Attacco ransomware: cosa fare (e non fare) per proteggere l’azienda

Gli attacchi informatici sono una minaccia sempre più grave per le aziende. Tra i software malevoli più diffusi e pericolosi ci sono ancora i ransomware, con l’83% dei casi secondo una ricerca della European Union Agency for Cybersecurity (ENISA). Per IBM i gruppi di cybercriminali nella tipologia di attacco ransomware – che prevede il blocco o il furto dei dati dell’azienda colpita al fine di chiedere un riscatto – è cresciuto del 49% nel 2025.

In molti casi i dati delle aziende (e dei loro Clienti e fornitori) vengono messi in vendita sul dark web, diventando potenziali veicoli di nuovi attacchi .

Il 12 maggio ricorre l’Anti-Ransomware Day, un’occasione utile per riportare l’attenzione su una delle minacce informatiche più concrete per le imprese. Nel secondo semestre 2025, il CSIRT Italia (Computer Security Incident Response Team) ha inviato oltre 5.000 comunicazioni a soggetti pubblici e privati per segnalare vulnerabilità critiche già esposte a potenziali intrusioni.

Questi numeri indicano che il ransomware è un rischio ordinario che richiede una risposta strutturata.
Analizziamo quindi quali comportamenti evitare e quali misure implementare per proteggere l’infrastruttura aziendale.

Cos’è un attacco ransomware

Il Ransomware (parola macedonia composta da ransom, riscatto, e software) è un software malevolo progettato per rendere inaccessibili i dati di un sistema informatico, chiedendo il pagamento di un riscatto per ripristinarli.

A differenza di altri malware che puntano a spiare (spyware) o a distruggere (wiper), l’obiettivo dell’attacco ransomware è il sequestro digitale dei beni informativi.

Gli attaccanti cifrano file, server o intere infrastrutture e chiedono un riscatto per ripristinare l’accesso o per evitare la diffusione delle informazioni rubate.

Negli attacchi più recenti, oltre alla cifratura, è sempre più diffusa la cosiddetta doppia estorsione: i dati vengono prima copiati e poi minacciati di pubblicazione. Questo aumenta la pressione sull’azienda e rende l’attacco ransomware non solo un problema tecnico che minaccia la continuità del business, ma anche reputazionale e legale.

Come funziona un attacco ransomware

Un attacco ransomware moderno non è un evento isolato, ma un processo multi-fase che oggi, grazie all’automazione e all’IA, si compie in tempi rapidissimi (con record di soli 27 secondi registrati dal CrowdStrike 2026 Global Threat Report).

1. Infiltrazione (Initial Access): L’attaccante entra nel sistema tramite email di phishing, sfruttando vulnerabilità non patchate o credenziali rubate (spesso acquistate da “Initial Access Brokers”).
2. Movimento Laterale e Privilege Escalation: Una volta dentro, l’attaccante esplora la rete per ottenere privilegi di amministratore. In questa fase vengono spesso usati strumenti legittimi del sistema operativo per non essere rilevati (Living-off-the-Land).
3. Esfiltrazione (Data Theft): Prima di criptare, i criminali copiano i dati sensibili sui propri server. Questo dà loro un’arma di ricatto supplementare.
4. Criptazione (Deployment): Il malware viene eseguito simultaneamente su quanti più server e PC possibili, trasformando i file in stringhe di codice illeggibili tramite algoritmi crittografici (solitamente una combinazione di AES-256 e RSA).
5. Estorsione: Compare la “Ransom Note”, un file di testo o un’immagine che spiega come pagare (solitamente in Bitcoin o Monero) per ottenere la chiave di decifrazione.

Cosa non fare: gli errori che espongono a un attacco ransomware

Molti attacchi ransomware vanno a segno non per la loro complessità, ma per vulnerabilità evitabili o cattive abitudini consolidate.

1. Pagare il riscatto

Pagare non garantisce il recupero dei dati.
Le autorità, inclusa l’ACN, sconsigliano questa scelta: le chiavi di decifratura potrebbero non arrivare o non funzionare correttamente.

Inoltre, il pagamento alimenta il modello di business degli attaccanti e può rendere l’azienda un bersaglio più interessante per futuri attacchi.

2. Sottovalutare il phishing

Il phishing resta uno dei principali punti di ingresso per un attacco ransomware, nonostante la diffusione dei filtri antispam.

Le email fraudolente o i messaggi fake sono sempre più credibili: imitano fornitori, banche o colleghi.

La regola è verificare sempre l’indirizzo reale di provenienza e non cliccare mai su collegamenti o allegati sospetti. In ogni caso una verifica telefonica con il mittente rimane la difesa più semplice ed efficace.

3. Affidare la gestione delle password ai browser

Salvare le password nel browser può sembrare comodo, ma espone a rischi in caso di compromissione del dispositivo.

Molti malware sono progettati proprio per estrarre credenziali salvate.
In ambito aziendale è preferibile utilizzare password manager dedicati, che offrono:

• cifratura avanzata
• controllo degli accessi
• gestione centralizzata

Questo riduce la probabilità che un attacco ransomware si propaghi attraverso credenziali compromesse.

4. Rimandare gli aggiornamenti

I software e i sistemi di difesa aziendali, come gli antivirus, dovrebbero essere sempre aggiornati.

Un errore tipico è quello di procrastinare gli aggiornamenti richiesti da Windows o altri software molto diffusi.

Investire un minimo di tempo in queste attività (o consentire gli aggiornamenti automatici) permette di ridurre i rischi di attacchi.

5. Utilizzare software Shadow IT

Online si trovano molti software gratuiti che promettono grandi benefici. Ma l’utilizzo di questi sistemi, definiti Shadow IT, costituisce un grave pericolo.

Molti dipendenti aziendali li installano pensando di risparmiare tempo e risorse. Ma questi software installati all’insaputa dei reparti IT, possono diventare i cavalli di Troia per attacchi pericolosissimi.

Il discorso vale anche per i sistemi di Shadow AI, cioè tool di intelligenza artificiale gratuiti che rischiano di condividere a terzi dati sensibili dell’azienda.

Cosa fare: le basi per difendersi da un attacco ransomware

Adottare una strategia efficace significa rendere l’azienda resiliente, cioè capace di continuare a operare anche in caso di incidente. La regola generale è non fidarsi di nessuno, applicando la cosiddetta Zero Trust.

1. Applicare la regola del backup 3-2-1

Il backup è la misura più concreta per recuperare i dati senza cedere a un ricatto.

La regola indicata dagli esperti prevede:

• 3 copie dei dati
• su 2 supporti diversi
• con 1 copia offline

Un backup sempre connesso alla rete può essere compromesso insieme ai sistemi principali. L’isolamento fisico o logico è l’unica vera protezione.

2. Attivare l’Autenticazione Multifattore (MFA)

L’MFA (Multi Factor Authentication) è oggi un requisito obbligatorio per proteggere gli accessi.

Aggiungendo un secondo fattore oltre alla password, riduce drasticamente il rischio di accessi non autorizzati, anche quando le credenziali sono state rubate.
Non elimina completamente il rischio, ma è una delle difese più efficaci contro un attacco ransomware.

3. Gestire rapidamente gli aggiornamenti di sicurezza

Molti attacchi sfruttano vulnerabilità già note e per cui esistono patch, cioè aggiornamenti software che chiudono le falle di sicurezza.

Il problema non è quindi la mancanza di soluzioni, ma la lentezza nell’applicarle.
Automatizzare gli aggiornamenti critici riduce la finestra di esposizione e rende più difficile l’ingresso agli attaccanti.

4. Segmentare la rete aziendale

Una rete aziendale non dovrebbe mai essere un unico ambiente aperto. Suddividere l’infrastruttura in segmenti stagni permette di isolare i reparti o le tipologie di dispositivi (come server, postazioni di lavoro e sistemi IoT).

In questo modo, se un ransomware colpisce una singola postazione, la sua capacità di propagarsi agli altri settori dell’azienda viene bloccata dalle barriere di rete interne.

5. Formare le persone

La tecnologia può filtrare le minacce, ma la consapevolezza degli utenti rimane l’ultima linea di difesa.

Formare periodicamente il personale sul riconoscimento delle insidie digitali trasforma i dipendenti da potenziali punti deboli a elementi attivi della sicurezza.

Un collaboratore che sa riconoscere un’anomalia è spesso più efficace di un software di protezione.

6. Testare le procedure di ripristino

Avere un backup non basta: bisogna sapere usarlo e prevedere un Disaster Recovery Plan completo.

Test periodici di ripristino permettono di verificare:

• tempi reali di recupero
• integrità dei dati
• efficacia delle procedure

Solo così si può affrontare un attacco ransomware senza blocchi prolungati.

Oltre la difesa: prevenire un attacco ransomware

Con attacchi sempre più automatizzati, reagire non è più sufficiente. Serve anticipare. Per garantire la continuità del business, è necessario adottare strumenti che identifichino le potenziali porte d’ingresso prima che vengano varcate.

Il servizio di Cybersecurity Predittiva del Gruppo Vianova risponde a questa esigenza attraverso un monitoraggio costante del perimetro aziendale.

La piattaforma analizza l’infrastruttura IT interna ed esterna all’azienda alla ricerca di potenziali minacce informatiche. Questo approccio consente di suggerire le soluzioni da implementare per proteggere l’azienda risolvendo le vulnerabilità prima che possano essere sfruttate per lanciare un attacco.

Tutti i dati raccolti dalla piattaforma sono ospitati nei Data Center italiani di Vianova, certificati ISO 27001 e qualificati dall’Agenzia per la Cybersicurezza nazionale. Questo riconoscimento certifica che l’infrastruttura rispetta i più elevati standard di sicurezza nazionali, anche per le Pubbliche Ammistrazioni.

Affidarsi a soluzione qualificata garantisce un controllo rigoroso sul perimetro digitale, requisito essenziale per limitare l’esposizione a un attacco ransomware e preservare l’integrità dei processi aziendali.