/ Navigare nel mondo digitale / Cosa fare nelle prime 4 ore dopo un attacco ransomware per salvare l’azienda?
Pubblicato il Maggio 20, 2024

L’istinto ti dirà di staccare la spina e pagare il riscatto. È l’errore peggiore che puoi fare.

  • Spegnere il server distrugge le prove e le possibili chiavi di decriptazione volatili, rendendo il recupero più difficile.
  • Pagare non garantisce il recupero dei dati e ti inserisce in una “lista di pagatori” che attirerà nuovi attacchi.

Raccomandazione: Isola immediatamente le macchine colpite staccando il cavo di rete, non l’alimentazione, e attiva un protocollo di crisi predefinito.

Lo schermo mostra un messaggio che non lascia dubbi: i vostri file sono stati criptati. Il panico si diffonde. Il primo istinto, quasi primordiale, è quello di “spegnere tutto” per fermare l’emorragia digitale. Oppure, sotto la pressione del fermo operativo, considerare l’opzione più rapida: pagare il riscatto. Questi riflessi, per quanto comprensibili, sono esattamente ciò che i criminali informatici si aspettano e rappresentano gli errori più gravi che un’azienda possa commettere nelle prime, critiche quattro ore dopo la scoperta di un attacco ransomware.

In un contesto dove, solo in Italia, si sono registrati 283 eventi cyber a maggio 2024, con un aumento del 148% rispetto al mese precedente, la domanda non è più “se” accadrà, ma “come” reagire quando accadrà. La gestione della crisi non è una questione di velocità, ma di precisione. L’approccio convenzionale fallisce perché ignora le trappole psicologiche e tecniche tese dagli aggressori. La vera chiave per la sopravvivenza non è agire d’impulso, ma eseguire con freddezza un contro-protocollo che spesso va contro l’intuizione.

Questo articolo non è una semplice lista di consigli. È una guida direttiva, scritta dalla prospettiva di chi ha gestito decine di questi incidenti. Vi guiderà attraverso le decisioni critiche da prendere, spiegando il “perché” dietro ogni azione e svelando gli errori contro-intuitivi che possono compromettere irrimediabilmente il recupero dei dati e la reputazione aziendale. Analizzeremo perché non bisogna spegnere i server, i veri rischi del pagamento, come gestire le notifiche obbligatorie e come evitare di re-infettare i propri sistemi durante il ripristino.

Per navigare questa situazione critica con lucidità, è fondamentale seguire un percorso strutturato. Questo sommario delinea le tappe essenziali del nostro contro-protocollo di emergenza, pensato per trasformare il panico in azione controllata.

Sommario: Il protocollo di emergenza per le prime ore critiche

Perché staccare la spina del server è l’errore che può impedire il recupero dati?

Il riflesso è immediato: il sistema è compromesso, stacco l’alimentazione per fermare il danno. È l’errore più grave e contro-intuitivo che si possa commettere. Il server non è solo una vittima, è la scena del crimine digitale. Spegnendolo bruscamente, si cancellano tutte le informazioni volatili contenute nella memoria RAM. Proprio in quella memoria potrebbero risiedere frammenti delle chiavi di crittografia utilizzate dal ransomware o altre tracce fondamentali per l’analisi forense, che un esperto di incident response potrebbe potenzialmente recuperare per tentare una decifrazione senza pagare il riscatto.

Dettaglio ravvicinato di una mano che disconnette un cavo di rete Ethernet da un server

L’azione corretta non è togliere l’alimentazione, ma praticare un isolamento strategico: scollegare immediatamente il cavo di rete. Questo impedisce al malware di propagarsi lateralmente ad altre macchine della rete o di comunicare con il suo server di comando e controllo, ma mantiene la macchina accesa e “congelata” nel suo stato attuale. In questo modo si preservano le prove digitali vitali. L’obiettivo è contenere l’infezione, non distruggere le prove che potrebbero portare alla soluzione. Ogni riavvio o spegnimento è una potenziale perdita di informazioni preziose. Il protocollo da seguire deve essere meccanico e privo di panico:

  • Se vedi la nota di riscatto sullo schermo: scollega immediatamente il cavo di rete, NON spegnere.
  • Se il sistema è lento o presenta comportamenti strani: scollega il cavo di rete e isola la macchina.
  • Documenta l’ora esatta della scoperta e fai foto dello schermo con il tuo telefono.
  • Avvisa immediatamente il responsabile IT o il consulente esterno senza tentare riavvii o spegnimenti forzati.

Comprendere questa distinzione è il primo passo per passare da una reazione di panico a una gestione controllata della crisi. È la differenza tra collaborare involontariamente con gli aggressori e iniziare a contrastarli efficacemente.

Pagare o non pagare: i rischi legali e tecnici che il 90% delle vittime ignora

La pressione è enorme. Ogni ora di fermo costa denaro e reputazione. Pagare sembra la via più breve per tornare operativi. Tuttavia, questa decisione espone l’azienda a una serie di rischi che vanno ben oltre la perdita economica del riscatto. In Italia, la situazione è ancora più grave: il riscatto mediano richiesto è di 2,06 milioni di dollari, il doppio della media globale, come rivela il report “State of Ransomware 2025” di Sophos. Questo dimostra che le aziende italiane sono viste come bersagli redditizi.

Tecnicamente, pagare non offre alcuna garanzia. Si sta negoziando con dei criminali. Non è raro che, anche dopo il pagamento, il decryptor fornito sia difettoso, corrompa i dati o non funzioni affatto. Peggio ancora, come avverte il Garante della Privacy, pagare espone al rischio concreto di finire in “liste di pagatori”. Queste liste sono condivise tra gruppi criminali e marchiano la vostra azienda come “disponibile a pagare”, rendendola un bersaglio primario per futuri attacchi, spesso a distanza di pochi mesi. State essenzialmente comprando un biglietto per la prossima estorsione.

Dal punto di vista legale ed etico, la posizione delle autorità è inequivocabile. Come sottolineato da diverse analisi di settore, il pagamento è fortemente scoraggiato.

Le autorità (ACN, forze dell’ordine, Garante) scoraggiano il pagamento del riscatto e incoraggiano invece la denuncia dell’attacco, così da attivare i meccanismi di indagine e magari recupero dei dati.

– ICT Security Magazine, Analisi del fenomeno ransomware secondo il rapporto ACN

Pagare, inoltre, alimenta direttamente l’industria del cybercrime, finanziando lo sviluppo di ransomware sempre più sofisticati. Denunciare, al contrario, permette alla Polizia Postale di avviare indagini che, in alcuni casi, hanno portato al sequestro delle infrastrutture criminali e al recupero delle chiavi di decrittazione per tutte le vittime di un determinato gruppo.

La decisione finale spetta all’azienda, ma deve essere presa con la piena consapevolezza che pagare il riscatto non è una soluzione, ma l’inizio di una nuova serie di problemi tecnici, legali e di sicurezza.

Come notificare il Data Breach al Garante ed ai clienti senza distruggere la reputazione

Un attacco ransomware non è solo un problema tecnico, è un Data Breach. Il GDPR è molto chiaro: se l’attacco ha compromesso dati personali e presenta un rischio per i diritti e le libertà delle persone, la notifica all’autorità di controllo (il Garante per la Protezione dei Dati Personali) è obbligatoria entro 72 ore dalla scoperta. Ignorare quest’obbligo può portare a sanzioni pesantissime. La sfida è trasformare un obbligo di legge in un’opportunità per dimostrare trasparenza e responsabilità, gestendo la comunicazione per non distruggere la fiducia di clienti e partner. È necessario coordinare l’azione su più fronti, contattando gli enti giusti con le informazioni corrette.

Il seguente schema riassume chi contattare e perché, un’informazione che dovrebbe essere sempre a portata di mano nel vostro manuale di crisi. Queste azioni devono essere coordinate con il vostro consulente legale e DPO (Data Protection Officer).

Enti da contattare e relative competenze
Ente Competenza Tempistica
Garante Privacy Notifica data breach (Art. 33 GDPR) Entro 72 ore
Polizia Postale Denuncia penale del reato informatico Il prima possibile
CSIRT Italia (ACN) Supporto tecnico e coordinamento nazionale Immediatamente per supporto
Assicurazione Cyber Attivazione copertura e assistenza Entro i termini di polizza

Oltre alle autorità, è vitale gestire la comunicazione verso gli stakeholder. Il silenzio è il peggior nemico: alimenta speculazioni e distrugge la fiducia. Una comunicazione proattiva e controllata è fondamentale. Non si tratta di rivelare ogni dettaglio tecnico, ma di essere onesti sull’accaduto, sulle misure intraprese e sui prossimi passi. Questo approccio, sebbene difficile, dimostra che l’azienda ha il controllo della situazione, anche nel mezzo della crisi.

Checklist per la Comunicazione di Crisi

  1. Punti di contatto: Identificare chi deve comunicare con dipendenti, clienti, media e partner. Centralizzare la responsabilità.
  2. Messaggio interno: Preparare una comunicazione chiara per i dipendenti per evitare fughe di notizie, panico e fornire istruzioni precise (es. non usare i PC aziendali).
  3. Script per clienti: Definire un messaggio trasparente ma rassicurante. Riconoscere l’incidente, spiegare le azioni in corso per risolverlo e fornire un canale dedicato per le domande.
  4. Valutazione Notifica Interessati (Art. 34 GDPR): Con il supporto del DPO, valutare se il rischio per i dati personali è “elevato” e richiede una comunicazione diretta agli individui coinvolti.
  5. Piano media: Preparare un comunicato stampa solo se necessario, per controllare la narrativa ed evitare che la notizia venga distorta da terzi.

Affrontare la notifica non come un fastidio burocratico ma come un atto di responsabilità trasforma una potenziale catastrofe reputazionale in una dimostrazione di integrità e resilienza.

L’errore di ripristinare i backup su macchine ancora infette

Avete dei backup recenti e funzionanti. La tentazione è di avviare immediatamente il ripristino per tornare operativi il più in fretta possibile. Questo è un altro errore fatale. Ripristinare i dati su un ambiente che non è stato prima completamente bonificato e messo in sicurezza è come versare acqua pulita in un bicchiere sporco. Il ransomware, o altri malware collaterali come le backdoor, potrebbero essere ancora latenti nel sistema. Appena i dati “puliti” verranno ripristinati, il malware si riattiverà, criptando nuovamente i file appena recuperati e vanificando l’intero processo.

Questa fretta è un comportamento comune. Un’analisi del report ACN sui comportamenti post-attacco indica che circa il 75% delle PMI colpite tenta la bonifica invece della formattazione completa, spesso in modo affrettato e incompleto. La procedura corretta, per quanto più lenta, è l’unica sicura. Prima di qualsiasi ripristino, l’intero ambiente IT colpito deve essere considerato contaminato. La best practice prevede i seguenti passaggi:

  1. Creare un ambiente di ripristino isolato (sandbox): Allestire un nuovo server o una rete completamente separata da quella infetta. Questo sarà il vostro “ambiente pulito”.
  2. Verificare l’integrità dei backup: Prima di ripristinarli, i backup stessi devono essere scansionati in un ambiente sicuro per assicurarsi che non contengano il malware. A volte, il ransomware rimane dormiente per settimane prima di attivarsi, infettando anche i backup.
  3. Formattare e ricostruire: Le macchine infette devono essere completamente formattate e i sistemi operativi reinstallati da zero. Tentare di “pulire” un sistema operativo compromesso è rischioso e lascia quasi sempre delle tracce.
  4. Ripristinare i dati nell’ambiente pulito: Solo a questo punto i dati verificati possono essere ripristinati sulle macchine appena ricostruite.

Questo processo richiede tempo e competenza, ma è l’unico che garantisce di non cadere in un ciclo infinito di infezione e ripristino. La pazienza in questa fase è un investimento per la stabilità futura.

Saltare la fase di bonifica e isolamento non fa guadagnare tempo; al contrario, lo fa perdere, insieme a dati, risorse e fiducia.

Come i criminali lasciano “porte di servizio” per tornare dopo aver pagato

Anche nel raro caso in cui si decida di pagare e si riceva una chiave di decrittazione funzionante, l’incubo non è finito. I gruppi criminali moderni sono organizzazioni strutturate. Il loro obiettivo non è un singolo colpo, ma la creazione di una rendita. Per questo, prima di lanciare l’attacco ransomware vero e proprio, spesso passano settimane o mesi all’interno della rete della vittima. Durante questo periodo, non solo esfiltrano i dati (per la doppia estorsione), ma installano anche delle backdoor, o “porte di servizio”.

Queste backdoor sono meccanismi nascosti (software di accesso remoto, account utente con privilegi elevati, regole firewall modificate) che permettono loro di rientrare nel sistema a piacimento, anche dopo che l’incidente sembra risolto. Pagare il riscatto e decriptare i file senza eliminare queste porte di servizio è come cambiare la serratura della porta di casa lasciando una finestra aperta sul retro. Come evidenziato da analisi recenti, il modello Ransomware-as-a-Service (RaaS) ha reso queste tattiche ancora più diffuse, abbassando le barriere d’ingresso e fornendo ai criminali meno esperti kit completi che includono moduli per la persistenza. Un’analisi di ICT Security Magazine basata su dati ACN ha rilevato che il RaaS ha contribuito a un aumento del 20% degli attacchi ransomware in Italia nel corso dell’ultimo anno.

Dopo un incidente, che si sia pagato o meno, è quindi obbligatorio condurre una caccia alle backdoor. Questa attività di “threat hunting” dovrebbe includere almeno i seguenti controlli:

  • Verifica degli account utente: Cercare nuovi account, specialmente con privilegi di amministratore, che non dovrebbero esistere.
  • Analisi delle regole del firewall: Controllare la presenza di nuove regole in entrata o in uscita che consentono connessioni su porte anomale.
  • Ricerca di software di accesso remoto: Scansionare i sistemi alla ricerca di installazioni non autorizzate di software come TeamViewer, AnyDesk, o strumenti più professionali come Cobalt Strike.
  • Controllo dell’avvio automatico: Analizzare il registro di sistema e le cartelle di avvio per individuare programmi o script sospetti che vengono eseguiti all’accensione della macchina.

Senza una bonifica profonda e una ricerca attiva delle backdoor, l’azienda rimane estremamente vulnerabile a un secondo attacco, spesso più devastante del primo.

Il “Manuale di Crisi”: l’errore di averlo salvato solo sul server che si è appena rotto

Avete un piano di crisis management? Ottimo. Avete un Disaster Recovery Plan? Eccellente. Ma dove li avete salvati? Se la risposta è “sul server aziendale” o “sulla nostra Intranet”, allora, nel momento del bisogno, quel piano sarà tanto utile quanto un salvagente conservato sul fondo di una nave che affonda. È un errore banale ma incredibilmente comune: il documento che spiega come sopravvivere a una catastrofe diventa esso stesso una vittima della catastrofe.

Il Manuale di Crisi, per essere efficace, deve essere accessibile offline e al di fuori dell’infrastruttura IT principale. La soluzione più robusta e a prova di bomba digitale è la più antica: la carta. Una copia stampata, conservata in una “busta rossa sigillata” in un luogo sicuro (come una cassaforte) e accessibile alle figure chiave (CEO, responsabile IT, DPO), è spesso ciò che fa la differenza tra una risposta caotica e una coordinata. L’esperienza diretta lo conferma.

Dopo un attacco ransomware che ha cifrato tutti i nostri server, l’unica cosa che ci ha salvato è stata la copia stampata del piano di emergenza che tenevamo in cassaforte. Senza quella, non avremmo saputo chi chiamare o cosa fare nelle prime ore critiche.

– Responsabile IT di una PMI lombarda

Accanto alla copia cartacea, è bene avere anche copie digitali su supporti esterni e non connessi alla rete (es. chiavette USB criptate) e su servizi cloud personali e sicuri (come un account Google Drive o Dropbox privato di una figura chiave), completamente slegati dall’infrastruttura aziendale. Questo manuale deve contenere informazioni immediatamente fruibili:

  • Contatti di emergenza: Numeri di telefono cellulari (non interni all’azienda) del team di risposta, del consulente legale specializzato in cyber, del broker assicurativo, del DPO e della Polizia Postale.
  • Dati aziendali essenziali: Partita IVA, codice fiscale, numero di polizza cyber. Dettagli che sembrano ovvi ma che diventano irrecuperabili se salvati su un sistema criptato.
  • Flowchart decisionale: Un diagramma di flusso che guida le prime azioni (Chi chiamare? Cosa isolare? Chi notificare?).
  • Template di comunicazione: Modelli pre-compilati per le comunicazioni a dipendenti, clienti e autorità.

Un piano irraggiungibile è un piano inesistente. Assicurarsi che sia disponibile quando tutto il resto è crollato è il vero test della sua validità.

SIEM per PMI: come avere visibilità sugli eventi critici senza spendere una fortuna in licenze

Parlare di SIEM (Security Information and Event Management) a una Piccola e Media Impresa può sembrare come proporre un sistema di controllo del traffico aereo per gestire un piccolo aeroporto di campagna: eccessivo e costoso. Tradizionalmente, queste soluzioni erano appannaggio delle grandi corporation. Tuttavia, il panorama è cambiato. Con l’Italia che si classifica come uno dei paesi più bersagliati, rappresentando il 12% degli attacchi ransomware a livello europeo secondo l’ACN, avere visibilità su ciò che accade nella propria rete non è più un lusso, ma una necessità.

Un SIEM, in parole semplici, è un “supervisore” che raccoglie, aggrega e analizza i log (i diari di bordo) di tutti i dispositivi della rete: server, firewall, PC. Cerca schemi anomali, come un utente che si connette a mezzanotte da un paese straniero o un numero enorme di file che vengono modificati in pochi secondi, segnali tipici di un attacco in corso. Oggi, esistono soluzioni SIEM accessibili anche per le PMI, che non richiedono investimenti milionari. La scelta dipende dal livello di competenza IT interna e dal budget.

Per le PMI italiane, le opzioni si possono raggruppare in tre categorie principali, ognuna con i suoi pro e contro in termini di costi e complessità.

Soluzioni SIEM open source vs commerciali per PMI
Soluzione Costo Licenza Complessità Adatta per PMI
Wazuh Gratuito Media Sì, con supporto IT interno
ELK Stack Gratuito Alta Per PMI tech-savvy
SIEM as a Service italiano 500-2000€/mese Bassa Ideale per PMI senza team IT
Splunk 10.000€+/anno Alta Solo grandi PMI

Adottare una soluzione SIEM as a Service (gestita da un provider esterno) è spesso la scelta più pragmatica per una PMI. Trasforma un grande investimento di capitale (CAPEX) in un costo operativo mensile (OPEX), fornendo accesso a competenze specialistiche senza dover assumere un analista di sicurezza a tempo pieno. Implementare un SIEM non previene l’attacco in sé, ma riduce drasticamente il “dwell time”, ovvero il tempo in cui l’attaccante si muove inosservato nella rete, permettendo di bloccarlo prima che possa fare danni irreparabili.

Investire in visibilità è l’unico modo per passare da una sicurezza reattiva, che interviene solo dopo il disastro, a una sicurezza proattiva, che rileva la minaccia sul nascere.

Da ricordare

  • L’istinto iniziale è il peggior consigliere: non staccare la spina, ma il cavo di rete per preservare le prove.
  • Pagare il riscatto non è una soluzione: non garantisce il recupero e ti rende un bersaglio per attacchi futuri.
  • La bonifica è obbligatoria: ripristinare i backup su un sistema ancora infetto significa essere criptati una seconda volta.

Come garantire l’operatività aziendale anche se l’ufficio è inagibile per un incendio?

L’ultimo, e forse più trascurato, aspetto di un attacco ransomware è che la crisi digitale può rapidamente trasformarsi in una crisi fisica. Non si tratta solo di file criptati. In Italia, per esempio, c’è un rischio concreto che i server fisici vengano posti sotto sequestro giudiziario dalla Polizia Postale per esigenze di indagine. L’infrastruttura IT diventa una scena del crimine inaccessibile. Come documentato in un caso che ha coinvolto un’azienda manifatturiera del Nord Italia, la società ha dovuto operare per tre settimane senza alcun accesso ai propri server fisici durante le indagini. L’ufficio è diventato, a tutti gli effetti, inagibile dal punto di vista operativo.

Questo scenario è concettualmente identico a un disastro fisico come un incendio o un’alluvione. La domanda che ogni imprenditore deve porsi è: “Se domani non potessi entrare in ufficio e accedere a nessun sistema locale, l’azienda si fermerebbe?”. Se la risposta è sì, allora il Piano di Continuità Operativa (PCO) è incompleto. La resilienza non dipende solo dal ripristino dei dati, ma dalla capacità di mantenere in funzione i processi di business critici con strumenti alternativi.

Un PCO efficace per una PMI deve andare oltre l’IT e considerare le operazioni vitali:

  • Fatturazione e incassi: Chi può emettere fatture e come? Esiste un processo manuale o un accesso a un sistema di fatturazione cloud indipendente?
  • Pagamenti e stipendi: Come vengono pagati i fornitori e i dipendenti se il sistema di home banking o HR non è accessibile?
  • Comunicazione: Come si contattano i clienti se la rubrica è sui server criptati? Un canale alternativo come WhatsApp Business o una lista contatti su cloud è fondamentale.
  • Accesso ai documenti: I documenti fiscali, contabili e legali critici sono accessibili tramite un cloud sicuro (es. Google Workspace, Microsoft 365)?

La vera salvezza dell’azienda citata nel caso di studio non è stata la tecnologia, ma la lungimiranza: avevano già implementato un piano basato su Microsoft 365 che ha permesso loro di mantenere le comunicazioni e le operazioni essenziali, sopravvivendo al blocco fisico della loro infrastruttura.

Per andare oltre il ripristino tecnico, è cruciale capire come mantenere l'azienda in vita durante un blocco fisico o logico.

Ora che conoscete gli errori da evitare e le azioni corrette da intraprendere, il prossimo passo è trasformare questa conoscenza in un piano d’azione concreto per la vostra azienda. Non aspettate la prossima crisi per agire.

Scritto da Alessandro Conti, Consulente esperto in Cybersecurity e Compliance legale (DPO), specializzato nel settore della Pubblica Amministrazione e delle infrastrutture critiche. Membro attivo di associazioni per la sicurezza informatica e auditor certificato ISO 27001.
DPI e Privacy dei dipendenti: fino a che punto puoi ispezionare le email aziendali legalmente?
Next Generation Firewall: come bloccare Facebook e YouTube solo a specifici reparti?
Novità del sito
Manutenzione Storage Enterprise: perché la deframmentazione non serve più (e cosa fare invece)?
Sindrome da burnout del Sysadmin: smetti di spegnere incendi, automatizza la routine e riprenditi la vita
Centralizzazione dei Log: perché in caso di attacco i log locali non ti salveranno?
Gestione dispositivi mobili (MDM): come controllare 100 smartphone aziendali senza impazzire?
Come ridurre la bolletta energetica IT del 20% applicando policy di Green IT concrete?
Post simili
Wi-Fi pubblici e hotel: come proteggere i dati aziendali quando i commerciali viaggiano?
VPN Client-to-Site o Site-to-Site: quale architettura serve per collegare tre sedi e 50 smart worker?
Passwordless in azienda: l’impronta digitale o il volto sono davvero più sicuri della password?
Come gestire onboarding e offboarding dei dipendenti per evitare account “zombie” attivi?