Caricamento...
Caricamento...
PMI Commerciale · 30 postazioni · Provincia di Bergamo · Emergenza fuori orario
Settore
Commercio
Postazioni
30 PC + server
Location
Provincia di Bergamo
Recovery
8 Ore
Attacco
Ransomware LockBit
Venerdì sera, ore 19:30. Un'email di phishing apre la porta al ransomware più aggressivo in circolazione. In un'ora l'intera azienda è paralizzata.
Una PMI commerciale della provincia di Bergamo, 30 dipendenti, non era cliente BullTech al momento dell'attacco. Un dipendente ha aperto un allegato email che simulava una notifica di spedizione: in pochi minuti il ransomware LockBit si è propagato attraverso la rete piatta dell'azienda, criptando il server file, il database del gestionale e tutte le 30 postazioni. La nota di riscatto è apparsa su ogni schermo: 2 BTC, circa 120.000 euro, da pagare entro 72 ore. Il colpo di grazia? Il backup su NAS, collegato alla stessa rete senza alcuna segmentazione, era stato criptato anche quello. Il fornitore IT precedente non rispondeva al telefono. L'azienda era sola, nel panico, con 30 persone che lunedì mattina non avrebbero potuto lavorare.
Un dipendente ha aperto un allegato email apparentemente proveniente da un corriere. In pochi minuti il ransomware LockBit si è propagato in tutta la rete: server file criptato, gestionale bloccato, 30 PC compromessi. Richiesta di riscatto: 2 BTC (~€120.000).
L'unico backup strutturato era su un NAS collegato alla stessa rete, senza segmentazione. Il ransomware ha criptato anche quello. Nessun backup immutabile, nessuna copia offsite. L'azienda sembrava aver perso tutto.
Tutta l'infrastruttura IT era su un'unica rete piatta: PC, server, NAS, stampanti. Nessuna VLAN, nessun firewall interno. Il ransomware ha potuto propagarsi lateralmente senza alcun ostacolo, criptando tutto in meno di un'ora.
L'attacco è avvenuto venerdì sera alle 19:30. Il fornitore IT precedente non aveva reperibilità fuori orario e non ha risposto al telefono. L'azienda era completamente sola, con 30 dipendenti che lunedì mattina non avrebbero potuto lavorare.
Contenimento immediato, analisi forense, scoperta del backup offline, ripristino notturno. Sabato mattina alle 3:30 l'azienda era di nuovo operativa.
Il titolare ha trovato BullTech cercando “emergenza ransomware” online. Abbiamo risposto alla chiamata alle 19:45 di venerdì e il nostro team era operativo entro 15 minuti. Primo passo: isolamento fisico della rete per fermare la propagazione. Secondo: analisi forense per capire il vettore e l'estensione del danno. Terzo, la scoperta che ha salvato l'azienda: un disco USB esterno con un backup di 3 giorni prima, scollegato dal server al momento dell'attacco. Da quel backup è partita la ricostruzione: server ripristinato, 30 PC bonificati con reimaging completo, tutto verificato e ricollegato. Riscatto non pagato. Nelle settimane successive abbiamo blindato l'infrastruttura perché non succedesse mai più.
Chiamata di emergenza a BullTech venerdì sera. Il nostro team è intervenuto immediatamente: isolamento fisico di tutti i segmenti di rete, spegnimento dei sistemi non ancora compromessi, analisi forense per identificare il vettore di attacco e l'estensione del danno.
Durante l'analisi forense abbiamo trovato un disco USB esterno con un backup vecchio 3 giorni, fortunatamente offline al momento dell'attacco e quindi non criptato. Da quel backup è partita la ricostruzione: server file ripristinato, database gestionale recuperato.
Reimaging completo di tutte le 30 postazioni di lavoro con immagini pulite. Verifica integrità di ogni sistema prima del ricollegamento alla rete. Nessun file criptato è stato mantenuto: pulizia totale per eliminare qualsiasi persistenza del malware.
Riprogettazione completa della rete con VLAN segmentate: server in VLAN dedicata, PC in VLAN separata, backup in VLAN isolata con accesso limitato. Firewall WatchGuard con regole inter-VLAN per impedire la propagazione laterale.
Implementazione di Veeam con backup immutabile: anche un ransomware con privilegi di amministratore non può cancellare o criptare le copie di backup. Regola 3-2-1 con replica in datacenter cloud italiano. RPO 15 minuti.
Deploy di Bitdefender GravityZone EDR su tutti gli endpoint con rilevamento comportamentale. Programma di formazione anti-phishing per tutti i 30 dipendenti con simulazioni periodiche. Il vettore di attacco originale non funzionerebbe più.
Da un attacco che poteva costare \u20ac120.000 di riscatto (pi\u00f9 danni incalcolabili) a un'infrastruttura blindata. I numeri dell'intervento.
Recovery completo
Riscatto pagato
Incidenti in 12 mesi
“Quel venerdì sera ho pensato che l'azienda fosse finita. Il nostro fornitore IT non rispondeva, tutti i dati erano criptati, e ci chiedevano 120.000 euro di riscatto. Ho trovato BullTech online e mi hanno risposto in 10 minuti. Alle 3 di sabato mattina eravamo di nuovo operativi. Non ho parole per descrivere il sollievo. Abbiamo firmato un contratto MSP il lunedì successivo e in 12 mesi non abbiamo avuto un singolo problema. Il costo del contratto annuale è una frazione di quello che avremmo perso.”
Dalla chiamata di emergenza al recovery completo. Ogni minuto contava.
L'azienda scopre l'attacco ransomware: tutti i file criptati, gestionale bloccato, nota di riscatto su ogni schermo. Il fornitore IT precedente non risponde. Chiamata di emergenza a BullTech. Il nostro team parte entro 15 minuti.
Isolamento fisico di tutti i segmenti di rete. Identificazione del vettore: email di phishing con allegato malevolo. Mappatura dei sistemi compromessi. Scoperta del disco USB esterno con backup offline di 3 giorni prima. Decisione: ripristino da backup, riscatto non pagato.
Ripristino del server file dal backup USB. Recupero database gestionale. Reimaging di tutte le 30 postazioni in parallelo (6 alla volta con immagini pre-preparate). Verifica integrità di ogni sistema prima del ricollegamento.
Tutti i sistemi operativi e verificati. Nelle settimane successive: segmentazione rete con VLAN, firewall WatchGuard, backup Veeam immutabile, EDR Bitdefender su tutti gli endpoint, formazione anti-phishing per tutti i dipendenti. Contratto MSP BullTech Premium attivato.
I servizi BullTech che hanno salvato l'azienda e blindato l'infrastruttura.
Firewall, EDR, segmentazione rete e monitoraggio continuo contro ransomware e attacchi.
Scopri di piùBackup Veeam immutabile: nemmeno un ransomware con privilegi admin può criptarlo.
Scopri di piùRegola 3-2-1, replica cloud, RTO garantito e test di ripristino automatici.
Scopri di piùSecurity awareness e simulazioni phishing per i dipendenti. Il primo firewall sei tu.
Scopri di piùIl 60% delle PMI che subisce un ransomware chiude entro 6 mesi. Il nostro assessment gratuito ti dice esattamente quanto sei esposto e cosa fare per proteggerti.
Ogni azienda ha sfide diverse. Scopri come abbiamo aiutato altre realtà.