Subire un attacco ransomware è uno degli scenari più stressanti che un imprenditore possa affrontare. Sistemi bloccati, una richiesta di riscatto sullo schermo, dipendenti che non possono lavorare, clienti che chiamano. Le decisioni dei primi sessanta minuti determinano spesso se l'azienda sopravvive o no.
I primi 30 minuti: contenimento
- Non spegnere subito i sistemi infetti: alcuni ransomware cancellano evidenze utili al ripristino se rilevano lo spegnimento. Scollega i cavi di rete invece.
- Isola la rete: stacca il firewall da internet o disabilita il WiFi per impedire la propagazione e l'esfiltrazione di dati.
- Identifica i sistemi colpiti: server, NAS, postazioni. Più la mappa è chiara, più rapido sarà il ripristino.
- Avvisa il responsabile IT o il consulente di fiducia. Se non c'è, contatta subito una società specializzata.
Le 24 ore successive: valutazione
Va verificato cosa è stato cifrato, cosa è stato rubato e quale famiglia di ransomware è coinvolta. Alcune varianti hanno chiavi di decifratura disponibili gratuitamente sul portale No More Ransom. Altre no. Le decisioni successive dipendono da tre fattori:
- Disponibilità e integrità dei backup.
- Esfiltrazione di dati personali (con conseguenti obblighi GDPR).
- Impatto operativo sull'azienda.
Pagare il riscatto?
La risposta breve è: quasi mai. Pagare:
- Non garantisce il recupero (in molti casi i dati restano corrotti o non vengono restituiti).
- Marchia l'azienda come pagatrice, esponendola a futuri attacchi.
- Può essere illegale se il gruppo criminale è in liste di sanzioni internazionali.
- Finanzia direttamente l'ecosistema criminale.
L'unica situazione in cui valutare il pagamento è l'assenza totale di backup utilizzabili e l'impossibilità materiale di rifare i dati. È una decisione da prendere con consulenti legali e tecnici, non in autonomia.
Notifica al Garante
Se sono coinvolti dati personali, hai 72 ore per notificare al Garante Privacy. La notifica va sempre fatta, anche se non è certo che i dati siano stati esfiltrati: meglio una notifica in eccesso che una mancata.
Ripristino e lezione appresa
Dopo il ripristino è essenziale capire come è entrato l'attaccante. Nel 80% dei casi è uno di questi tre vettori: phishing, RDP esposto su internet, software non aggiornato. Risolvere il vettore di ingresso è più importante di rimettere tutto in piedi rapidamente: altrimenti l'attacco si ripete in poche settimane.
La prevenzione resta l'arma migliore
Backup offline regolari e verificati, MFA su tutti gli accessi remoti, EDR moderno, formazione del personale, patch tempestive. Sembrano cose ovvie, ma nella maggior parte delle aziende attaccate manca almeno tre di queste cinque.
Se hai dubbi sul livello di protezione attuale, possiamo eseguire un assessment veloce e darti una valutazione concreta, non commerciale.