L'email sembrava del tutto normale. Un fornitore che sollecitava una fattura insoluta. Jenna, addetta alla contabilità fornitori, ha cliccato «Visualizza documento» senza pensarci. Nel giro di pochi minuti i nomi dei file su tutta la rete si sono trasformati in richieste di riscatto. Le linee di produzione si sono fermate. Il supporto clienti è andato offline. Tre giorni dopo, l'azienda ha bonificato 3,7 milioni di dollari in Bitcoin solo per avere in mano una chiave di decrittazione che, per giunta, funzionava a metà.
Storie così ne capitano ogni settimana. Agli attaccanti ransomware non servono trucchi tecnici sofisticati. Basta un dipendente in una mattinata frenetica. Il danno va ben oltre il riscatto: fatturato perso, sanzioni, danno reputazionale e il costo nascosto di ricostruire la fiducia con clienti che, nel frattempo, si chiedono se restare o no.
Ransomware 101: conosci il nemico
Ransomware è il termine ombrello per software malevolo che cifra o blocca l'accesso ai tuoi sistemi finché non viene pagato. L'ecosistema alle spalle è ormai un'industria professionalizzata. Il crypto ransomware cifra i file con crittografia robusta; alle vittime serve la chiave dell'attaccante per tornare in piedi. Famiglie note sono LockBit, BlackCat e Royal.
Il locker ransomware va più di forza e blocca l'intero sistema, impedendo l'accesso al desktop e alle applicazioni. In azienda è meno frequente, ma ricompare negli attacchi mirati su certi settori.
Il modello di business dominante nel 2025 è il Ransomware-as-a-Service. Gli affiliati noleggiano kit di ransomware dagli sviluppatori, che incassano una quota su ogni riscatto andato a buon fine. Ha abbassato la soglia d'ingresso e generato le campagne di doppia e tripla estorsione che vediamo ormai con regolarità, dove gli attaccanti minacciano di leakare dati, molestare i clienti o saturare l'infrastruttura con un DDoS se la vittima si rifiuta di pagare. Il clic è solo l'inizio della scena.
Anatomia di un attacco ransomware moderno
I gruppi ransomware seguono una sequenza ben rodata. Conoscere ogni fase è ciò che ti permette di piazzare i controlli proprio dove faranno saltare davvero l'attacco.
- 1
Accesso iniziale
Email di phishing, allegati malevoli, siti compromessi o credenziali rubate. Agli attaccanti basta un clic o una password leakata. - 2
Piede dentro ed escalation dei privilegi
Gli attaccanti rilasciano loader, sfruttano strumenti legittimi (PowerShell, PsExec) ed elevano i privilegi per muoversi lateralmente nella rete. I periodi di latenza possono durare settimane. - 3
Ricognizione e furto di dati
Mappano la tua rete, individuano i backup ed esfiltrano in silenzio file sensibili. La doppia estorsione comincia qui, prima di qualsiasi cifratura. - 4
La cifratura
I payload partono in parallelo su endpoint, server e backup. Quando scattano gli alert, il danno è ormai fatto. - 5
Trattativa e ripristino
Le note di riscatto chiedono il pagamento. Le vittime si affannano a ripristinare i sistemi, ingaggiare negoziatori e informare gli stakeholder.
Il costo vero, oltre il riscatto
Pagare il riscatto è solo una parte del danno finanziario. Il report «Cost of a Data Breach» 2025 di IBM stima il totale medio in 5,02 milioni di dollari, prima ancora che entrino in scena sanzioni regolatorie o cause. Il riscatto in sé ha una mediana intorno a 1,54 milioni di dollari (Coveware Q2 2025), e questo prima di aggiungere commissioni cripto, consulenza legale, negoziatori e credit monitoring.
La seconda voce più pesante è il fermo operativo. Un blocco di 15 giorni è la norma. Si traduce in fatturato perso, SLA mancati, straordinari e spedizioni in ritardo. Nella manifattura e nella logistica, una settimana di fermo può costare più del riscatto.
Le sanzioni regolatorie (GDPR, CCPA e simili) possono arrivare al 4 % del fatturato annuo. Gli obblighi di notifica richiamano l'attenzione delle autorità e un'ondata di cause. Restano poi i costi di ricostruzione (reimage dei dispositivi, aggiornamento del tooling, retainer IR), in media sui 750.000 dollari. E poi c'è la reputazione. I clienti esitano, i partner rinegoziano, i dipendenti perdono fiducia. Quel danno resta a lungo dopo che i sistemi sono tornati online.
Perché le aziende pagano comunque
Nonostante l'FBI sconsigli di pagare, molte organizzazioni sentono di non avere scelta. Gli attaccanti fanno leva su tre realtà di business.
La prima sono i backup mai testati. I backup air-gapped non servono se non sono mai stati provati, e gli attaccanti colpiscono per primi i repository di backup proprio per toglierti il salvagente. Quando il ripristino è incerto e il fermo costa caro, i conti tendono a pendere verso il riscatto.
La seconda è la pressione degli SLA. Le società quotate e le infrastrutture critiche non possono permettersi fermi lunghi. Pagare può sembrare più conveniente di settimane di fatturato perso ed esposizione regolatoria, anche quando il consiglio sa benissimo che non è la cosa giusta da fare.
La terza è l'estorsione di dati. Se gli attaccanti minacciano di far trapelare dati sensibili o anagrafiche clienti, pagare può essere l'unica via per evitare una catastrofe reputazionale. La prevenzione costa molto meno che ritrovarsi a negoziare da una di queste posizioni.
La prevenzione che funziona davvero
Di checklist ce ne sono ovunque, ma non tutti i controlli hanno lo stesso impatto. Tre pratiche portano la gran parte della riduzione del rischio nella maggior parte delle organizzazioni.
Isolare la navigazione ad alto rischio. I team finance, HR, vendor management e security dovrebbero esaminare i contenuti esterni dentro un browser isolato. Anche se un link di phishing si porta dietro un ransomware, la detonazione avviene nel cloud e non sulle macchine di produzione. Già solo questa scelta taglia il canale di consegna più comune del ransomware moderno.
Segmentare e monitorare la rete. Il movimento laterale non deve mai essere facile. Segmentazione basata sull'identità, accessi a privilegio minimo e analytics comportamentali intercettano le attività di cifratura anomale in tempo utile. Qui si parla meno di prevenzione e più di contenimento, ed è proprio il contenimento a trasformare un incidente a sei cifre in uno che non sfora i sei milioni.
Allenare i backup come si fa con un'esercitazione antincendio. Testa i ripristini ogni trimestre. Tieni più backup offline e immutabili. Documenta i tempi di ripristino, così la dirigenza capisce cosa significano davvero «15 giorni» prima di doversi giocare la decisione sul riscatto sotto pressione.
Il problema dei link non verificati
I dipendenti ricevono link sconosciuti in continuazione. Fatture sospette, portali di contratti, notifiche di spedizione. Dire loro di non cliccare mai non è realistico: il lavoro lo richiede. Dai loro piuttosto un modo sicuro per ispezionare i contenuti.
Il flusso con un browser isolato è lineare. Apri il link dentro una sessione browser.lol, così nulla tocca la macchina locale. Registra video o screenshot come prova senza rischiare un'infezione. Se il sito chiede un download, apri prima il file nell'ambiente isolato. Chiudi la sessione e browser.lol distrugge il container portandosi via malware, cookie e tracker. L'intero ciclo dura un minuto o due, abbastanza poco perché le persone lo facciano davvero.
L'essenziale dell'incident response
La preparazione fa la differenza tra un incidente contenuto e una crisi che si trascina. Se il ransomware passa, muoviti rapido e con metodo.
Le mosse immediate: scollegare dalla rete le macchine infette, attivare il tuo partner di incident response e la consulenza legale, conservare log ed evidenze forensi prima di qualunque reimage. Fare reimage troppo presto distrugge le prove che ti serviranno per l'assicurazione e per le autorità.
Il piano di comunicazione è altrettanto importante. Avvisa dirigenza e stakeholder critici nel giro di pochi minuti. Tieni pronti messaggi già approvati per dipendenti, clienti e regolatori. Documenta ogni decisione, perché autorità e assicuratori faranno domande. Un incidente senza appunti puliti diventa molto più difficile da chiudere.
Un piano d'azione in 21 giorni
Se stai costruendo un programma di resilienza da zero, uno sprint per fasi batte ogni volta un rollout in big bang.
Giorni 1-7: visibilità
Esamina gli incidenti di phishing dell'ultimo trimestre e quantifica il fermo per evento. Sentite finance, HR e support per mettere nero su bianco i workflow esterni più rischiosi. Distribuisci scorciatoie browser.lol nei client email e nelle app di chat per i team ad alto rischio.
Giorni 8-14: contenimento
Rendi obbligatoria l'isolation per tutte le approvazioni fatture, i login ai portali fornitori e la threat research. Aggiorna le policy EDR perché segnalino quando un download sospetto avviene fuori dall'isolation. Simula un tentativo di ransomware a tema fattura per mettere alla prova il nuovo workflow sotto una pressione leggera.
Giorni 15-21: estensione
Integra le metriche di isolation nelle scorecard della dirigenza e nei report al board. Forma i team di seconda linea (legale, procurement, marketing) sui default di navigazione sicura. Rivedi i requisiti della tua cyber insurance, dei workflow di isolation documentati spesso abbassano i premi in modo sensibile.
richiesta di riscatto mediana, Q2 2025 (Coveware)
fermo operativo medio dopo un incidente ransomware
degli incidenti ransomware parte da una sessione di browser
Un clic non deve per forza diventare una crisi
Il ransomware vive della natura umana. Curiosità, fretta, fiducia. Le tue difese devono accogliere questa realtà, non combatterla. Metti in mano al team strumenti in cui il comportamento sicuro è il default: browser isolati per i contenuti a rischio, backup provati e un piano di risposta che parte da solo, senza bisogno di discussioni.
Quando arriverà la prossima email sospetta, i dipendenti non dovranno tirare a sorte. Avranno un pulsante «Apri in sicurezza» che instrada la minaccia direttamente nel contenimento. La differenza tra uno spavento e uno shutdown si misura in quanto ti sei preparato prima che il clic arrivasse.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
