Ransomware: guida completa alla protezione per PMI italiane

Cos'è il ransomware e come funziona

Il ransomware è un tipo di malware che cifra i file del sistema infettato — documenti, database, backup — rendendoli inaccessibili, e poi chiede un riscatto (ransom) in criptovaluta in cambio della chiave di decifratura. Nella nostra esperienza di centinaia di incident response, è la tipologia di attacco che causa i danni economici più gravi e immediati per una PMI italiana.

Il funzionamento tecnico si articola in fasi precise:

1. Accesso iniziale: l'attaccante entra nella rete attraverso phishing, credenziali RDP rubate, exploit di vulnerabilità note o compromissione della supply chain.
2. Persistenza e movimento laterale: il malware si radica nel sistema, disabilita gli antivirus tradizionali ed esplora la rete interna per identificare i sistemi di backup, i domain controller e i dati più critici.
3. Esfiltrazione (doppia estorsione): prima di cifrare, i gruppi moderni estraggono una copia dei dati sensibili. Se non paghi, li pubblicano sul loro sito .onion — la cosiddetta doppia estorsione.
4. Cifratura: il ransomware cifra i file usando algoritmi asimmetrici (AES-256 + RSA-2048). La chiave privata rimane sui server degli attaccanti.
5. Richiesta di riscatto: compare una nota con le istruzioni di pagamento in Bitcoin o Monero, spesso con una scadenza e la minaccia di aumentare il prezzo o pubblicare i dati.

I gruppi ransomware più attivi in Italia

Il panorama dei gruppi ransomware che colpiscono aziende italiane è cambiato rapidamente negli ultimi due anni. Monitorare questi attori è parte del lavoro di Cyber Threat Intelligence che svolgiamo quotidianamente per i nostri clienti.

LockBit 3.0

LockBit è stato il gruppo più prolifico a livello globale fino all'operazione Cronos di Europol nel 2024, che ne ha smantellato parte dell'infrastruttura. Nonostante ciò, versioni del ransomware continuano a circolare attraverso affiliati indipendenti. LockBit colpisce preferibilmente le PMI manifatturiere e del settore logistica in Nord Italia.

Qilin (Agenda)

Qilin è scritto in Go, il che lo rende altamente portabile (Windows, Linux, VMware ESXi). Ha colpito aziende italiane del settore sanitario e dei servizi. Usa il modello RaaS con affiliati selezionati. Nel 2024 ha dichiarato diversi attacchi riusciti a organizzazioni italiane sul suo data leak site.

BianLian

BianLian ha progressivamente abbandonato la cifratura dei dati per concentrarsi sulla sola esfiltrazione e minaccia di pubblicazione — la cosiddetta estorsione pura. Questo approccio è più difficile da contrastare con i soli backup. Colpisce principalmente studi legali, contabili e PMI con dati di clienti sensibili.

RansomHub

Emerso nel 2024 dopo il takedown di ALPHV/BlackCat, RansomHub ha rapidamente assorbito molti affiliati rimasti senza gruppo. Opera con un modello RaaS aggressivo, pagando gli affiliati fino all'80% del riscatto. È attivo in Italia nel settore finanziario e dell'ingegneria.

Come entra il ransomware in azienda

Comprendere i vettori di accesso è fondamentale per una difesa efficace. Non esiste un "ransomware che cade dal cielo": ogni attacco inizia con una vulnerabilità o un errore umano sfruttabile.

Phishing e spear phishing

Il phishing rimane il vettore principale in assoluto: oltre il 60% degli attacchi ransomware inizia con un'email (fonte: ENISA Threat Landscape 2024). Le email di spear phishing sono personalizzate sul destinatario — nome, ruolo, azienda cliente — e sono quasi indistinguibili da comunicazioni legittime. Un dipendente apre un allegato Office con macro, esegue un PDF con JavaScript incorporato, o clicca su un link che installa un loader.

RDP esposto su Internet

Il Remote Desktop Protocol (porta 3389) esposto direttamente su Internet senza VPN è una porta spalancata. Gli attaccanti usano scanner automatici e liste di credenziali compromesse per attaccare sistemi RDP con brute force. Nella nostra attività di penetration testing, troviamo ancora oggi molte PMI italiane con RDP esposto e credenziali deboli — spesso ereditate da configurazioni pre-pandemia.

Vulnerabilità non patchate

Le vulnerabilità critiche su VPN, firewall e applicazioni web vengono sfruttate entro ore dalla pubblicazione del CVE. I gruppi ransomware monitorano NVD e PoC su GitHub. Fortinet, Citrix, Ivanti e Palo Alto hanno subito zero-day che hanno alimentato campagne ransomware massive. Una PMI che non patcha entro 72 ore una vulnerabilità critica su un sistema esposto è a rischio concreto.

Supply chain e MSP compromessi

Attaccare un fornitore IT o un MSP (Managed Service Provider) che ha accesso privilegiato a decine di PMI clienti è altamente efficiente per gli attaccanti. L'attacco a Kaseya VSA del 2021, che ha colpito oltre 1.500 aziende tramite un unico provider, è il caso più noto — ma episodi simili su scala ridotta avvengono regolarmente anche in Italia.

Ransomware as a Service: il crimine diventa un franchise

Il modello Ransomware as a Service (RaaS) ha trasformato il ransomware da operazione di nicchia ad industria criminale scalabile. Funziona esattamente come un franchise:

• I developer creano e mantengono il codice del ransomware, il pannello di controllo e il sito di data leak.
• Gli affiliati — persone con competenze tecniche minime — si iscrivono alla piattaforma, ricevono il malware pronto all'uso e portano avanti gli attacchi.
• Il riscatto viene diviso: tipicamente 70-80% all'affiliato, 20-30% ai developer.
• Il tutto avviene su darknet, con forum di selezione, SLA, supporto clienti (per le vittime!) e persino recensioni degli affiliati.

Il RaaS ha abbassato la barriera d'ingresso al punto che oggi un attaccante con competenze tecniche limitate può lanciare una campagna ransomware efficace acquistando accessi su mercati underground (Initial Access Brokers) e usando un kit RaaS pronto. Il risultato è un numero di attori attivi moltiplicato per 10 nell'arco di tre anni.

Una PMI colpita da ransomware: cosa fare nelle prime 72 ore

Le prime ore dopo la scoperta di un attacco ransomware sono critiche. Ogni azione sbagliata può aggravare i danni — cancellare prove forensi, permettere ulteriore cifratura, avvisare erroneamente clienti prima di avere le informazioni corrette.

1. Isola i sistemi colpiti: disconnetti immediatamente i computer infetti dalla rete (cavo e Wi-Fi). Se possibile isola anche i segmenti di rete adiacenti. Non spegnere i server — si perderebbero volatili preziosi per le forensi.
2. Attiva il tuo team di risposta: chiama il tuo MDR provider o un team di incident response qualificato. Se non hai un contratto, contatta ACN (acn.gov.it) che può fornire supporto tecnico gratuito in caso di attacchi critici.
3. Identifica il paziente zero: quale sistema è stato colpito per primo? Qual era la fonte dell'infezione? Il log dei sistemi EDR/SIEM è fondamentale in questa fase.
4. Verifica i backup: i backup sono integri e offline/offsite? I ransomware moderni cercano attivamente i backup per cifrarli prima. Un backup su NAS connesso alla rete è probabilmente già cifrato.
5. Notifica legale: se sono coinvolti dati personali, hai 72 ore per notificare il Garante Privacy (art. 33 GDPR). Se sei un'entità NIS2, l'obbligo di notifica ad ACN si riduce a 24 ore per l'early warning.
6. Non pagare immediatamente: prima di considerare qualsiasi pagamento, consulta esperti legali e di sicurezza. Alcuni gruppi ransomware sono sotto sanzioni OFAC (Office of Foreign Assets Control): pagare potrebbe esporti a conseguenze legali in USA e UE.
7. Comunicazione controllata: prepara un messaggio interno per i dipendenti e, se necessario, uno per clienti e fornitori. Evita comunicazioni premature che possano aumentare il panico o fornire informazioni agli attaccanti.

Come proteggere la tua PMI dal ransomware: checklist pratica

La difesa efficace dal ransomware non è un singolo prodotto ma una combinazione di controlli tecnici, procedurali e formativi. Ecco i controlli prioritari che raccomandiamo alle PMI italiane, ordinati per impatto:

Backup 3-2-1-1 offline e testato

La regola 3-2-1 (3 copie, 2 media diversi, 1 offsite) è il minimo. La versione aggiornata è 3-2-1-1: aggiungi almeno 1 copia air-gapped o su storage immutabile (WORM). Ma il backup vale zero se non viene testato: esegui un ripristino completo ogni trimestre e verifica che i dati siano integri e i tempi di recovery siano accettabili.

EDR / XDR su tutti gli endpoint

Un antivirus tradizionale non rileva il 60-70% delle varianti ransomware moderne (fonte: AV-TEST 2024). Un Endpoint Detection & Response (EDR) usa analisi comportamentale per rilevare attività anomale — cifratura massiva di file, disabilitazione di shadow copy, comunicazioni C2 — anche senza una firma del malware. È il controllo singolo a più alto impatto contro il ransomware.

MFA su tutti gli accessi remoti

L'autenticazione a più fattori su VPN, RDP, webmail e pannelli di amministrazione elimina il vettore "credenziali rubate" — responsabile di oltre il 40% degli accessi iniziali ransomware. L'implementazione richiede tipicamente 1-2 giorni per una PMI e ha un rapporto costo/beneficio eccezionale.

Patch management sistematico

Le vulnerabilità critiche su sistemi esposti devono essere patchate entro 72 ore dalla pubblicazione del CVE. I sistemi legacy che non possono essere patchati devono essere isolati in segmenti di rete separati (network segmentation) o dismessi. Un programma di vulnerability management strutturato garantisce visibilità continua.

Formazione anti-phishing

Poiché il phishing è il vettore principale, la formazione dei dipendenti e le simulazioni di phishing hanno un impatto diretto sulla riduzione del rischio. Dopo 6 mesi di training, il tasso di click su email di phishing simulate cala mediamente dal 30% al 5-8%.

Segmentazione di rete

Una rete piatta (flat network) dove tutti i sistemi si parlano liberamente permette al ransomware di diffondersi in ore sull'intera infrastruttura. La segmentazione limita il blast radius: anche in caso di compromissione, l'attaccante trova barriere che rallentano o bloccano il movimento laterale.

MDR 24/7 — monitoraggio e risposta continua

Il ransomware non colpisce mai alle 10 di mattina di un lunedì lavorativo: il 70% degli attacchi avviene di notte, nei weekend o durante le festività. Un servizio di Managed Detection & Response (MDR) con SOC attivo 24/7 rileva l'attacco nelle fasi iniziali — spesso prima che il ransomware venga eseguito — e risponde contenendo la compromissione.

Pagare il riscatto conviene? La risposta definitiva

No. È la risposta più chiara che possiamo darti, supportata dai dati.

Secondo il Sophos State of Ransomware Report 2024, il 65% delle aziende che paga recupera i dati completamente, ma il 35% no — la chiave di decifratura non funziona, i file sono corrotti, o il recovery è parziale. Il costo totale medio di recupero per chi paga è comunque quasi il doppio rispetto a chi non paga ma ha backup solidi.

Ci sono poi ragioni legali e strategiche per non pagare:

• Sanzioni OFAC: alcuni gruppi ransomware (Evil Corp, Conti, parte di LockBit) sono sotto sanzioni USA. Pagare potrebbe esporre l'azienda o i suoi dirigenti a conseguenze legali, incluso il divieto di operare con controparti USA.
• Le backdoor restano: il pagamento non rimuove il malware, le backdoor o i dati già esfiltrati. Ricevere la chiave di decifratura non significa essere "al sicuro".
• Incentivo agli attacchi futuri: le aziende che pagano vengono ritenute "buoni pagatori" e inserite in liste che circolano nel underground criminale. Hai più probabilità di essere attaccato di nuovo.

Domande frequenti

Cosa fare immediatamente se la mia azienda è colpita da ransomware?
Isola i sistemi colpiti dalla rete (scollega i cavi, disabilita il Wi-Fi), non spegnere i server (si perderebbero prove forensi), avverti il tuo IT o il tuo MDR provider. Se tratti dati personali hai 72 ore per notificare il Garante Privacy. Non pagare il riscatto prima di aver consultato esperti.

Con quale frequenza viene colpita una PMI italiana da ransomware?
Secondo il Rapporto CLUSIT 2025, l'Italia è tra i Paesi europei più colpiti. Le PMI sono bersagli privilegiati perché hanno superfici d'attacco comparabili alle grandi aziende ma investimenti in sicurezza dieci volte inferiori. Nella nostra pratica, riceviamo segnalazioni di attacchi a PMI italiane ogni settimana.

L'assicurazione cyber copre il ransomware?
Dipende dalla polizza, ma molte assicurazioni cyber coprono i costi di incident response, il riscatto (se pagato in accordo con la polizza), le perdite da interruzione dell'attività e le notifiche GDPR. Tuttavia le polizze impongono requisiti minimi di sicurezza (MFA, backup, EDR) e alcuni escludono esplicitamente la copertura se questi controlli non erano attivi al momento dell'attacco.

Il ransomware può cifrare anche i backup su cloud?
Sì, se il backup cloud è montato come drive di rete o accessibile con le stesse credenziali aziendali. I backup su storage immutabile (WORM, object lock) o con credenziali separate e MFA dedicato sono molto più resistenti. Verifica sempre la configurazione del tuo provider cloud.