Ransomware: significato, come si diffonde e come proteggere l’azienda

Il ransomware è una delle minacce più dannose per le aziende perché colpisce direttamente operatività e dati. Capire il significato di ransomware, come avviene un attacco di questo tipo e quali misure adottare è il primo passo per tutelare la Cyber Sicurezza aziendale. Per una panoramica vi rimandiamo alla nostra guida sulle sicurezza dei dati in azienda.

Partiamo dalla definizione di ransomware: un ransomware è un malware che, una volta entrato nei sistemi aziendali, blocca l’accesso ai dati (di solito cifrandoli) e chiede un riscatto per ripristinarli. Il punto critico non è solo la richiesta economica: è l’interruzione del lavoro, la perdita di dati e l’eventuale esposizione di informazioni sensibili.

In pratica, che cos’è un ransomware? È un attacco che trasforma dati e infrastrutture in ostaggi digitali. Il danno può essere diretto (fermo attività) oppure indiretto (reputazione, clienti che non ricevono servizi, obblighi di notifica).

Un esempio concreto di ransomware è quello di un pc sotto attacco: il dispositivo diventa inutilizzabile per lo scopo previsto, perché file e applicazioni non sono più accessibili. A livello aziendale, questo effetto si propaga a catena: se l’attacco si muove lateralmente nella rete, può bloccare server, file sharing, ERP, posta, sistemi di produzione e backup collegati.

Su quale dimensione agiscono i ransomware? Agiscono su tre livelli:

• dato (cifratura o esfiltrazione),
• sistema (blocco operativo),
• processo (fermo attività e perdita di continuità).

Ecco perché non sono incidenti “solo IT”: diventano rapidamente incidenti di business.

Capire come si diffonde un ransomware è cruciale per evitarlo. I vettori principali sono noti, ma continuano a funzionare perché sfruttano vulnerabilità tecniche e abitudini umane.

I canali più frequenti sono:

• email malevole con allegati o link
• credenziali rubate e accessi remoti non protetti
• vulnerabilità software non patchate
• accessi tramite fornitori o strumenti condivisi

Come abbiamo detto, affinché un piano di ripristino delle emergenze sia efficace deve essere misurabile nei suoi obiettivi. Le due metriche chiave per valutare un DRP sono:

RTO significato (Recovery Time Objective)
Il recovery time objective indica il tempo massimo accettabile di indisponibilità di un servizio.
Esempio pratico: “l’e-commerce deve tornare operativo entro 4 ore”

RPO (Recovery Point Objective)

Il recovery point objective definisce quanti dati si può perdere al massimo.
Esempio: “posso tollerare al massimo 30 minuti di dati non salvati”.

RTO e RPO non sono concetti “da IT”: sono decisioni di business. Perché stabiliscono il confine tra un fermo gestibile e un danno potenzialmente irreversibile.

Difendersi da un attacco ransomware significa lavorare su più livelli. Non esiste un singolo controllo che risolve tutto: serve una combinazione di igiene cyber e strumenti adeguati.

Le misure più efficaci includono:

• MFA contro ransomware: l’autenticazione multifattore riduce drasticamente gli accessi illegittimi con credenziali rubate
• Patch e aggiornamenti regolari: molte infezioni partono da vulnerabilità note
• Segmentazione di rete: limita la propagazione laterale
• Privilegi minimi: meno permessi = meno danno possibile
• EDR ransomware: strumenti di Endpoint Detection & Response aiutano a rilevare attività anomale prima che la cifratura avvenga su larga scala
• Software anti ransomware: inteso come insieme di difese endpoint + monitoraggio + blocco comportamentale.

Queste misure non sono alternative: funzionano perché operano insieme.

Prevenire i ransomware non vuol dire solo evitare il loro ingresso, ma anche limitare l’impatto concreto qualora un attacco di questo tipo riuscisse a penetrare. Qui il backup è il punto di sicurezza più concreto. Non qualsiasi backup, però.

• Backup immutabile: copie non modificabili nemmeno da un admin o da un malware. È il cuore della resilienza moderna
• Offsite backup:copie fisicamente o logicamente separate dalla produzione, così l’attacco non le raggiunge
• Air gap backup: backup isolati “a distanza” dalla rete principale (air-gapped), utili quando l’avversario mira anche ai repository di salvataggio

Queste tecniche, inserite in vere politiche di salvataggio nel caso del ransomware, rendono possibile ripartire senza dipendere da un riscatto.

Quando si è colpiti da un attacco sottoforma di ransomware è importante la tempestività e quindi il metodo con cui ci si difende.
Standardizzare le procedure di difesa vuol dire ottimizzare i tempi di reazione.
Ecco cosa fare in caso di attacco ransomware:

1. Isolare subito i sistemi colpiti (staccare dalla rete ciò che è compromesso).
2. Bloccare propagazione e accessi (sospendere account sospetti, chiudere canali di ingresso).
3. Attivare il piano di incident response e coinvolgere chi deve decidere.
4. Valutare danno e perimetro (quali sistemi, quali dati, quali backup sono sicuri).
5. Ripristinare da backup puliti seguendo priorità operative.

L’obiettivo non è “tornare online il prima possibile a qualsiasi costo”, ma ripartire in modo controllato, senza re-infettarsi.

La ransomware recovery è la fase in cui si torna operativi. Non coincide solo con il restore: include anche verifiche di sicurezza, rotazione credenziali, pulizia dei sistemi e controllo delle cause di ingresso.
Dopo un recovery serio, l’azienda deve confermare che i backup usati siano integri, assicurarsi che non restino backdoor e ovviamente rafforzare i controlli mancanti o che non hanno funzionato. Trovare la falla è fondamentale.
È qui che un attacco diventa una lezione operativa, non solo un costo.

Il modello ransomware as a service spiega perché la minaccia cresce. Oggi gruppi criminali offrono ransomware “in affitto” a chi non ha competenze tecniche, condividendo profitti. Questo abbassa la soglia d’ingresso per gli attaccanti e moltiplica gli episodi, soprattutto contro aziende percepite come “meno protette”.
Risultato: più attori, più attacchi, più varianti. Ecco perché la difesa deve essere sistemica, non episodica.

Se un attacco ransomware coinvolge dati personali, l’azienda deve trattarlo anche come data breach. Questo significa due cose molto concrete:

1. valutare rapidamente se i dati sono stati cifrati soltanto o anche esfiltrati, e — se c’è rischio per le persone —
2. attivare le procedure di notifica previste dal GDPR. In caso di controlli, la differenza la fanno le misure preventive già adottate e documentabili: se risultano insufficienti, il tema può diventare anche sanzionatorio.Sul fronte sicurezza, la direttiva NIS2 rafforza un principio semplice: il ransomware non è solo un problema tecnico, ma un rischio di continuità operativa. Per questo capire cos’è la NIS2 e a chi si applica serve a inquadrare la gestione dell’attacco come parte di un sistema più ampio di rischio cyber. In pratica, le aziende coinvolte devono dimostrare di avere controlli adeguati per prevenire gli incidenti, reagire in modo organizzato e ripristinare i servizi in tempi coerenti con il business.

Il ransomware è una minaccia concreta e crescente, ma non inevitabile. Sapere cos’è un ransomware, come si diffonde e quali controlli mettere in campo permette di prevenire la maggior parte degli incidenti. Per il resto, la differenza la fa la resilienza: backup immutabili, offsite e air gap, più un piano chiaro su cosa fare in caso di attacco ransomware.

In sintesi: ridurre la probabilità d’ingresso con MFA, patching ed EDR, e ridurre l’impatto con recovery testata e politiche di salvataggio solide. È questa combinazione che toglie potere al ransomware, e protegge davvero l’azienda.