Anatomia di un attacco: dal varco invisibile al ricatto finale. Come nasce e cresce un ransomware

Dietro le quinte di un attacco ransomware

Immagina di arrivare in ufficio e trovare lo schermo nero. Nessun file, nessuna email, nessun gestionale: solo un messaggio in rosso che ti intima di pagare per riavere indietro la tua vita digitale. È così che comincia un attacco ransomware: silenzioso all'inizio, devastante quando esplode. Negli ultimi anni questo copione si è ripetuto in aziende, enti pubblici e infrastrutture strategiche, lasciando dietro di sé paralisi operative, perdite economiche e un senso di vulnerabilità diffuso.

Abbiamo assistito a una serie di attacchi clamorosi, capaci di compromettere gravemente aziende private, infrastrutture critiche e persino enti pubblici. Basti pensare al caso della Colonial Pipeline negli Stati Uniti: è bastato un singolo account VPN protetto solo da una password — senza autenticazione a più fattori — per consentire ai criminali informatici di infiltrarsi nella rete della principale infrastruttura di oleodotti della costa Est. L'attacco ha costretto l'azienda a sospendere per giorni la distribuzione di carburante, generando carenze e panico tra i consumatori.

Anche l'Italia non è stata risparmiata. Nel 2021 il gruppo alimentare San Carlo, noto produttore di snack, è finito nel mirino della gang Conti, che ha sottratto dati sensibili — inclusi documenti d'identità e fatture — usandoli come leva di ricatto. In questo caso, però, l'azienda è riuscita a contenere i danni e a evitare il pagamento del riscatto grazie a un sistema di backup efficace e all'intervento immediato del team IT.

Sempre nel 2021, un attacco di forte intensità ha colpito la Regione Lazio, violando l'account di un dipendente in smart working e sfruttando una vulnerabilità della VPN per bloccare servizi essenziali, tra cui il portale di prenotazione dei vaccini anti-Covid.

Episodi diversi, ma accomunati dallo stesso schema di base: dall'intrusione iniziale alla paralisi operativa, fino alle trattative finali. Storie che svelano cosa accade realmente dietro le quinte di un attacco ransomware.

Quando il nemico è già dentro: l'attacco inizia senza che tu lo sappia

In questa prima fase, tutto si gioca sulla scelta del bersaglio e sulla capacità di trovare un varco. I gruppi ransomware più organizzati non colpiscono a caso: analizzano con attenzione il profilo della vittima, valutando fatturato, settore di attività, tipologia e quantità di dati trattati, nonché la criticità dei servizi erogati. L'obiettivo è colpire dove l'impatto sarà maggiore, così da aumentare le probabilità di ottenere un riscatto elevato.

Una volta selezionato il target, comincia la ricerca del punto d'ingresso. Può essere una credenziale rubata sul dark web, una password debole mai cambiata, una vulnerabilità nota in un sistema non aggiornato o un dipendente tratto in inganno da una email di phishing. Qualunque sia il varco, una volta ottenuto l'accesso iniziale gli attaccanti agiscono con estrema cautela per non essere scoperti.

Da quel momento in poi, ogni azione è pianificata: esplorano la rete interna, osservano i movimenti degli utenti, raccolgono informazioni sui sistemi più importanti. È il preludio silenzioso a ciò che avverrà nelle ore o nei giorni o nelle settimane successive. In superficie, l'attività aziendale procede normalmente; dietro le quinte, però, il “gioco” è già cominciato.

Secondo diversi osservatori, come Check Point, nel 2025 sta emergendo una tendenza sempre più chiara: l'uso dell'intelligenza artificiale per rafforzare le capacità di attacco. Le gang di ransomware la utilizzano per analizzare in tempi rapidissimi i dati sottratti e individuare al loro interno gli asset di maggior valore, per affinare lo sviluppo di malware in grado di eludere i tradizionali sistemi di rilevamento, e persino per costruire campagne di ingegneria sociale più sofisticate. Email di phishing generate dall'AI, audio e video deepfake credibili e difficili da smascherare diventano così strumenti potenti per guadagnare fiducia, carpire informazioni e scalare privilegi all'interno delle organizzazioni. In altre parole, il nemico non solo è già dentro, ma oggi dispone anche di nuove armi digitali che lo rendono più veloce, invisibile e convincente che mai.

Movimento laterale e preparazione dell'attacco

Dopo l'infiltrazione iniziale, i cybercriminali tipicamente si muovono nell'ombra, esplorando con calma la rete interna dell'organizzazione. Questo passaggio, chiamato movimento laterale, permette loro di estendere il compromesso da un singolo PC o account iniziale a sistemi via via più critici. Gli aggressori cercano credenziali con privilegi più alti, mappano la struttura della rete e individuano i server chiave (database, file server, sistemi di backup, controller di dominio, ecc.).

Spesso questa fase può durare giorni o settimane, durante le quali gli intrusi raccolgono informazioni preziose: ad esempio dimensioni e fatturato dell'azienda, nominativi dei dirigenti e, soprattutto, dove risiedono i dati più sensibili. I gruppi di hacker operano ormai come vere aziende: il gruppo DarkSide (responsabile dell'attacco a Colonial Pipeline) aveva addirittura un help desk telefonico per trattare con le vittime e un modello di business Ransomware-as-a-Service con affiliati remunerati a percentuale.

Da qualche anno il codice di condotta non è più rispettato da tutti: in un contesto di “guerra cyber” numerose strutture sanitarie anche in Italia sono state attaccate, in Irlanda già nel 2021 l'intero sistema sanitario è stato paralizzato da un attacco di questo tipo. Vi sono gruppi di attaccanti che sono focalizzati su questi obiettivi.

In questa fase preparatoria, gli aggressori spesso disattivano o cancellano le copie di backup su disco che riescono a trovare, così da impedire un facile recupero dei sistemi dopo l'attacco. Tutto procede in sordina: per l'azienda vittima, in queste ore (o settimane) è “business as usual”, ma il peggio deve ancora arrivare. Inoltre gli aggressori si organizzano per garantire persistenza sui sistemi, predisponendo strumenti e nuove rotte di accesso alternativi, da utilizzare nel caso venissero bloccate quelle principali.

Il giorno in cui tutto si ferma: panico, paura… e ricatti

Quando tutto è pronto, gli attaccanti passano alla fase finale: lanciare il ransomware su larga scala. Di solito scelgono un momento strategico, ad esempio un weekend o un orario notturno, per ridurre le probabilità di un intervento immediato.

In un attimo, decine o centinaia di sistemi informatici vengono colpiti: i file ritenuti interessanti vengono trasferiti all'esterno e sui computer diventano all'improvviso illeggibili, bloccati da crittografia forte. Gli utenti scoprono di non riuscire più ad aprire documenti e database; molti terminali mostrano uno schermo nero con un messaggio inquietante. Si tratta della nota di riscatto, scritta direttamente dai criminali: spiega che i file sono stati criptati e fornisce istruzioni su come pagare per ottenere la chiave di decrittazione.

Il panico a questo punto è generale: l'azienda colpita vede interrotta la propria operatività dall'oggi al domani. Alla Regione Lazio, ad esempio, l'attacco ha mandato offline il Centro Elaborazione Dati regionale: per giorni i servizi digitali — dalle prenotazioni vaccinali ai portali istituzionali — sono rimasti bloccati, costringendo a rimandare attività amministrative e sanitarie. Nel frattempo, negli Stati Uniti, Colonial Pipeline sospendeva il pompaggio di carburante lungo 5.500 miglia di condutture, mentre il governo emanava deroghe d'emergenza per evitare carenze di benzina.

Ogni minuto è prezioso, e dietro le quinte le squadre di risposta agli incidenti lavorano freneticamente per capire quanto è estesa l'infezione, quali sistemi sono recuperabili e come comunicare l'accaduto al pubblico senza causare ulteriore allarme.

Resistere o pagare? Il dilemma (costoso) dopo un attacco ransomware

Mentre l'azienda cerca di riprendere il controllo, dall'altra parte i criminali attendono la risposta. In genere, nella nota di riscatto c'è un countdown (ad esempio 72 ore) entro cui pagare, pena la perdita definitiva dei dati o la pubblicazione degli stessi.

A questo punto le vittime si trovano davanti a un dilemma difficile: pagare i criminali, oppure resistere e tentare di ripristinare i sistemi autonomamente.

Pagare può sembrare l'unica via per riprendere rapidamente le attività, soprattutto se gli stop produttivi stanno causando perdite ingenti. È quanto avvenne a Colonial Pipeline, che decise di versare circa 75 bitcoin (quasi 5 milioni di dollari) poche ore dopo l'attacco, nella speranza di ottenere il decryptor e riavviare i sistemi.

Quasi sempre, però, nemmeno pagare garantisce un recupero immediato: i tool di decrittazione forniti dai criminali possono essere lenti o inefficaci, e in ogni caso l'azienda deve ancora verificare e ripulire ogni macchina infetta. Senza contare che finanziare queste gang alimenta il loro modello di business illecito.

Molte organizzazioni, invece, scelgono di non pagare, soprattutto se hanno preparato un piano di disaster recovery. La Regione Lazio, supportata dalla Polizia Postale e da esperti internazionali, ha rifiutato di cedere al ricatto (si vociferava una richiesta di circa 5 milioni di euro) e ha ripristinato i dati da un backup integro.

Anche San Carlo, come accennato, è riuscita a cavarsela senza pagare: l'azienda disponeva di backup efficaci e, appena individuata l'anomalia, ha isolato i sistemi colpiti evitando il blocco totale della produzione.

Poi un caso recentissimo, ad agosto scorso: l'attacco informatico di ampia portata ha bloccato per settimane la produzione di Jaguar Land Rover, mettendo in crisi non solo gli stabilimenti dell'azienda britannica ma centinaia di fornitori collegati in modalità just-in-time. La casa madre ha scelto di spegnere proattivamente sistemi e linee produttive per contenere la diffusione, con conseguenze immediate sul personale e con primi licenziamenti o sospensioni già segnalati in aziende della catena di fornitura; il governo ha definito l'impatto “significativo” per l'intero distretto industriale. Dopo circa sei settimane di fermo, la produzione ha iniziato a ripartire progressivamente, ma lo shock ha già rivelato la fragilità delle catene produttive moderne e l'effetto a catena che un singolo incidente può determinare su migliaia di posti di lavoro e sull'economia regionale.

Ogni caso è diverso: alcune aziende, impossibilitate a sostenere lunghi fermi produttivi, pagano; altre si affidano alle autorità, sperando di recuperare parte del riscatto. In tutti i casi, l'attacco lascia dietro di sé strascichi pesanti: sistemi da ricostruire, indagini legali e forensi, danni economici diretti e indiretti e, non ultimo, un enorme stress reputazionale.

Le mosse da fare oggi, per non piangere domani

I retroscena di un attacco ransomware insegnano una lezione chiara: è meglio prevenire che curare. Una volta che i file sono stati cifrati e i sistemi bloccati, le opzioni rimaste sono tutte dolorose. È quindi fondamentale dotarsi in anticipo di solide misure di sicurezza per arginare la minaccia.

Quattro pilastri della difesa preventiva:

• Backup regolari e isolati - Conservare copie di backup aggiornate offline o in sistemi separati dalla rete principale. Così, anche se i criminali cancellano o cifrano i backup online, sarà possibile ripristinare i dati. È ciò che ha permesso a San Carlo di tornare operativa senza pagare alcun riscatto.
• Accessi remoti protetti - Molti attacchi iniziano da servizi esposti su internet con password deboli o senza ulteriori controlli. L'autenticazione multi-fattore (MFA) per VPN, desktop remoti e account amministrativi è ormai imprescindibile.
• Aggiornamenti e patch - Mantenere sistemi, software e dispositivi di rete sempre aggiornati chiude falle che i ransomware possono sfruttare. Molti attacchi recenti si sono basati su vulnerabilità note ma mai corrette.
• Formazione e simulazioni - Creare consapevolezza tra i dipendenti è la prima linea di difesa: riconoscere un'email di phishing può impedire un intero attacco. Simulazioni periodiche di disaster recovery aiutano a testare procedure e ridurre i tempi di reazione.

Anche con le migliori difese, il rischio zero non esiste. Per questo, accanto ai quattro pilastri della prevenzione, è indispensabile prevedere un piano di gestione degli incidenti e delle crisi. Essere preparati a reagire in modo rapido e coordinato può fare la differenza tra un danno contenuto e un disastro di lunga durata.

Domande chiave da porsi:

• Esiste una catena di comunicazione interna in caso di incidente?
• Chi ha la responsabilità operativa della gestione della crisi?
• L'attacco può avere impatti anche sulla sicurezza fisica (ad esempio in ambito industriale)?
• È necessario notificare l'accaduto alle autorità? La direttiva NIS2 impone la segnalazione entro 24 ore, mentre il GDPR richiede di informare il Garante entro 72 ore in caso di violazioni di dati personali.
• Quali sono le priorità per il ripristino? Come garantire un ambiente “asettico” da cui ripartire in sicurezza?
• Come e quando informare gli interessati e i clienti?
• I fornitori critici vanno coinvolti immediatamente: chi e con quali modalità?
• Sono state previste attività di indagine forense per capire cosa è accaduto e impedire che si ripeta?

La nuova normativa NIS2 (così come già il GDPR) mette proprio al centro la capacità di risposta, trasparenza e tempestività di comunicazione. Perché, quando un attacco va a segno, non conta solo come è avvenuto: conta soprattutto come si reagisce.

Preparazione, tecnologie adeguate e prontezza nella risposta possono trasformare un incidente potenzialmente catastrofico in un evento gestibile. In cybersicurezza, il momento migliore per agire è sempre prima.