Sono le 7:42 di lunedì mattina. Ti chiama chi gestisce l'IT: “I server non rispondono. Tutti i file hanno un'estensione strana. C'è un file di testo che chiede un riscatto in Bitcoin.” Il ransomware ha colpito. Quello che fai nei prossimi 60 minuti decide se la tua azienda si riprende in ore o in settimane. Qui ti spiego esattamente cosa fare — e cosa non fare per nessun motivo.
I Primi 60 Minuti: la Timeline di Emergenza
I primi minuti dopo la scoperta di un attacco ransomware sono quelli che contano di più. Un'azione sbagliata può peggiorare tutto, mentre una risposta organizzata può limitare i danni e velocizzare il ripristino. Ecco la timeline che dovresti seguire.
Minuti 0-10: Contenimento Immediato
La priorità assoluta è fermare la propagazione. Il ransomware si sposta da un PC all'altro nella rete, cifrando tutto ciò che riesce a raggiungere. Ogni secondo conta.
ISOLARE la rete: disconnetti il cavo di rete dal/dai server colpiti. Non spegnerli — la RAM potrebbe contenere chiavi di decifratura
DISATTIVARE il Wi-Fi aziendale per impedire la propagazione ai dispositivi wireless
DISCONNETTERE i NAS e i dispositivi di storage dalla rete (se non sono già cifrati)
NON riavviare i sistemi colpiti: il riavvio può distruggere evidenze forensi nella memoria volatile
VERIFICARE immediatamente lo stato dei backup: sono accessibili? Sono stati cifrati anche loro?
DOCUMENTARE tutto: orario di scoperta, sistemi colpiti, estensione dei file cifrati, contenuto della richiesta di riscatto
Minuti 10-30: Valutazione dell'Impatto
Con la propagazione contenuta, è il momento di capire l'estensione del danno. Rispondi rapidamente a queste domande:
- Quali sistemi sono compromessi? Server, workstation, NAS, servizi cloud
- I backup sono integri? Verifica i backup locali, le repliche off-site e le copie immutabili
- Quale variante di ransomware? Il file di riscatto e le estensioni dei file cifrati possono identificare la variante (LockBit, BlackCat, Akira, ecc.)
- Come è entrato? Email di phishing, VPN compromessa, RDP esposto, vulnerabilità non patchata?
- I dati sono stati anche esfiltrati? Molti ransomware moderni (double extortion) rubano i dati prima di cifrarli
Se la tua azienda ha un servizio SOC/MDR attivo, il team di sicurezza sarà probabilmente già al lavoro sull'analisi. Se non lo hai, questo è il momento di chiamare il tuo Managed Service Provider o un team di incident response specializzato.
Minuti 30-60: Attivazione del Piano di Recovery
Con un quadro chiaro della situazione, attiva il Disaster Recovery Plan. Se non ne hai uno (e dovresti averlo), segui queste priorità:
- Attiva il team di crisi: IT, management, legale, comunicazione
- Notifica la Polizia Postale (obbligatorio in molti contesti)
- Valuta l'obbligo di notifica al Garante Privacy entro 72 ore (GDPR) e 24 ore (NIS2)
- Prepara la comunicazione interna ai dipendenti (canali alternativi se l'email è compromessa)
- Avvia il processo di ripristino dai backup immutabili, partendo dai sistemi senza cui non lavori
Attenzione: Non Comunicare sui Canali Aziendali
Se l'attaccante è ancora nella rete (probabile), può leggere le vostre email e i messaggi Teams/Slack aziendali. Usate telefonate su cellulari personali, messaggi WhatsApp su numeri personali o un gruppo Signal dedicato. Mai discutere la strategia di risposta su canali che l'attaccante potrebbe monitorare.
Pagare o Non Pagare il Riscatto: l'Analisi Completa
È la domanda che tutti si fanno quando succede. La risposta breve è: non pagare. Ma lo so, quando hai l'azienda ferma la decisione non sembra così semplice. Ecco i fatti, nudi e crudi.
Perché NON Pagare (i Motivi Sono Schiaccianti)
Non garantisce il recupero dei dati
Secondo Sophos (State of Ransomware 2025), il 46% delle aziende che paga non recupera tutti i dati. I decryptor forniti dai criminali sono spesso lenti, buggati e incompleti. Alcuni corrompono ulteriormente i file durante la decifratura.
L'azienda diventa un bersaglio ricorrente
L'80% delle aziende che paga viene attaccata di nuovo entro 12 mesi (Cybereason 2025). Pagare dimostra disponibilità economica e assenza di difese adeguate. I gruppi ransomware condividono liste di “buoni pagatori”.
Finanzia attività criminali organizzate
I proventi del ransomware finanziano organizzazioni criminali internazionali, spesso legate a stati ostili. In Italia, il pagamento può configurare reati di finanziamento di attività criminale.
Rischio legale e reputazionale
Pagare un riscatto a entità sotto sanzioni internazionali (OFAC) può esporre a sanzioni aggiuntive. Se diventa pubblico, il danno reputazionale è enorme: clienti e partner perdono fiducia nell'azienda.
I tempi di recovery con pagamento sono comunque lunghi
Anche pagando, la negoziazione richiede 3-7 giorni, la decifratura può richiedere settimane per terabyte di dati, e dopo il ripristino serve comunque ripulire l'infrastruttura dall'accesso dell'attaccante.
L'Unico Scenario in Cui il Pagamento Viene Considerato
In situazioni estreme — nessun backup funzionante, dati irrecuperabili e vitali per la sopravvivenza dell'azienda, rischio concreto di chiusura — alcune aziende finiscono per pagare come ultima risorsa. Anche in quel caso, è fondamentale coinvolgere un negoziatore esperto (che può ridurre il riscatto del 40-60%), le forze dell'ordine e un avvocato specializzato. Ma la lezione è amara: se avessi avuto un backup 3-2-1 con copie immutabili, non saresti in questa situazione.
Il Processo di Recovery Tecnico: Step by Step
Supponendo che i backup siano integri (e con una strategia 3-2-1-1-0 configurata come si deve, lo saranno), ecco il processo di ripristino che seguiamo noi di BullTech quando aiutiamo i nostri clienti.
Fase 1: Bonifica dell'Ambiente
Prima di ripristinare qualsiasi dato, i tuoi server, PC e rete devono essere bonificati. Ripristinare i backup sugli stessi sistemi compromessi significa rischiare di essere infettati di nuovo subito. La bonifica prevede:
- Identificazione del vettore di ingresso (phishing, VPN, RDP, vulnerabilità) e chiusura immediata
- Reset completo delle password di tutti gli account, a partire dagli account amministrativi
- Verifica dell'integrità di Active Directory (gli attaccanti spesso creano backdoor AD)
- Reinstallazione del sistema operativo su tutti i server compromessi (non fidarsi del ripristino in-place)
- Aggiornamento di tutti i sistemi con le patch di sicurezza più recenti
- Revisione delle regole del firewall aziendale e della segmentazione di rete
Fase 2: Ripristino dei Sistemi Critici
Il ripristino segue l'ordine di priorità definito nel Disaster Recovery Plan. Tipicamente:
Active Directory e DNS: tutti gli altri sistemi ne dipendono per l'autenticazione e la risoluzione dei nomi
Server di posta (Exchange/Microsoft 365): per ripristinare le comunicazioni aziendali
Database e applicativi critici (ERP, gestionale, fatturazione elettronica): per riprendere l'operatività
File server: per dare accesso ai documenti di lavoro al personale
Sistemi secondari: CRM, applicativi di settore, ambienti di test
Con Veeam Backup & Replication, il ripristino può sfruttare funzionalità avanzate come l'Instant VM Recovery, che avvia le macchine virtuali direttamente dal backup in pochi minuti, consentendo di riprendere l'operatività mentre il ripristino completo avviene in background. Questa capacità può ridurre l'RTO effettivo da ore a minuti per i sistemi virtualizzati.
Fase 3: Verifica e Monitoraggio Post-Recovery
Dopo il ripristino, è fondamentale un periodo di monitoraggio intensivo. L'attaccante potrebbe aver lasciato backdoor o persistenze che il ripristino del backup non elimina se erano già presenti prima dell'attacco.
- Monitoraggio 24/7 per le prime 2-4 settimane con il servizio SOC/MDR
- Scansione completa con soluzioni EDR/antivirus aggiornate su tutti gli endpoint
- Verifica di tutti gli accessi amministrativi e delle policy di sicurezza
- Test di integrità dei dati ripristinati con gli utenti di business
- Analisi forense per comprendere la catena di attacco completa e prevenire recidive
Prevenzione: Costruire una Difesa Anti-Ransomware
Il miglior ripristino è quello che non ti serve mai. Ecco le misure preventive che installiamo e configuriamo per i nostri clienti PMI per abbattere il rischio di ransomware.
Backup Immutabili: la Difesa Definitiva
Come approfondito nella nostra guida alla regola 3-2-1 del backup, i backup immutabili sono la pietra angolare della protezione anti-ransomware. Un backup immutabile non può essere modificato, cancellato o cifrato per il periodo di retention definito — nemmeno da un attaccante con credenziali di amministratore.
Le tecnologie che configuriamo:
- Linux Hardened Repository: server Linux dedicato con flag di immutabilità a livello di file system, inaccessibile via rete se non da Veeam
- Object Lock su cloud S3: immutabilità garantita a livello di protocollo su Wasabi, Amazon S3 o Azure Blob, per la copia off-site
- Air-gap logico: backup in un dominio di sicurezza separato, con credenziali diverse e nessuna trust relationship con l'Active Directory di produzione
Segmentazione di Rete e Zero Trust
Il ransomware si sposta da un dispositivo all'altro nella rete. Una rete piatta (dove ogni dispositivo può raggiungere qualsiasi altro) è il sogno di ogni attaccante. La segmentazione Zero Trust limita drasticamente il raggio dei danni:
- VLAN separate per utenti, server, IoT, backup e management
- Firewall inter-VLAN con policy restrittive (solo il traffico necessario è consentito)
- Micro-segmentazione per i sistemi critici (il server di backup è raggiungibile solo dal Veeam server)
- NAC (Network Access Control) per impedire a dispositivi non autorizzati di connettersi alla rete
Formazione del Personale
L'85% degli attacchi ransomware inizia con un'email di phishing o un'interazione social engineering. La tecnologia da sola non basta: il personale deve saper riconoscere le minacce. La nostra formazione cybersecurity include simulazioni di phishing realistiche, sessioni pratiche sulle minacce attuali e procedure chiare su cosa fare in caso di sospetto incidente.
Patching e Vulnerability Management
Le vulnerabilità non patchate sono il secondo vettore più comune per il ransomware. Un programma di patching regolare, combinato con monitoraggio proattivo delle vulnerabilità critiche, chiude le porte prima che gli attaccanti possano sfruttarle. Con NinjaOne, automatizziamo il deployment delle patch su tutti i sistemi dei nostri clienti.
Casi Reali: Il Ransomware nelle PMI Italiane
Per farti capire cosa succede nella realtà, ecco due casi tipici che abbiamo gestito o che sono stati documentati pubblicamente.
Caso 1: Azienda Manifatturiera, 60 Dipendenti (Brianza)
Attacco LockBit 3.0 entrato tramite email di phishing con allegato Excel malevolo. Il ransomware ha cifrato 4 server (file server, ERP, database SQL, domain controller) e 15 workstation in meno di 3 ore. Il NAS di backup era sulla stessa rete e anche quello è stato cifrato. L'azienda non aveva backup off-site né copie immutabili. Risultato: 12 giorni di fermo totale, riscatto pagato di 85.000 euro, solo il 70% dei dati recuperato. Costo totale stimato: oltre 350.000 euro tra riscatto, downtime, consulenze e danni commerciali.
Caso 2: Studio Professionale, 25 Dipendenti (Milano)
Attacco via VPN con credenziali compromesse (password debole, no MFA). Il ransomware ha cifrato il file server con tutti i documenti dei clienti. L'azienda aveva un backup Veeam su NAS locale e una replica cloud con Object Lock su Wasabi. Il NAS locale era stato cifrato, ma la copia cloud immutabile era intatta. Risultato: ripristino completo in 14 ore, zero perdita di dati, zero pagamento di riscatto. L'investimento in backup immutabile di circa 300 euro/mese ha evitato un danno di oltre 200.000 euro.
La Differenza: Preparazione vs Improvvisazione
Questi due casi dicono tutto: la differenza tra un ripristino di 14 ore e uno di 12 giorni (con pagamento del riscatto) è tutta nella preparazione. Un backup 3-2-1 con copie immutabili, un Disaster Recovery Plan testato e una strategia di business continuity sono l'investimento più importante che una PMI possa fare.
Costi del Downtime: i Numeri che Ogni CFO Deve Conoscere
Se devi convincere il direttore (o te stesso) che vale la pena investire in prevenzione e disaster recovery, ecco i numeri veri di un attacco ransomware. Le principali voci di costo:
Downtime operativo
5.000 - 20.000 € al giorno per PMI, fino a 50.000 €/giorno per aziende manifatturiere con linee di produzione ferme. Media per PMI italiane: 8 giorni di fermo dopo ransomware senza backup adeguati.
Costi di ripristino tecnico
15.000 - 50.000 € per consulenze specialistiche di incident response, forensics, reinstallazione dei sistemi, riconfigurazioni. Con un contratto MSP attivo, gran parte di questi costi sono già coperti.
Sanzioni normative
Il GDPR prevede sanzioni fino al 4% del fatturato per mancata protezione dei dati personali. La NIS2 aggiunge ulteriori sanzioni per mancata compliance e mancata notifica tempestiva degli incidenti.
Danni reputazionali e perdita clienti
Difficili da quantificare ma spesso i più costosi a lungo termine. Il 29% dei clienti B2B interrompe i rapporti con un fornitore che ha subito un data breach (Ponemon Institute).
Costi legali
Consulenze legali per la gestione del data breach, notifiche al Garante Privacy, eventuali contenziosi con clienti i cui dati sono stati esfiltrati. Da 5.000 a 30.000 €.
Come BullTech Informatica Protegge le PMI dal Ransomware
Come Managed Service Provider con certificazioni Veeam, WatchGuard e Bitdefender, noi di BullTech non ti vendiamo un singolo prodotto e via: ti costruiamo una difesa su più livelli che copre prevenzione, rilevamento e ripristino.
Backup Immutabili 3-2-1-1-0
Architettura di backup completa con Veeam: locale, cloud e immutabile. I tuoi dati sono sempre recuperabili, anche nel peggiore degli scenari.
SOC/MDR 24/7
Monitoraggio continuo della sicurezza con rilevamento e risposta automatizzata alle minacce. Blocchiamo gli attacchi prima che arrivino ai backup.
Disaster Recovery Testato
DRP documentato e testato trimestralmente. In caso di attacco, sappiamo esattamente cosa fare e in quanto tempo.
Incident Response Rapido
Team di risposta dedicato raggiungibile h24. Interveniamo entro 30 minuti dalla segnalazione per contenere l'attacco e avviare il recovery.
Con sede a Vimercate, copriamo tutta la Lombardia con interventi rapidi di persona quando l'emergenza lo richiede. La prevenzione costa una frazione di quanto costa un attacco: chiamaci per valutare insieme come sei messo.
Domande Frequenti sul Ransomware Recovery
Quanto tempo serve per recuperare i dati dopo un attacco ransomware?
Dipende tutto da quanto eri preparato prima dell'attacco. Con un piano di Disaster Recovery testato e backup immutabili funzionanti, puoi riavere i sistemi che ti servono per lavorare in 4-24 ore. Senza backup, i tempi si allungano a giorni o settimane: la trattativa con i criminali richiede 3-7 giorni, e anche dopo il pagamento il programma di decrittazione che ti danno e spesso lento e pieno di bug. Il 46% delle aziende che paga non riesce a recuperare tutti i dati. Prepararsi prima e l'unico modo per avere tempi di ripristino accettabili.
Devo pagare il riscatto ransomware?
Polizia Postale, Europol e tutti gli esperti di cybersecurity dicono la stessa cosa: non pagare. Pagare finanzia i criminali e non ti garantisce niente: secondo Sophos (2025), il 46% di chi paga non recupera tutti i dati, e l'80% viene attaccato di nuovo. In piu, in Italia pagare un riscatto puo configurarti un reato (finanziamento di attivita criminali). L'unica strategia che funziona davvero e prepararsi prima: backup immutabili, rete segmentata, dipendenti formati e un piano di Disaster Recovery testato.
I backup nel cloud sono sicuri dai ransomware?
Dipende da come e configurato. Un backup cloud standard tipo la sincronizzazione di OneDrive o Google Drive NON ti protegge: i file criptati dal ransomware vengono sincronizzati nel cloud e sovrascrivono quelli buoni. Un backup cloud professionale con immutabilita (Object Lock su S3, Veeam Cloud Connect con protezione insider) e sicuro perche i dati non possono essere modificati o cancellati per il periodo stabilito, nemmeno se l'attaccante ha le credenziali di amministratore. La differenza la fa l'immutabilita, non il fatto che sia nel cloud.
Come capisco se il ransomware ha colpito anche i backup?
I ransomware moderni vanno a cercare i backup prima di criptare tutto il resto. Segnali che i backup sono stati compromessi: file di backup con estensioni strane, repository Veeam inaccessibili, NAS con file criptati, backup cloud con modifiche che non hai fatto tu. Per verificare, prova a ripristinare qualcosa in un ambiente isolato. I backup immutabili (Linux Hardened Repository, Object Lock su S3) sono immuni per definizione: anche se l'attaccante entra nel sistema di backup, non puo toccare le copie protette dall'immutabilita.
Quali sono i costi reali di un attacco ransomware per una PMI?
Secondo IBM (Cost of a Data Breach 2025), il costo medio di un attacco ransomware per una PMI italiana si aggira tra i 50.000 e i 250.000 euro, considerando: costo del downtime (5.000-20.000 €/giorno), costi di ripristino tecnico (15.000-50.000 €), eventuali sanzioni GDPR, danni reputazionali, perdita di clienti e contratti. Se l'azienda paga il riscatto, si aggiungono 30.000-500.000 € di riscatto medio. Il costo della prevenzione (backup professionale + DRP + formazione) è tipicamente il 5-10% del costo di un singolo incidente.