Quando un ransomware colpisce, il tempo smette di essere una variabile tecnica e diventa il fattore decisivo tra un incidente gestibile e la paralisi totale di un sistema. File criptati, schermi bloccati e richieste di riscatto in criptovaluta segnano l’inizio di una crisi che, se mal gestita nei primi minuti, può espandersi rapidamente a tutta la rete aziendale.

Il primo gesto non è informatico, ma fisico: staccare la rete. Il dispositivo compromesso va immediatamente disconnesso da Internet e dalla rete locale. Wi-Fi e Bluetooth devono essere spenti, e ogni connessione remota sospesa.

In ambienti aziendali, la priorità diventa impedire la propagazione laterale: server, NAS e sistemi condivisi vanno isolati senza esitazioni. È il momento in cui ogni secondo perso può significare decine di nuovi file cifrati.

Fermare l’effetto domino

Molti attacchi ransomware moderni non colpiscono un solo dispositivo, ma si muovono silenziosamente nella rete. Per questo è fondamentale disattivare immediatamente VPN, accessi remoti e strumenti di controllo come RDP o software di assistenza.

Se possibile, si procede alla segmentazione d’emergenza della rete o allo spegnimento controllato delle aree sospette. L’obiettivo è uno solo: contenere il danno prima che si espanda.

Attivare la catena di risposta

Una volta contenuta la diffusione iniziale, si attiva la struttura di gestione dell’incidente. IT interno, consulenti esterni e responsabili della sicurezza devono essere coinvolti senza ritardi.

Nei casi aziendali entra in gioco anche la componente normativa: privacy officer e GDPR manager devono essere informati subito, perché un ransomware può implicare anche una violazione di dati personali.

 Non cancellare nulla: le prove sono fondamentali

In questa fase è essenziale resistere all’istinto di “ripulire” tutto. I file cifrati, i messaggi di riscatto e i log di sistema rappresentano prove cruciali per capire l’attacco.

Screenshot, registrazioni e annotazioni temporali diventano materiale fondamentale per analisi forense e per eventuali denunce alla Polizia Postale.

 Gli errori che peggiorano tutto

Gli esperti sono concordi: nei primi momenti dell’attacco, alcuni comportamenti possono aggravare la situazione in modo irreversibile.

Tra questi:

• riavviare i sistemi senza strategia
• collegare dispositivi “per verificare”
• cancellare file sospetti
• tentare ripristini improvvisati
• pagare immediatamente il riscatto

Ogni azione non coordinata può compromettere il contenimento o distruggere tracce utili all’indagine.

Le ore successive: capire cosa è successo

Una volta stabilizzato lo scenario, si entra nella fase di analisi. Qui si cerca di rispondere alla domanda chiave: come è entrato l’attaccante?

Le cause più frequenti restano phishing email, credenziali rubate e vulnerabilità non aggiornate. In molti casi, gli attaccanti rimangono silenti nel sistema per giorni prima di attivare la cifratura.

Parallelamente si verifica se i dati sono stati anche sottratti, un’evoluzione sempre più comune degli attacchi moderni.

Il recupero: solo da fonti sicure

Quando si passa al ripristino, una regola domina tutte le altre: i backup devono essere puliti e isolati.

Il recupero dei dati avviene esclusivamente da copie non compromesse, seguite da una reinstallazione completa dei sistemi colpiti. Password e accessi vengono azzerati, mentre l’autenticazione a più fattori diventa obbligatoria.

Dopo l’attacco: tra legge e comunicazione

Se sono coinvolti dati personali, scattano obblighi precisi verso il Garante della Privacy e la Polizia Postale. In parallelo, le aziende devono gestire la comunicazione esterna con attenzione: trasparenza sì, ma senza esporre vulnerabilità o dettagli tecnici sensibili.

Il pagamento del riscatto resta uno dei temi più controversi. Le autorità e gli esperti di sicurezza sconsigliano quasi sempre questa scelta: non garantisce il recupero dei dati e alimenta il ciclo degli attacchi.