Sono le 7:42 di un martedì mattina. Il responsabile amministrativo accende il PC e trova tutti i file con estensione .locked. Sulla scrivania virtuale, un file di testo chiede 150.000 euro in Bitcoin entro 48 ore. Il panico è comprensibile, ma quello che fai nei prossimi 60 minuti determina se la tua azienda si riprende in un giorno o resta ferma per settimane.
In quindici anni di attività ho gestito decine di attacchi ransomware per aziende lombarde. La differenza tra chi se la cava con qualche ora di fermo e chi perde settimane di lavoro non dipende dalla tecnologia. Dipende dalla velocità e dalla lucidità delle decisioni prese nei primi minuti.
Questa guida è il protocollo che seguiamo noi di BullTech Informatica quando riceviamo la telefonata "Aiuto, siamo sotto attacco". Stampala, appendila vicino al server, condividila con chi gestisce l'IT della tua azienda.
La timeline dei 60 minuti critici
Minuto 0-5: Isolamento dalla rete (NON spegnere)
Minuto 5-15: Chiamata al team IT / MSP
Minuto 15-30: Identificazione e scope dell'attacco
Minuto 30-60: Contenimento, evidence, strategia di recovery
Minuto 0-5: Isola Tutto, Non Spegnere Niente
Il primo istinto di chiunque scopra un ransomware è spegnere il computer. Sbagliato. La memoria RAM contiene informazioni forensi fondamentali: la chiave di cifratura potrebbe ancora essere in memoria, e spegnendo la perdi per sempre.
Quello che devi fare invece:
Stacca il cavo di rete
Scollega fisicamente il cavo ethernet da ogni macchina che mostra segni di infezione. Il ransomware si propaga lateralmente attraverso la rete.
Disattiva il Wi-Fi
Spegni gli access point o disabilita il Wi-Fi dal firewall. I laptop infetti possono continuare a propagare il malware via wireless.
Disconnetti i NAS e i backup
Se i backup sono raggiungibili via rete, scollegali subito. Il ransomware moderno cerca attivamente le share di rete e i dispositivi di backup.
NON spegnere i PC infetti
Lasciali accesi ma isolati. La RAM contiene prove forensi e potenzialmente la chiave di decrittazione. Spegnendo perdi tutto.
Se la tua azienda ha più sedi collegate via VPN, disconnetti le VPN site-to-site immediatamente. Un ransomware che parte dalla sede di Monza può raggiungere i server di Milano in pochi secondi.
Avvisa verbalmente (non via email aziendale, potrebbe essere compromessa) tutti i colleghi presenti di NON toccare i computer e di non accendere quelli ancora spenti.
Minuto 5-15: Chiama Chi Può Aiutarti
Hai isolato la rete. Adesso servono le persone giuste. In ordine di priorità:
1. Il tuo MSP o team IT
Se hai un contratto con un Managed Service Provider, questa è la telefonata più importante della giornata. Non mandare un ticket via email. Chiama. Il tuo MSP ha gli strumenti per accedere da remoto ai sistemi (anche senza rete locale, tramite connessione cellulare), analizzare la situazione e coordinare la risposta.
Se non hai un MSP, chiama un'azienda specializzata in incident response. Non provare a gestire da solo un attacco ransomware se non hai esperienza specifica: ogni azione sbagliata può peggiorare la situazione.
2. La direzione aziendale
Il management deve essere informato subito, perché le decisioni che seguiranno hanno impatto economico e legale. Chi autorizza la spesa per il recovery? Chi comunica ai clienti? Chi parla con l'assicurazione? Queste domande servono risposte in fretta, non tra tre ore.
3. L'assicurazione cyber (se ne hai una)
Se la tua azienda ha una polizza cyber, contatta il broker o il numero verde dedicato. Molte polizze prevedono l'intervento di un team di incident response incluso nella copertura. Alcune richiedono la notifica entro 24 ore dall'incidente, pena la perdita della copertura.
Non usare i canali aziendali
Email, Teams, Slack aziendali potrebbero essere compromessi. L'attaccante potrebbe leggere le comunicazioni. Usa telefonate, WhatsApp personale o SMS per coordinare la risposta iniziale.
Minuto 15-30: Identifica Cosa Sta Succedendo
A questo punto il team tecnico (interno o MSP) è attivo. L'obiettivo è capire tre cose fondamentali:
Che tipo di ransomware è?
L'estensione dei file cifrati e il messaggio di riscatto (ransom note) permettono di identificare la famiglia di ransomware. Strumenti come ID Ransomware e il No More Ransom Project (iniziativa Europol) possono rivelare se esiste già un decryptor gratuito. Per alcune varianti meno recenti, il recupero è possibile senza pagare nulla.
Quanto si è diffuso?
Mappare lo scope è fondamentale per decidere la strategia di recovery. Quanti PC sono stati colpiti? I server sono cifrati? Il domain controller è compromesso? I backup sono intatti? Le risposte a queste domande cambiano radicalmente il piano di ripristino.
Un buon MSP con strumenti di monitoraggio può verificare lo stato di tutti gli endpoint in pochi minuti, anche da remoto. Senza questi strumenti, bisogna controllare fisicamente ogni macchina.
Da dove è entrato?
Capire il vettore di ingresso serve per due motivi: chiudere la porta prima di iniziare il ripristino (altrimenti l'attaccante rientra) e raccogliere le prove per la denuncia. I vettori più comuni nelle PMI italiane sono:
- Email di phishing con allegato malevolo o link a sito compromesso
- RDP esposto su internet con credenziali deboli o rubate
- VPN vulnerabile con firmware non aggiornato (FortiGate, SonicWall, Cisco sono bersagli frequenti)
- Credenziali compromesse acquistate su marketplace darkweb
- Supply chain: un fornitore con accesso alla rete è stato compromesso per primo
Minuto 30-60: Contieni, Preserva, Decidi
Sai cosa è successo e quanto è esteso il danno. Ora servono tre azioni parallele.
Contenimento definitivo
Se non lo hai già fatto, disattiva tutti gli account compromessi in Active Directory. Cambia la password dell'account Domain Admin. Se il domain controller è compromesso, la situazione è più grave e richiede competenze specifiche per il restore.
Blocca dal firewall tutti i movimenti laterali non strettamente necessari. Isola i segmenti di rete non ancora colpiti. Se hai un SOC/MDR, il team sarà già al lavoro per identificare e bloccare le connessioni verso i server di comando e controllo (C2) dell'attaccante.
Preservazione delle prove
Documenta tutto. Screenshot dei messaggi di riscatto, log del firewall, log degli eventi Windows, timestamp dei file cifrati. Queste prove servono per:
- La denuncia alla Polizia Postale
- La notifica al Garante Privacy (obbligatoria entro 72 ore se ci sono dati personali coinvolti, come previsto dal GDPR)
- La segnalazione al CSIRT Italia (obbligatoria per i soggetti NIS2)
- Il reclamo assicurativo (la polizza cyber richiede documentazione dettagliata)
- L'analisi forense post-incidente per prevenire futuri attacchi
Strategia di recovery
A questo punto si apre la decisione più importante: come recuperare i dati e i sistemi?
Scenario A: Backup integri e recenti
Se hai backup Veeam con copie off-site o immutabili non raggiunti dal ransomware, il ripristino dei sistemi critici richiede 4-12 ore. Priorità: domain controller, file server, ERP, email.
Scenario B: Backup parziali o datati
Se il backup più recente ha qualche giorno, devi valutare la perdita di dati accettabile e integrare con recovery manuale dai documenti cartacei o da export precedenti.
Scenario C: Nessun backup utilizzabile
La situazione più grave. Le opzioni sono: negoziare con l'attaccante (sconsigliato), cercare un decryptor gratuito, o ricostruire da zero. I tempi si misurano in settimane.
La lezione è sempre la stessa: la qualità del tuo backup determina la velocità del recovery. Un backup Veeam con replica off-site in cloud, copie immutabili e test di restore trimestrali trasforma un attacco ransomware da catastrofe a inconveniente gestibile.
I 5 Errori Fatali da Evitare
In quindici anni ho visto aziende peggiorare drammaticamente la situazione con decisioni prese nel panico. Ecco gli errori più gravi:
Pagare il riscatto subito
Solo l'8% delle aziende che pagano recupera tutti i dati. Pagare ti mette in una lista di "pagatori" che verrà rivenduta ad altri gruppi criminali. E finanzi la prossima operazione contro un'altra azienda.
Formattare tutto senza analisi
Formattare i dischi distrugge le prove forensi e rende impossibile capire da dove è entrato l'attaccante. Senza questa informazione, rischi di essere colpito di nuovo nello stesso modo.
Riconnettere i sistemi troppo presto
Riattaccare i PC alla rete prima di aver chiuso il vettore di ingresso e bonificato i sistemi permette al ransomware di propagarsi di nuovo. Il danno raddoppia.
Non avvisare nessuno
Nascondere un data breach è illegale se coinvolge dati personali (GDPR, art. 33: notifica al Garante entro 72 ore). Le sanzioni per mancata notifica si sommano ai danni dell'attacco.
Comunicare con l'attaccante senza esperienza
Se decidi di negoziare (scelta che sconsigliamo), non farlo senza un esperto. Gli attaccanti sono professionisti della trattativa e useranno ogni informazione che gli dai contro di te.
Dopo i 60 Minuti: Recovery e Hardening
I primi 60 minuti servono a fermare l'emorragia. Quello che segue è il vero lavoro di ripristino e rafforzamento.
Ripristino dai backup
Il restore segue un ordine preciso di priorità: prima il domain controller (Active Directory), poi i server critici (ERP, file server, database), infine le postazioni utente. Ogni sistema ripristinato va verificato e scansionato prima di rimetterlo in rete.
Con Veeam Backup & Replication, il restore di un intero server da backup immutabile in cloud richiede circa 2-4 ore per i sistemi principali. Un Disaster Recovery Plan testato riduce i tempi e l'incertezza.
Hardening post-incidente
Prima di tornare operativi, bisogna chiudere le vulnerabilità che hanno permesso l'attacco:
- Patch tutti i sistemi esposti: VPN, firewall, server RDP
- Attiva MFA su tutti gli accessi: email, VPN, RDP, pannelli di controllo
- Resetta tutte le password di Active Directory, comprese quelle di servizio
- Rivedi le regole firewall: chiudi porte non necessarie, blocca RDP dall'esterno
- Implementa EDR se non lo avevi: Bitdefender GravityZone rileva comportamenti anomali che l'antivirus tradizionale non vede
- Configura backup immutabili: copie che non possono essere cancellate o cifrate nemmeno con credenziali admin
Reporting e obblighi legali
A livello legale, un attacco ransomware con esfiltrazione di dati personali richiede:
- Notifica al Garante Privacy entro 72 ore dalla scoperta (GDPR art. 33)
- Comunicazione agli interessati se il rischio per i diritti e le libertà è elevato (GDPR art. 34)
- Segnalazione al CSIRT Italia per i soggetti inclusi nel perimetro NIS2
- Denuncia alla Polizia Postale per consentire le indagini
Post-Incident Review: Imparare dall'Attacco
Entro due settimane dall'incidente, organizza una riunione di post-incident review con tutti i coinvolti. Non è una caccia al colpevole: è un processo strutturato per capire cosa ha funzionato, cosa no, e cosa cambiare.
Le domande da porsi:
- Come è entrato l'attaccante? La vulnerabilità era nota?
- I sistemi di monitoraggio hanno generato alert? Sono stati ignorati?
- Il piano di incident response ha funzionato? Dove si è inceppato?
- I backup hanno permesso il ripristino nei tempi previsti?
- La comunicazione interna ed esterna è stata efficace?
- Quali investimenti servono per prevenire un nuovo attacco?
Il report della review diventa la base per aggiornare il tuo Incident Response Plan e per giustificare gli investimenti in sicurezza che servono davvero.
Meglio Prevenire: Come Non Trovarsi Mai in Questa Situazione
Gestire un attacco ransomware costa dalle 10 alle 50 volte di più che prevenirlo. Ecco i pilastri di una difesa solida:
Backup immutabile con test di restore
Copie Veeam con retention immutabile e test di ripristino trimestrali documentati. Se il backup funziona, il ransomware diventa un inconveniente, non una catastrofe.
Monitoraggio H24 con Atera
Alert automatici per comportamenti anomali: cifratura massiva di file, connessioni verso C2 noti, tentativi di lateral movement. Intervento prima che il danno si estenda.
EDR Bitdefender GravityZone
Protezione comportamentale su ogni endpoint. Blocca il ransomware anche se è una variante mai vista prima (zero-day) e può fare rollback automatico delle modifiche.
Firewall WatchGuard con IPS
Protezione perimetrale che blocca le connessioni verso server malevoli, ispeziona il traffico cifrato e segmenta la rete per limitare la propagazione.
Email Security con Libraesva
Il 91% degli attacchi parte da un'email. Sandboxing degli allegati, analisi URL in tempo reale e protezione anti-spoofing bloccano la minaccia alla fonte.
Incident Response Plan testato
Un piano scritto e testato almeno una volta l'anno. Quando l'attacco arriva, sai già cosa fare e non perdi tempo prezioso nel panico.
Un contratto con un MSP specializzato in sicurezza include tutto questo a un costo fisso mensile prevedibile. Molto meno di quello che costa gestire un attacco ransomware senza preparazione.
Domande Frequenti
Cosa fare nei primi 5 minuti di un attacco ransomware?
Non spegnere i computer. Stacca immediatamente il cavo di rete e disattiva il Wi-Fi per isolare le macchine infette. La RAM contiene informazioni forensi preziose che si perdono con lo spegnimento.
Si deve pagare il riscatto in caso di ransomware?
No. Solo l'8% delle aziende che pagano recupera tutti i dati. Pagare finanzia ulteriori attacchi e non garantisce la decrittazione. La strategia corretta prevede il ripristino da backup verificati.
Chi bisogna avvisare dopo un attacco ransomware?
Il team IT o MSP immediatamente, poi la direzione aziendale. Se sono coinvolti dati personali, il Garante Privacy va notificato entro 72 ore. Va anche segnalato alla Polizia Postale e al CSIRT Italia.
Quanto tempo serve per recuperare da un attacco ransomware?
Con backup funzionanti e un piano di incident response testato, il ripristino dei sistemi critici richiede 4-24 ore. Senza backup, i tempi si allungano a settimane o mesi, con costi che possono superare i 500.000 euro.
Come si identifica il tipo di ransomware?
Analizzando l'estensione dei file cifrati, il messaggio di riscatto e gli indicatori di compromissione. Strumenti come ID Ransomware e No More Ransom Project aiutano a identificare la variante e verificare se esistono decryptor gratuiti.