Minaccia critica · PMI italiane

Ransomware:
i tuoi file cifrati,
la tua azienda ferma.

Un ransomware trasforma un lunedì mattina normale in una crisi aziendale. I file diventano inaccessibili, i sistemi si bloccano, compare un messaggio con la richiesta di riscatto. Capire come funziona — e come proteggersi prima che accada — vale molto più di qualsiasi riscatto.

Proteggi la tua azienda Testa la tua esposizione →

€35kcosto medio per una PMI italiana

4 mindal click al blocco completo dei file

+65%attacchi a PMI italiane nel 2024

YOUR FILES HAVE BEEN ENCRYPTED

ATTENZIONE! Tutti i tuoi file, documenti,
fotografie e database sono stati cifrati.

Per ripristinarli devi acquistare la nostra
chiave di decriptazione.

Prezzo: 0.15 BTC (~€8.500)
Il prezzo raddoppia tra:

47:23:11Ore rimaste

1.247File cifrati

€8.500Riscatto

Anatomia di un attacco

Quello che succede
dal click al blocco completo

Un attacco ransomware non è un evento istantaneo — è un processo che si svolge in fasi. Conoscerle aiuta a capire dove si può intervenire.

Lunedì 08:47Ora 0

Vettore iniziale

Un dipendente apre un allegato email

L’email sembra provenire da un fornitore noto. L’allegato è un documento Word con una macro. Il dipendente clicca su “Abilita contenuto”. Il payload viene scaricato in memoria — nessun file su disco, nessun antivirus tradizionale lo rileva.

08:481 minuto

Esecuzione

Il malware stabilisce la connessione con il server C&C

Il ransomware contatta il server dell’attaccante, scarica la chiave di cifratura e verifica l’ambiente. Se rileva che è in una sandbox di analisi, si mette in sleep. Altrimenti procede.

08:49–09:152–28 min

Movimento laterale

Si diffonde nella rete alla ricerca di altri sistemi

Scansiona la rete locale, sfrutta credenziali salvate o vulnerabilità SMB per muoversi verso altri computer, server, NAS e backup. In una rete piatta senza segmentazione, raggiunge tutto in pochi minuti.

09:15–09:4528–58 min

Esfiltrazione

Copia i dati più preziosi prima di cifrarli

Le varianti moderne rubano i dati prima di cifrarli — così possono minacciare anche di pubblicarli online (double extortion). Documenti, contratti, dati clienti, credenziali: tutto trasferito silenziosamente.

09:45–10:3058 min–1h43

Cifratura

I file vengono cifrati — tutti, inclusi i backup locali

Il ransomware inizia a cifrare file sistematicamente: documenti, immagini, database, file CAD, backup locali, share di rete. Cancella le shadow copy di Windows. Quando finisce, non resta nulla di accessibile.

10:30Ora 1h43

Notifica

Appare il messaggio di riscatto — l’azienda si accorge dell’attacco

Solo ora i dipendenti capiscono cosa è successo. L’attacco è già completo da minuti o ore. Il danno è fatto. Inizia la gestione della crisi — spesso nel panico, senza un piano.

Con DRP attivoScenario alternativo

Con protezione Helpwebnet

Il comportamento anomalo viene rilevato al passo 1

ThreatDown rileva il processo PowerShell anomalo e blocca l’esecuzione prima della connessione C&C. Alert immediato. Zero file cifrati. Il dipendente viene avvisato e il dispositivo isolato in 60 secondi.

Come entra nella tua azienda

I 6 vettori più usati
per diffondere ransomware

Conoscere il punto di ingresso è fondamentale per bloccarlo. Il 91% degli attacchi parte da uno di questi sei vettori.

📧 ~45% degli attacchi

Phishing email con allegato malevolo

Fatture false, documenti da firmare, avvisi di spedizione. L’allegato contiene una macro o un exploit che esegue il payload al click dell’utente. Il vettore più diffuso — e il più efficace.

🖥️ ~20% degli attacchi

RDP esposto su internet

Il Remote Desktop Protocol aperto su internet senza VPN è un bersaglio di attacchi brute-force automatici 24/7. Una password debole è sufficiente per dare accesso diretto al server.

🔓 ~15% degli attacchi

Credenziali rubate o compromesse

Credenziali ottenute da leak precedenti, acquistate nel dark web o rubate con keylogger. Senza MFA, un account compromesso apre l’intera infrastruttura aziendale.

🌐 ~10% degli attacchi

Siti web e download malevoli

Download di software craccato, aggiornamenti falsi, siti web compromessi che sfruttano vulnerabilità del browser. Il dipendente scarica qualcosa credendolo legittimo.

⚙️ ~7% degli attacchi

Software non aggiornato

Vulnerabilità note in Windows, VPN, firewall o applicazioni senza patch recenti. Gli attaccanti scansionano automaticamente la rete alla ricerca di versioni vulnerabili note.

🤝 ~3% degli attacchi

Supply chain e fornitori compromessi

Il ransomware entra attraverso un fornitore di software o servizi IT compromesso. Aggiornamenti software legittimi che contengono payload malevoli nascosti.

Il costo reale che nessuno calcola prima

Pagare il riscatto è solo
la punta dell’iceberg

La maggior parte delle aziende sottostima il costo di un attacco ransomware calcolando solo il riscatto. Il danno reale è molto più ampio.

⏱️

Fermo operativo

Il tempo medio per ripristinare i sistemi dopo un ransomware è 22 giorni. Con 10 dipendenti a 200€/giorno, sono 44.000€ di costo fisso che gira a vuoto — solo di stipendi.

5–44k€ stimati

🔧

Ripristino dei sistemi

Reinstallazione di tutti i sistemi, recupero dati dai backup (se esistono e funzionano), acquisto di hardware sostitutivo, configurazione da zero di server e workstation.

3–20k€ stimati

⚖️

Obblighi legali GDPR

Se vengono esfiltrati dati personali di clienti o dipendenti, devi notificarlo al Garante Privacy entro 72 ore e potenzialmente a tutti gli interessati. Sanzioni fino al 4% del fatturato.

500–50k€ sanzioni

😤

Danno reputazionale

Clienti che perdono fiducia, contratti non rinnovati, perdita di gare d’appalto dove la sicurezza informatica è un requisito. Il danno reputazionale dura anni.

Difficile da quantificare

💰

Il riscatto stesso

Per le PMI italiane il riscatto medio richiesto è tra i 5.000 e i 50.000€. Pagare non garantisce il recupero dei dati — nel 40% dei casi i file rimangono inaccessibili anche dopo il pagamento.

5–50k€ richiesti

📋

Consulenze forensi e legali

Analisi forense per capire come è avvenuto l’attacco, assistenza legale per la gestione del data breach, eventuale comunicazione ai clienti. Costi spesso sottovalutati nella fase di emergenza.

2–10k€ stimati

Il costo totale medio di un attacco ransomware per una PMI italiana — sommando tutti i fattori e escludendo il riscatto — si stima tra i 15.000 e i 75.000 euro. Un sistema di protezione completo costa una frazione di questa cifra ogni anno.

€35k costo medio stimato

Sei sotto attacco adesso?

Se stai vedendo un messaggio di riscatto o i tuoi file sono diventati inaccessibili, ogni minuto conta. Segui questi passi nell’ordine — e chiamaci subito.

Stacca dalla rete immediatamente

Disconnetti il computer dalla rete aziendale (cavo ethernet e Wi-Fi). Non spegnere — lo spegnimento può cancellare prove forensi utili per il recupero.

Isola tutti gli altri dispositivi

Disconnetti dalla rete anche tutti gli altri computer, NAS e server dell’ufficio. Il ransomware si diffonde nella rete — isola prima che raggiunga i backup.

Non pagare il riscatto

Pagare non garantisce il recupero. Nel 40% dei casi i file rimangono inaccessibili. Il pagamento finanzia ulteriori attacchi e non risolve il problema di sicurezza alla radice.

Chiama un esperto di sicurezza

Non agire da solo — le decisioni sbagliate nelle prime ore possono rendere impossibile il recupero. Contatta subito un professionista per la gestione dell’incidente.

📞 Chiama adesso: 081-18181345 Prenota una consulenza urgente

Come non arrivare a quel punto

La prevenzione è l’unica
strategia che funziona davvero

Non esiste un modo di “guarire” da un ransomware senza danni. L’unica strategia efficace è non essere vulnerabili quando arriva.

✓ Misure tecniche fondamentali

✓
Protezione EDR AI-based su tutti gli endpoint Non solo antivirus — serve analisi comportamentale che blocchi anche i ransomware fileless. ThreatDown by Malwarebytes lo fa.
✓
Backup offsite verificato e testato Il backup DEVE essere separato dalla rete aziendale — il ransomware cifra anche i backup locali. E DEVE essere testato periodicamente.
✓
Autenticazione a due fattori (MFA) su tutti gli accessi VPN, email, gestionali cloud, RDP. Con MFA attivo, una credenziale rubata non basta per entrare.
✓
Patch management sistematico Aggiornamenti OS, firmware e software applicati entro 72 ore dalle patch critiche. NinjaOne RMM lo automatizza.
✓
Segmentazione della rete VLAN separate per server, workstation, dispositivi IoT. Limita la diffusione del ransomware in caso di infezione.
✓
RDP non esposto direttamente su internet Se serve l’accesso remoto, farlo sempre tramite VPN — mai con RDP diretto su internet.

👥 Misure organizzative imprescindibili

✓
Formazione anti-phishing per tutti i dipendenti Il fattore umano è il punto di ingresso nel 45% dei casi. Simulazioni di phishing reali misurano il livello di consapevolezza effettivo.
✓
Disaster Recovery Plan scritto e testato Senza un piano, la risposta all’incidente è caotica e costosa. Con un DRP, ogni persona sa cosa fare dai primi secondi.
✓
Principio del minimo privilegio Gli utenti accedono solo a quello di cui hanno bisogno. Limita i danni in caso di compromissione di un account.
✓
Monitoraggio attivo 24/7 degli endpoint Gli alert devono essere gestiti da qualcuno in tempo reale. Un sistema di monitoring senza qualcuno che risponde non serve a niente.
✓
Vulnerability Assessment periodico Ogni trimestre, identificare le nuove vulnerabilità prima che gli attaccanti le sfruttino. Le CVE critiche vengono pubblicate ogni settimana.

Domande frequenti

Quello che ci chiedono
sul ransomware

“Se pago il riscatto, recupero i file?”+

Non necessariamente. Nel 40% dei casi anche dopo il pagamento i file rimangono inaccessibili, la chiave di decrittazione non funziona o il decryptor è difettoso. Pagare finanzia i criminali e li incoraggia a colpire ancora. Inoltre, molte aziende che pagano vengono colpite nuovamente entro l’anno — i criminali sanno che sono disposti a pagare. La raccomandazione delle autorità (Polizia Postale, CISA, EUROPOL) è di non pagare.

“È possibile recuperare i file senza pagare?”+

Dipende dalla famiglia di ransomware. Per alcune varianti esistono decryptor gratuiti sviluppati dalle forze dell’ordine o dai ricercatori di sicurezza — il sito NoMoreRansom.org ne raccoglie molti. Se hai backup verificati e separati dalla rete, il ripristino è possibile senza pagare. Un esperto di incident response può valutare le opzioni disponibili nel tuo caso specifico.

“Devo denunciare l’attacco ransomware?”+

Sì, per due motivi. Primo: se il ransomware ha comportato l’esfiltrazione di dati personali (quasi sempre accade), hai l’obbligo di notifica al Garante Privacy entro 72 ore ai sensi del GDPR — il mancato adempimento comporta sanzioni. Secondo: la denuncia alla Polizia Postale aiuta le forze dell’ordine a tracciare i gruppi criminali e può essere necessaria per l’assicurazione. In ogni caso, valuta con un legale specializzato.

“L’assicurazione cyber copre gli attacchi ransomware?”+

Alcune polizze cyber includono la copertura del riscatto e dei costi di ripristino. I requisiti minimi di sicurezza richiesti dalle compagnie assicurative sono però aumentati significativamente — molte polizze ora richiedono esplicitamente MFA attivo, backup verificati, EDR installato e un piano di risposta agli incidenti. Senza queste misure, la polizza può essere invalidata in caso di sinistro.

“Quanto tempo ci vuole per ripristinare i sistemi dopo un attacco?”+

Il tempo medio di ripristino per una PMI senza un Disaster Recovery Plan è 18–22 giorni. Con un DRP scritto e testato, backup offsite verificati e un partner IT che interviene immediatamente, si scende a 4–8 ore per i sistemi critici. La differenza tra i due scenari non è tecnologica — è tutta nella preparazione preventiva.

Non aspettare che succeda

Proteggi la tua azienda
dal ransomware.
Prima che sia tardi.

Una call gratuita di 20 minuti per valutare la tua esposizione e capire cosa serve davvero per proteggere la tua azienda. Nessun pacchetto standard — solo soluzioni adatte alla tua realtà.

📅

Prenota la call gratuita

Valutiamo la tua esposizione insieme

🎯

Fai il Security Pitstop gratuito

5 minuti per sapere se sei a rischio

🔍

Richiedi un Audit completo

Analisi approfondita di tutta l’infrastruttura

Scrivici adesso

Ti rispondiamo entro 24 ore lavorative.

Prima consulenza gratuita · Helpwebnet Srls · 081-18181345