS2

La NIS2 impone misure che coprono direttamente la protezione dal ransomware: gestione incidenti con notifica, continuità operativa con DR testato, vulnerability management, formazione. Un attacco ransomware in assenza di misure adeguate è anche una violazione NIS2 con sanzioni aggiuntive.