Tutti i ransomware vengono per nuocere e alcuni sono anche peggiori, tanto da causare la chiusura aziendale e generare fenomeni di estorsione ricorrente impoverendo e depauperando la capacità aziendale di generare margine e utili.

Prevenire questi rischi alla sopravvivenza aziendale è quindi strettamente necessario ed è oggi un percorso guidato dalle raccomandazioni di esperti internazionali e del CSIRT operazioni di ACN.

Quando una azienda è colpita da una minaccia digitale che ne blocca progressivamente e completamente l’operatività e viene contattata con una richiesta di riscatto per risolvere la situazione, quasi certamente è vittima di una minaccia digitale nota come ransomware.

Essere colpiti da un ransomware è percepito dalle vittime come una maledizione biblica, come un accadimento nefasto, come una disgrazia che ‘casualmente’ e ‘incomprensibilmente’ è capitata proprio nel momento sbagliato.

Ma non c’è nulla di trascendente o sovrumano né fra le cause scatenanti di un ransomware, se non la cronica impreparazione, né fra le motivazioni degli avversari digitali, che più semplicemente e biecamente puntano a fare soldi sulla ‘pelle e dell’impresa’ altrui.

Ma prepararsi per tempo è possibile e altamente consigliabile per evitare di essere la prossima vittima.

Diffusione del ransomware e aggiornamenti della minaccia

L’incidenza di questa minaccia è tristemente nota: gli incidenti ransomware aumentano con oltre un quarto delle aziende colpite prese di mira più volte e con una pressione che va oltre la semplice cifratura dei dati, ma interessa anche il furto ed esfiltrazione dei dati come ulteriore elemento di pressione estorsiva.

In media i pagamenti si assestano su circa 1 milione di dollari con circa 1,5 milioni di dollari per la costo di recupero dall’incidente (fonte Delinea, Sophos).

In Italia secondo i dati dell’Operational summary di ACN emesso ad Aprile 2025 si è verificato un aumento del 64% di attacchi ransomware rispetto allo stesso periodo del 2024. Dato confermato anche dalla pubblicazione specialistica “report su minaccia ransomware” di ACN, che analizzando gli ultimi anni, evidenzia come le “operazioni ransomware mostrino un trend di crescita costante, segnando sempre nuovi record”.

Le ultime campagne in ordine di tempo sul territorio italiano sono segnalate dal CSIRT e riguardano Lynx e INC Ransomware segnalate ad aprile 2025 e attive rispettivamente dal 2024 e dal 2023.

Ogni bollettino descrive il comportamento malevolo, fornisce indicazioni sulle modalità di mitigazione e sulle informazioni da predisporre per prepararsi ad interagire con il CSIRT nazionale

Un caso reale di gestione dell’incidente

Per comprendere cosa accada davvero durante una situazione di attacco ransomware è stato approfondito un caso reale di incidente verso una organizzazione italiana, grazie al Cyber Security Incident Response Team (CSIRT).

“Il 9 maggio scorso, l’Università degli Studi Roma Tre ha subito un attacco ransomware da parte del Threat Actor (TA) INC Ransom. I tecnici del dipartimento IT hanno riconosciuto la natura malevola dell’evento ed hanno effettuato la segnalazione allo CSIRT Italia. In seguito ad una prima chiamata di supporto si è deciso per un intervento in loco. Lo CISRT Italia ha avviato le attività di coordinamento dell’incidente partendo da una ricognizione sui servizi attivi e non più attivi, sulla consistenza dei backup e sulle capacità di ripristino del dipartimento IT”.

Il blocco operativo è stato diffuso. “Tutti gli applicativi di maggiore interesse (protocollo, gestione della carriera universitaria, contabilità, gestione personale/paghe/stipendi, anagrafica, gestione gare d’appalto, ecc.) non sono stati danneggiati. Ciononostante, come spesso accade, il sistema di autenticazione e federazione che sta alla base di tutti i servizi offerti a professori e studenti, ha richiesto un impegno maggiore in termini di lavoro, tempestività dell’intervento e difficoltà tecniche nell’esecuzione”.

L’azione di mitigazione ha richiesto un giorno ma il ripristino ha richiesto un’intera settimana.

“Lo CISRT Italia ha effettuato, durante la prima giornata, tutte le manovre urgenti per la messa in sicurezza del perimetro (necessarie ad implementare un primo contrasto per eventuali ulteriori movimenti dell’attaccante) ed ha proseguito, nei giorni successivi, tutte le analisi necessarie per ricostruire la “root cause” ed implementare le relative contromisure. L’ateneo ha ingaggiato tutto il personale tecnico disponibile al fine di recuperare l’operatività dei servizi primari già entro la prima giornata. Le attività si sono protratte per settimane secondo le fasi previste nel piano di risposta fino al raggiungimento di un livello di servizio accettabile per l’ateneo, al quale è stato, infine, consegnato un piano a medio termine per l’innalzamento della postura di sicurezza e il miglioramento della propria resilienza rispetto ad eventi simili”.

Il supporto alla “vittima” e i limiti di intervento

Le attività di supporto all’incidente seguono un preciso schema metodologico. “A seguito della notifica di un incidente informatico, lo CSIRT assume un ruolo centrale nella gestione dell’evento, operando secondo un approccio strutturato e metodologico. La prima fase dell’intervento consiste nella raccolta e analisi preliminare delle informazioni relative all’incidente, con l’obiettivo di determinarne la natura, l’estensione e il potenziale impatto. Tale attività include l’identificazione degli indicatori di compromissione (IoC), l’analisi dei log di sistema e il confronto con minacce note, attraverso l’impiego della piattaforma proprietaria di threat intelligence”.

Successivamente ai primi passaggi di verifica il supporto si sviluppa nelle azioni di mitigazione e recupero della normale operatività. “Lo CSIRT fornisce supporto tecnico e consulenziale alla vittima, proponendo misure di contenimento, eradicazione e ripristino dei servizi essenziali. Questo supporto può includere la definizione di strategie di mitigazione, la supervisione delle attività di bonifica e il coordinamento con altri attori coinvolti, quali fornitori di servizi, outsourcer e autorità competenti. In tale contesto, lo CSIRT agisce anche come facilitatore nella condivisione di informazioni e nella gestione della comunicazione dell’incidente”.

Ma attenzione. Vi sono limiti normativi all’intervento, come sottolinea il CSIRT operazioni: “L’operatività del CSIRT all’interno dell’infrastruttura della vittima è subordinata a precisi vincoli giuridici e contrattuali. In assenza di un mandato esplicito, lo CSIRT non può intervenire direttamente nei sistemi informatici dell’organizzazione colpita. Le attività operative sono quindi condotte nel rispetto della normativa vigente in materia di protezione dei dati personali, sicurezza delle informazioni e responsabilità giuridica. In genere, la capacità di intervento operativo dello CSIRT è delimitata dal quadro normativo, dal mandato ricevuto e dalla collaborazione attiva della vittima dell’incidente. Pertanto, in linea di massima, lo CSIRT fornisce raccomandazioni e strumenti, lasciando alla vittima la responsabilità dell’implementazione”.

L’approccio proattivo e il piano di risposta agli incidenti

Dal punto di vista della singola organizzazione, quindi, è opportuno prepararsi in anticipo, avere un approccio proattivo e preventivo come suggeriscono dal CSIRT operazioni.

“Per affrontare efficacemente la crescente minaccia del ransomware, un’organizzazione deve adottare un approccio proattivo e multidimensionale, concentrandosi sulla preparazione, sulla prevenzione dell’accesso degli attaccanti, sulla limitazione dei danni e sulla capacità di recupero. Un elemento cardine della preparazione è lo sviluppo di un Piano di Risposta agli Incidenti Ransomware (IR Playbook). Questo funge da guida per mitigare, rilevare, rispondere e recuperare in modo proattivo dagli incidenti ransomware”.

Il suggerimento è ispirarsi ai principi di gestione degli incidenti, delineati dalla guida NIST SP800-61 Rev 2 che indica quattro fasi principali: la prima di preparazione, la seconda di rilevamento e analisi, il contenimento eradicazione come terza e in ultimo la risposta di recupero, e l’attività post-incidente.

Sono disponibili anche le indicazioni ed i suggerimenti del progetto internazionale Stopransomware per costituire un efficace piano di risposta. “Il piano deve essere gestito come un “documento vivente”, aggiornato semestralmente o in caso di incidenti, esercitazioni, cambiamenti di stakeholder chiave o modifiche significative nello scenario di rischio”.

Come implementare la protezione preventiva

Ogni fase è importante ma la preparazione preventiva secondo gli esperti CSIRT operazioni non dovrebbe dimenticare di includere misure di:

• Formazione sulla consapevolezza della sicurezza: poiché gli operatori di ransomware spesso prendono di mira i dipendenti per l’accesso iniziale tramite phishing e attacchi di ingegneria sociale, è cruciale implementare una formazione di sicurezza obbligatoria a livello aziendale. Questa formazione dovrebbe educare gli utenti su come rilevare e rispondere al phishing, come creare e utilizzare password robuste, e come segnalare attività sospette ai team di sicurezza.
• Backup e recupero dei dati: dal momento che il modello di business del ransomware si basa sul negare l’accesso ai dati, i dati e i metadati importanti devono essere sottoposti a backup periodico su storage che sia immutabile, isolato dalla rete e protetto. Inoltre, è fondamentale condurre regolari esercitazioni di ripristino dei dati per assicurarsi che essi siano validi e recuperabili.
• Protezione degli endpoint: è molto importante implementare programmi, politiche e procedure per gestire la sicurezza dei dispositivi endpoint e mobili, rendendoli più resilienti alle infezioni da ransomware e altri malware. Questo include l’installazione di soluzioni antivirus e antimalware, l’aggiornamento dei sistemi operativi e delle applicazioni, e l’investimento in soluzioni XDR (eXtended Detection and Response).
• Protezione della rete: gli attaccanti utilizzano frequentemente le soluzioni di accesso remoto per l’ingresso iniziale. Devono essere implementate politiche e procedure per monitorare e proteggere i punti di ingresso e di uscita della rete, come i firewall, l’uso del principio del minimo privilegio, l’applicazione di metodi di autenticazione forti come l’autenticazione a più fattori (MFA), e soluzioni antispam per le e-mail. Vanno programmate scansioni delle vulnerabilità e monitoraggio dei sistemi esposti su Internet. È importante disabilitare o limitare l’accesso a servizi di gestione esposti a internet come RDP ed SSH per ridurre la superficie di attacco.
• Principio del minimo privilegio e zero trust: i cybercriminali che operano ransomware con intervento umano si muovono spesso lateralmente attraverso la rete aziendale per raggiungere sistemi di alto valore. L’implementazione del principio del minimo privilegio e dei principi di sicurezza zero trust può rendere questo movimento laterale più difficile da eseguire e più facile da rilevare.
• Documentazione ed esercitazioni: le procedure devono essere documentate e aggiornate ad ogni rilascio di nuovi servizi critici. È essenziale, inoltre, prevedere esercitazioni complete per confermare che le parti interessate chiave siano pronte ad agire in caso di incidente.
• Aggiornamento dei processi organizzativi: Un piano di postura di sicurezza e governance definisce le responsabilità chiare per il monitoraggio del rischio e la sua mitigazione da parte dei proprietari degli asset. Per valutare la postura di sicurezza è possibile utilizzare strumenti dedicati e applicare le azioni di miglioramento da essi raccomandate. È altresì fondamentale mantenere aggiornati i contratti di outsourcing IT e di sicurezza (se applicabili) per garantire che gli accordi sul livello di servizio (SLA) supportino azioni di risposta rapide agli incidenti cyber, inclusi i tempi per isolare workstation, bonificare account e rimuovere malware.

Ulteriori raccomandazioni e contromisure sono fornite nel documento Report su minaccia ransomware che fornisce anche un’utile lista di passi da seguire in caso di incidente da parte dell’incident manager o di chi ne assume il ruolo.