Caricamento...
Caricamento...
Ore 7:14 di un lunedì mattina. Il sistema di monitoraggio suona. Un ransomware è in esecuzione sul file server di un'azienda manifatturiera da 85 dipendenti. Ecco come è andata, minuto per minuto.
L'azienda è un produttore di componenti in plastica tecnica della provincia di Bergamo, 85 dipendenti, fatturato di €12 milioni. Era diventata cliente BullTech 14 mesi prima dell'incidente, dopo una valutazione di sicurezza che aveva evidenziato alcune lacune — tra cui la mancanza di MFA sul gateway VPN e un sistema di backup senza immutabilità garantita.
Avevamo implementato il backup immutabile con Veeam su storage Opiquad e il monitoraggio 24/7 con Atera. Il piano di incident response era stato redatto 6 mesi prima e il cliente aveva partecipato a una sessione di simulazione.
Il dettaglio che ha fatto la differenza
Il backup immutabile delle 23:00 era intatto. L'attaccante aveva avuto 47 minuti di accesso prima che il ransomware iniziasse a cifrare. Quei 47 minuti di dati persi erano recuperabili parzialmente dalle email e dai client locali dei dipendenti.
Il sistema di monitoraggio Atera rileva un'anomalia: CPU al 100% su file server, picco di I/O insolito. L'on-call engineer BullTech riceve notifica push.
L'engineer si connette da remoto. Process list mostra un processo sconosciuto con nome casuale che consuma 80% CPU. File con estensione .lockbit3 già presenti in alcune cartelle condivise. Confermato: ransomware in corso.
Il firewall perimetrale viene configurato per bloccare tutto il traffico in uscita dal file server. Il VLAN del server viene isolato tramite switch managed. Il cliente viene svegliato telefonicamente.
Analisi dei log VPN: l'accesso è avvenuto dalle 23:47 del giorno precedente con le credenziali di un dipendente. La stessa password era presente in un database di breach del 2024. MFA non attivo sul gateway VPN.
42% delle cartelle condivise cifrate. Backup immutabile su Veeam + storage immutabile Opiquad: ultimo snapshot alle 23:00 della sera precedente. Dati persi: massimo 47 minuti di lavoro (23:00→23:47 intrusione).
Restore da backup immutabile avviato su server di test per validazione. L'integrità del backup è confermata: 100% dei dati intatti e non cifrati.
I dipendenti possono accedere nuovamente ai file. Totale downtime produttivo: 3 ore e 33 minuti dall'inizio dell'attacco. Il server originale viene tenuto offline per analisi forense.
MFA abilitato su tutti gli accessi VPN e RDP. Password di tutti gli utenti resettata. Regole firewall rafforzate. Credenziali di servizio ruotate.
| Metrica | Valore Misurato | Benchmark Settore (senza backup immutabile) |
|---|---|---|
| RTO (Recovery Time Objective) | 3 ore 33 min | 2-6 settimane |
| RPO (Recovery Point Objective) | 47 minuti | Dati persi permanentemente |
| File recuperati | 100% (esclusi 47 min gap) | 0-60% con pagamento riscatto |
| Costo incidente totale | €4.200 (ore consulenza) | €180.000-€350.000 media PMI |
| Downtime produzione | 3,5 ore | 10-30 giorni |
| Sanzioni GDPR rischio | Notifica inviata, nessuna sanzione | Potenziale €50k-€200k |
Autenticazione a due fattori obbligatoria su VPN, RDP e tutti i portali web aziendali. Implementato in 2 ore dall'incidente.
Monitoraggio continuo delle credenziali aziendali sui database di breach noti. Alert immediato se una password viene trovata esposta.
VLAN separate per server, workstation, dispositivi IoT e ospiti. Il ransomware non può più propagarsi lateralmente tra segmenti.
Sostituzione dell'antivirus tradizionale con soluzione EDR (Endpoint Detection & Response) con AI behavioral analysis.
Da backup notturno a backup ogni 4 ore durante l'orario lavorativo. RPO ridotto da 47 minuti a max 4 ore.
Scansione trimestrale delle vulnerabilità e simulazione phishing semestrali per tutto il personale.
Nei primi 15 minuti la priorità assoluta è il contenimento: isolare i sistemi compromessi dalla rete (stacco fisico o blocco VLAN), identificare il paziente zero (il sistema da cui è partita l'infezione), avvisare il team IT e il management. Non spegnere i computer (si perdono prove forensi in memoria RAM), non pagare il riscatto, non tentare di sbloccare i file da soli. Ogni minuto conta per limitare la propagazione laterale.
Sì, a condizione che sia configurato correttamente. Un backup immutabile usa la tecnologia WORM (Write Once Read Many): i dati scritti non possono essere modificati né cancellati per un periodo definito (es. 30-90 giorni). Il ransomware non può cifrare o cancellare questi backup anche se ha accesso al sistema di backup, perché il filesystem sottostante rifiuta le operazioni di scrittura. La soluzione più affidabile è un backup immutabile su storage separato dalla rete di produzione, con credenziali di accesso diverse.
No, per molteplici ragioni. Primo: il pagamento non garantisce il recupero dei dati (nel 30% dei casi il decryptor fornito non funziona correttamente). Secondo: finanzia organizzazioni criminali e aumenta la probabilità di essere attaccati nuovamente. Terzo: potrebbe violare sanzioni internazionali se il gruppo è soggetto a embargo (es. gruppi nordcoreani). Quarto: molti paesi stanno introducendo obblighi di notifica che potrebbero essere compromessi dal pagamento silenzioso. Con un backup immutabile adeguato, il pagamento non è mai necessario.
Nel 2025, i vettori principali sono: phishing email con allegati malevoli o link (45% dei casi), credenziali RDP esposte su internet brute-forced (25%), vulnerabilità non patchate in VPN o firewall (20%), e supply chain (10%). Nel caso di questa azienda, il vettore era una credenziale VPN compromessa tramite credential stuffing da una violazione di dati precedente. L'autenticazione MFA non era abilitata sul gateway VPN.
Senza backup adeguato, i tempi di ripristino variano da 2 a 6 settimane. Questo include la reinstallazione pulita dei sistemi operativi, la ricreazione manuale dei dati disponibili (email archiviate, versioni precedenti, paper trail), la rinegoziazione o pagamento del riscatto, e la verifica forense che il ransomware sia stato completamente rimosso. I costi totali includono fermo produzione, consulenza forensica, potenziali sanzioni GDPR, e danni reputazionali. La media europea per una PMI è €280.000 di danno totale.
Un backup immutabile e un piano di incident response fanno la differenza tra 4 ore di downtime e 4 settimane. BullTech offre una valutazione gratuita della tua postura di sicurezza.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.