Il ransomware è la minaccia informatica più impattante degli ultimi anni per le PMI italiane. Si tratta di un malware che cifra i file dell'azienda — documenti, database, email, backup locali — e richiede il pagamento di un riscatto in criptovaluta per fornire la chiave di decifratura. Spesso gli attaccanti minacciano anche di pubblicare i dati rubati se il riscatto non viene pagato (double extortion).
Secondo il Rapporto Clusit, nel 2024 l'Italia è stato il terzo paese europeo più colpito da ransomware. Il 60% degli attacchi ha come bersaglio PMI con meno di 250 dipendenti, considerate bersagli più facili rispetto alle grandi aziende per via delle misure di sicurezza tipicamente meno strutturate.
Come entra il ransomware in azienda
I vettori di ingresso più frequenti sono:
- Phishing via email (65-70% dei casi): un'email apparentemente legittima contiene un allegato malevolo o un link a una pagina che scarica il malware. Il dipendente che clicca diventa il punto di ingresso.
- Credenziali RDP esposte: il protocollo Remote Desktop Protocol con accesso diretto da internet è un bersaglio frequente di attacchi brute force.
- Vulnerabilità software non patchate: sistemi operativi, VPN, firewall e software con vulnerabilità note non corrette.
- Supply chain attack: un fornitore o partner compromesso diventa il vettore di ingresso nell'azienda target.
Le fasi di un attacco ransomware moderno
Gli attacchi ransomware professionali non sono eventi istantanei. Gli attaccanti trascorrono settimane all'interno della rete prima di attivare la cifratura:
- Accesso iniziale: ingresso tramite phishing, RDP o vulnerabilità
- Persistence: installazione di backdoor per mantenere l'accesso anche se il vettore iniziale viene scoperto
- Lateral movement: spostamento all'interno della rete, escalation dei privilegi, compromissione di più sistemi
- Exfiltration: furto dei dati più sensibili per la double extortion
- Impact: cifratura massiva e richiesta di riscatto
Questa struttura significa che quando la cifratura scatta, l'attaccante è già radicato nella rete da settimane — inclusi i backup locali, che vengono deliberatamente compromessi prima dell'attivazione.
Strategie di protezione
Prevenzione
- Formazione anti-phishing: il fattore umano è il vettore principale. Simulazioni periodiche di phishing e formazione aumentano significativamente la resilienza
- Patch management sistematico: aggiornamento tempestivo di OS, applicazioni e firmware di rete
- Segmentazione della rete: isolare i sistemi critici limita il lateral movement in caso di compromissione
- Principio del minimo privilegio: ogni account deve avere solo i permessi strettamente necessari
- MFA su tutti gli accessi remoti: RDP, VPN, email, pannelli di gestione
Rilevamento
- EDR (Endpoint Detection and Response) su tutti i dispositivi aziendali
- Monitoraggio dei comportamenti anomali (accessi insoliti, cifratura massiva di file, traffico di rete verso IP sconosciuti)
Ripristino
- Backup offline: almeno una copia dei backup deve essere fisicamente disconnessa dalla rete e non accessibile dagli account aziendali normali
- Test di ripristino periodici: verificare che i backup siano effettivamente utilizzabili prima che serva farlo in emergenza
- Piano di incident response: chi fa cosa, in quale ordine, con quali strumenti
NEO WEB supporta le aziende nella gestione sicura dei siti e dei sistemi web, con backup offsite e procedure di ripristino testate. Per una valutazione delle misure di protezione attive sul tuo sito, contattaci per una consulenza.
