← TORNA AGLI ARTICOLI

RANSOMWARE: COSA FARE NELLE PRIME 24 ORE SE VIENI COLPITO

Sono le 8:40 di un martedì qualsiasi. Un dipendente prova ad aprire una cartella condivisa e trova un file di testo con un messaggio inquietante: i vostri dati sono stati cifrati, per riaverli dovete pagare. Le icone dei documenti sono cambiate, le estensioni sono strane, e nessun file si apre più. È successo davvero, ed è successo a voi.

In questo momento il panico è la reazione più naturale, ma è anche la peggior consigliera. Quello che fai (o non fai) nelle prime ore dopo la scoperta di un attacco ransomware incide enormemente su quanto tempo e denaro servirà per tornare operativi, e su quanti dati riuscirai davvero a salvare. Questa guida è pensata per essere letta ora, mentre l'emergenza è in corso, o prima, per essere pronti se dovesse mai capitare.

Prima regola assoluta: non pagare il riscatto d'impulso e non spegnere bruscamente i computer sperando che il problema sparisca. Le prossime azioni contano più della fretta.

COSA STA SUCCEDENDO DAVVERO

Un ransomware è un software malevolo che cifra i file presenti su un dispositivo (e spesso su tutta la rete a cui è collegato) rendendoli illeggibili, per poi chiedere un pagamento in cambio della chiave di decifrazione. Negli ultimi anni il fenomeno è cresciuto ed è diventato più sofisticato: non colpisce più solo grandi aziende, ma sempre più spesso PMI, studi professionali e artigiani, spesso proprio perché ritenuti bersagli meno protetti.

Nella maggior parte dei casi l'attacco non è un evento isolato: gli aggressori sono entrati nella rete giorni o settimane prima, spesso tramite una email di phishing, una password debole su un accesso remoto o una vulnerabilità software non aggiornata. La cifratura vera e propria è solo l'ultimo passo, quello più visibile, di un'intrusione più lunga.

LE PRIME 24 ORE: LA SEQUENZA DA SEGUIRE

Ecco una procedura pratica, divisa per fasi temporali, pensata per un titolare o un responsabile IT di una piccola o media impresa senza un team di sicurezza dedicato.

Fase 1 (0-30 minuti): Isolare, non spegnere

Il primo istinto è staccare la spina, ma è un errore: spegnere bruscamente un computer infetto può cancellare tracce utili (i cosiddetti indicatori di compromissione) che servono per capire come l'attacco è entrato e se può essere fermato in modo pulito. La cosa giusta da fare è scollegare il cavo di rete o disattivare il Wi-Fi sui dispositivi coinvolti, lasciandoli accesi. Questo interrompe la comunicazione tra il malware e i suoi server di controllo e blocca la sua diffusione verso altri PC e server della rete.

Se hai un NAS, un server o dischi di backup ancora collegati e non cifrati, scollegali immediatamente dalla rete: sono il bene più prezioso che hai in questo momento e vanno messi al sicuro prima che il malware li raggiunga.

Fase 2 (30-60 minuti): Contenere la diffusione

Molti ransomware moderni si propagano automaticamente attraverso la rete aziendale sfruttando cartelle condivise e credenziali di dominio. Se hai più uffici o sedi collegate in VPN, isola anche quei collegamenti. Se possibile, spegni temporaneamente lo switch o il punto di accesso Wi-Fi dei reparti non ancora colpiti, per guadagnare tempo.

In questa fase è utile anche annotare (su carta o su un dispositivo non collegato alla rete infetta) quello che si vede: nome del file di riscatto, estensione dei file cifrati, orario in cui è stato notato il problema, quali cartelle o server risultano coinvolti. Queste informazioni serviranno sia ai tecnici sia alle autorità.

Fase 3 (1-4 ore): Attivare il supporto tecnico e valutare l'estensione del danno

A questo punto serve competenza specialistica. Se hai già un partner IT o un servizio di assistenza sistemistica, è il momento di chiamarlo: prima si interviene con un'analisi corretta, più aumentano le possibilità di limitare i danni. Un tecnico esperto valuterà quali sistemi sono stati compromessi, se esistono backup validi non raggiunti dal malware e se è possibile identificare la famiglia di ransomware (alcune varianti più datate hanno decryptor pubblici gratuiti resi disponibili da ricercatori di sicurezza).

Perché conta avere un piano scritto in anticipo: le aziende che affrontano meglio un incidente sono quasi sempre quelle che avevano già un piano di risposta, anche minimo, prima che succedesse. Il nostro servizio di Disaster Recovery nasce proprio per definire in anticipo ruoli, priorità di ripristino e tempi obiettivo, così nel momento dell'emergenza non si parte da zero.

Fase 4 (4-12 ore): Comunicazione interna e valutazione legale

Informa i collaboratori chiave dell'accaduto, chiedendo di non usare i dispositivi coinvolti e di segnalare qualsiasi comportamento anomalo su altri PC. È il momento anche di capire se sono stati coinvolti dati personali di clienti, dipendenti o fornitori: se è così, scattano gli obblighi previsti dal GDPR, che in caso di violazione di dati personali con rischio per le persone interessate richiede la notifica al Garante Privacy entro 72 ore dalla scoperta dell'incidente. Le sanzioni per mancata notifica, quando dovuta, possono arrivare fino al 4% del fatturato annuo globale dell'azienda, quindi non è un adempimento da sottovalutare.

In questa fase è consigliabile anche presentare una denuncia alla Polizia Postale, competente in Italia per i reati informatici: oltre a essere un passaggio spesso necessario per pratiche assicurative, contribuisce a mappare il fenomeno e talvolta le forze dell'ordine dispongono di informazioni utili su una specifica campagna ransomware in corso.

Fase 5 (12-24 ore): Decidere sul riscatto (con la testa, non con la paura)

Le principali autorità di sicurezza informatica sconsigliano di pagare il riscatto: non c'è alcuna garanzia che i criminali forniscano davvero la chiave di decifrazione funzionante, e pagare alimenta un modello di business che rende l'azienda un bersaglio anche in futuro. Detto questo, la decisione finale spetta all'azienda colpita, valutata caso per caso insieme a consulenti tecnici e legali, tenendo conto della disponibilità di backup validi e dell'impatto operativo reale del fermo.

Questa è un'altra ragione per cui il backup è così centrale: un'azienda che segue correttamente la regola del backup 3-2-1, con almeno una copia offline o immutabile non raggiungibile dal ransomware, ha una leva negoziale completamente diversa rispetto a chi ha solo un disco di backup sempre collegato (e quindi cifrato anch'esso).

ERRORI DA NON COMMETTERE

  • Riavviare o formattare subito le macchine infette: si perdono le tracce forensi necessarie per capire come sono entrati e se ci sono altre porte aperte.
  • Ripristinare il backup senza aver bonificato la rete: se la falla che ha permesso l'accesso non è stata chiusa, il ransomware può ricifrare tutto una seconda volta nel giro di ore.
  • Pagare senza consulenza: alcuni gruppi criminali chiedono un secondo pagamento dopo il primo, o forniscono chiavi che decifrano solo parzialmente i dati.
  • Nascondere l'accaduto a dipendenti e collaboratori: senza consapevolezza, qualcuno potrebbe continuare a usare dispositivi compromessi o cliccare sullo stesso link di phishing che ha originato l'attacco.
  • Considerare chiuso il caso dopo il ripristino: senza un'analisi post-incidente, la stessa vulnerabilità può essere sfruttata di nuovo in futuro.

DOPO LE 24 ORE: LA FASE DI RIPRISTINO

Superata l'emergenza immediata, il lavoro vero comincia: ripristino dei sistemi da backup verificati, reimpostazione di tutte le password aziendali (non solo quelle sospette, tutte), aggiornamento di sistemi operativi e software con le patch di sicurezza mancanti, e revisione delle regole del firewall e della sicurezza perimetrale per chiudere il punto di ingresso usato dagli aggressori.

Ecco una checklist sintetica per la fase di ripristino:

  • ☐ I sistemi sono stati bonificati e verificati prima del ripristino (nessun malware residuo)?
  • ☐ Il backup usato per il ripristino è stato controllato e non risulta cifrato o compromesso?
  • ☐ Tutte le password aziendali sono state cambiate, incluse quelle di accesso remoto e VPN?
  • ☐ Sistemi operativi, antivirus e software critici sono aggiornati all'ultima versione disponibile?
  • ☐ È stata identificata e chiusa la falla di accesso iniziale?
  • ☐ Il personale ha ricevuto un breve richiamo su come riconoscere email sospette?
  • ☐ È stato scritto un breve report interno su cosa è successo e cosa cambiare?

QUANTO COSTA (DAVVERO) UN INCIDENTE RANSOMWARE

Il costo di un attacco ransomware non è solo l'eventuale riscatto. Va sommato il fermo operativo, il tempo dei tecnici per bonifica e ripristino, l'eventuale perdita di dati non recuperabili, e in alcuni casi il danno d'immagine verso clienti e fornitori. Ecco un confronto indicativo tra lo scenario "impreparato" e quello con un piano di prevenzione e risposta già attivo.

Voce Azienda senza piano Azienda con backup e piano DR
Tempo di fermo operativo tipico Giorni o settimane Ore
Dati recuperabili Parziali o nulli senza pagare Praticamente completi da backup offline
Necessità di valutare il pagamento del riscatto Spesso l'unica opzione percepita Evitabile nella maggior parte dei casi
Costo consulenza incident response Elevato, gestito in emergenza Ridotto, procedure già definite
Rischio sanzioni GDPR per gestione tardiva Alto, notifica spesso fuori termine Basso, processo di notifica già pronto

La differenza tra le due colonne non dipende dalla dimensione dell'azienda, ma dalla preparazione. Un piano scritto, un backup testato regolarmente e un contatto tecnico da chiamare subito valgono spesso più di qualsiasi strumento tecnologico costoso.

COME PREPARARSI PRIMA CHE SUCCEDA

Se stai leggendo questo articolo perché è già successo, concentrati sulla sequenza descritta sopra e chiedi supporto tecnico immediato. Se invece stai leggendo per prevenzione, ecco dove concentrare gli sforzi nei prossimi giorni:

  1. Verifica i backup: assicurati che almeno una copia sia offline, immutabile o comunque non raggiungibile da un attacco che si propaga in rete.
  2. Segmenta la rete: separa la rete ospiti da quella aziendale e limita gli accessi tra reparti che non devono comunicare tra loro.
  3. Aggiorna sistemi e software: molte infezioni sfruttano vulnerabilità note da mesi per cui esiste già una patch.
  4. Forma il personale: il phishing resta il vettore d'ingresso più comune, e un dipendente informato è una delle difese più efficaci ed economiche.
  5. Scrivi un piano minimo di risposta: chi chiamare, cosa scollegare, chi decide, in che ordine si ripristina. Non serve un documento di cinquanta pagine, bastano una o due pagine chiare e condivise con chi dovrà usarle.

In sintesi: nelle prime 24 ore dopo un ransomware, isola subito i dispositivi senza spegnerli, contieni la diffusione, chiama supporto tecnico qualificato, valuta gli obblighi di notifica privacy e denuncia l'accaduto, e decidi sul riscatto solo con consulenza esperta. La differenza tra un incidente gestito bene e un disastro aziendale si gioca tutta in queste prime ore, ed è tanto più gestibile quanto più l'azienda era preparata in anticipo.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sommacampagna, Sona, Garda, Vigasio, Cerea e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

SEI PRONTO SE SUCCEDE DAVVERO?

Non aspettare che sia troppo tardi. Ti aiutiamo a costruire un piano di backup e disaster recovery che ti permette di tornare operativo in ore, non in settimane.

Richiedi Consulenza Scopri Disaster Recovery
APPROFONDIMENTI E COPERTURA TERRITORIALE — SUPPORTO E ASSISTENZA LOCALE +

Servizi e Prodotti IT per PMI

Il supporto e l'assistenza locale di Digital Combines raggiungono tutte le PMI della provincia di Verona. Operiamo con tecnici certificati per assistenza remota e on-site, interventi di emergenza, manutenzione preventiva, consulenza IT e formazione.

I nostri servizi includono anche: Installazione server Linux/Windows, Virtualizzazione, Reti aziendali certificate Cisco, Centralini VoIP, Siti Web ottimizzati SEO, e l'esclusiva AI locale Dr. Watson. Forniamo supporto tecnico sistemistico on-site e da remoto, garantendo continuità operativa e costi certi.

Partner Tecnologici

Collaboriamo con i leader del settore: Microsoft (Azure, 365), Cisco, Bitdefender, Netgate (pfSense), OVH Cloud, Aruba Business, Cloudflare, Adobe, Winblu, Ubuntu, Debian, FreeBSD, Samsung Pay, Stripe, PayPal.

Copertura Territoriale: 98 Comuni della Provincia di Verona

Il nostro team opera capillarmente in tutto il territorio veronese, garantendo interventi rapidi nei seguenti comuni: Affi, Albaredo d'Adige, Angiari, Arcole, Badia Calavena, Bardolino, Belfiore, Bevilacqua, Bonavigo, Boschi Sant'Anna, Bosco Chiesanuova, Bovolone, Brentino Belluno, Brenzone sul Garda, Bussolengo, Buttapietra, Caldiero, Caprino Veronese, Casaleone, Castagnaro, Castel d'Azzano, Castelnuovo del Garda, Cavaion Veronese, Cazzano di Tramigna, Cerea, Cerro Veronese, Cologna Veneta, Colognola ai Colli, Concamarise, Costermano sul Garda, Dolcè, Erbè, Erbezzo, Ferrara di Monte Baldo, Fumane, Garda, Gazzo Veronese, Grezzana, Illasi, Isola della Scala, Isola Rizza, Lavagno, Lazise, Legnago, Malcesine, Marano di Valpolicella, Mezzane di Sotto, Minerbe, Montecchia di Crosara, Monteforte d'Alpone, Mozzecane, Negrar di Valpolicella, Nogara, Nogarole Rocca, Oppeano, Palù, Pastrengo, Pescantina, Peschiera del Garda, Povegliano Veronese, Pressana, Rivoli Veronese, Roncà, Ronco all'Adige, Roverchiara, Roveredo di Guà, Roverè Veronese, Salizzole, San Bonifacio, San Giovanni Ilarione, San Giovanni Lupatoto, San Martino Buon Albergo, San Mauro di Saline, San Pietro di Morubio, San Pietro in Cariano, San Zeno di Montagna, Sanguinetto, Sant'Ambrogio di Valpolicella, Sant'Anna d'Alfaedo, Selva di Progno, Soave, Sommacampagna, Sona, Sorgà, Terrazzo, Torri del Benaco, Tregnago, Trevenzuolo, Valeggio sul Mincio, Velo Veronese, Verona, Veronella, Vestenanova, Vigasio, Villa Bartolomea, Villafranca di Verona, Zevio, Zimella.