I ransomware non sono più un tema da conferenze o da slide patinate. Sono eventi concreti che fermano aziende reali, bloccano la produzione e mettono in discussione l’intera sostenibilità di un business. Eppure, per capire quanto possa essere devastante un attacco, bisogna guardare da vicino cosa accade dentro un’azienda nel momento in cui i criminali entrano e iniziano a muoversi.
Non si tratta semplicemente di “file cifrati”. Prima di arrivare alla cifratura, gli attaccanti si prendono tutto il tempo per fare ricognizione, rubare dati, eliminare i backup e mettere l’azienda nell’angolo. Quando la nota di riscatto appare nei desktop di PC e Server tutto è concluso.
Questa è la storia di uno di quegli incidenti.
L’incidente: come i criminali sono entrati e cosa è successo dopo
Negli ultimi anni il bersaglio preferito dei criminali non sono più i singoli server, ma l’intera infrastruttura di virtualizzazione. È semplice: cifrare direttamente i file delle macchine virtuali permette di impattare decine di sistemi in pochi minuti, con un unico colpo.
Nel caso che analizziamo, l’accesso iniziale è avvenuto tramite una VPN priva di MFA. Una condizione ancora troppo diffusa. Le credenziali compromesse appartenevano a un consulente esterno che accedeva periodicamente all’infrastruttura per attività di supporto. L’indagine forense ha rivelato un dettaglio decisivo: quel consulente utilizzava per lavoro il proprio PC personale. Nessuna protezione adeguata, nessun controllo aziendale, nessuna politica di gestione sicura delle password.
Un malware di tipo stealer installato sul suo computer ha raccolto e inviato ai criminali tutte le credenziali memorizzate, comprese quelle della VPN aziendale. Quello che a prima vista sembra un errore banale rappresenta invece un classico attacco alla supply chain: i criminali colpiscono l’anello più debole, spesso esterno all’azienda.
Una volta ottenuto l’accesso, gli attaccanti hanno trovato un regalo aggiuntivo: quelle stesse credenziali permettevano anche l’ingresso a sistemi interni con privilegi elevati. Da lì, la catena è stata rapida e silenziosa:
- esplorazione della rete
- raccolta delle credenziali dell’infrastruttura di virtualizzazione
- individuazione e compromissione dei sistemi di backup
- esfiltrazione dei dati
- cifratura delle macchine virtuali
L’azienda non aveva backup resilienti. Risultato: l’intero patrimonio informativo compromesso. Produzione ferma. Personale in cassa integrazione. Penali contrattuali. Settimane per tornare operativi.
La remediation: cosa fare subito e cosa serve davvero per il futuro
Nel breve periodo l’obiettivo è stato uno solo: contenere i danni e ricostruire il minimo indispensabile per riprendere le attività. Ma la vera lezione arriva dopo, quando l’azienda capisce che nessuna ricostruzione può essere considerata completa senza un cambiamento strutturale.
Le misure implementate sono state molte tra cui:
- segmentazione della rete per limitare i movimenti laterali
- attivazione dell’autenticazione a più fattori su VPN e sistemi sensibili
- adozione di EDR evoluti su endpoint e server
- introduzione di un password manager aziendale
- realizzazione di backup realmente resilienti e copie immutabili
- attivazione di un servizio MDR per monitoraggio continuo e risposta agli incidenti
Proprio un servizio MDR avrebbe potuto fare la differenza già nelle prime fasi dell’attacco. Indicatori come accessi VPN in orari anomali, connessioni da Paesi insoliti e movimenti laterali rapidi tra server avrebbero generato alert immediati, dando il tempo di bloccare gli attaccanti prima della cifratura.
Oltre la tecnologia: ciò che davvero cambia le aziende
La tecnologia da sola non basta. Gli strumenti servono, ma senza governance, policy chiare e consapevolezza diffusa restano scatole vuote. La sicurezza deve partire dal management, perché solo una direzione consapevole può pretendere processi robusti, controlli continui e scelte responsabili.
È esattamente la direzione verso cui spinge anche la Direttiva NIS2: la sicurezza non è più un tema solo tecnico, ma una responsabilità aziendale che riguarda leadership, processi e organizzazione.
Gli attacchi ransomware non sono eccezioni: sono un rischio quotidiano. La domanda non può più essere se verremo colpiti. La domanda è: saremo pronti quando accadrà?
Di Andrea Coli – Incident Response Manager
