L'azienda è una PMI manifatturiera campana, una trentina di dipendenti, infrastruttura mista (server on-premise, alcuni servizi su Microsoft 365). Cliente di TLinformatica da circa tre anni, con servizio di backup gestito ma — fino a quel momento — non ancora aggiornata al servizio completo di sicurezza gestita con EDR.
Per ragioni di riservatezza, alcuni dettagli identificativi sono stati modificati o omessi. La sequenza degli eventi e le decisioni tecniche sono fedeli.
Il primo segnale
La chiamata arriva un martedì mattina alle 8:30. Il responsabile IT del cliente — figura interna che si occupa del primo livello — segnala che diverse cartelle condivise sui server di rete mostrano file con estensioni anomale, e l'ERP non riesce ad aprire i dati. Un giro veloce delle macchine rivela il quadro: ransomware in corso di propagazione, criptazione iniziata probabilmente durante la notte.
Le prime 4 ore: contenimento
La priorità non è capire come è entrato. La priorità è fermare la diffusione. In ordine: spegnimento immediato di tutti i sistemi compromessi e di quelli ancora attivi sulla stessa rete, disconnessione fisica dei server dal resto della rete aziendale, blocco dell'accesso VPN dall'esterno. Comunicazione al management — quindici minuti di chiamata in cui spiego cosa sta succedendo, cosa stiamo facendo, e che NON pagheremo il riscatto.
Questa è la decisione più importante e va presa subito. Pagare un ransomware è raramente la scelta giusta: non garantisce il recupero dei dati, finanzia il crimine organizzato, identifica l'azienda come un target disposto a pagare per futuri attacchi.
Ore 4-24: analisi e pianificazione
Una volta contenuto il problema, si passa alla mappatura del danno e alla pianificazione del ripristino. Sui sistemi compromessi: 18 server (compresi 2 fisici), 25 workstation, una NAS. I backup — verificati immediatamente — risultano integri: TLinformatica aveva configurato backup ridondanti su storage geografico separato, isolati dalla rete operativa proprio per questo scenario.
Il piano di ripristino prevede: nuovo dominio Active Directory pulito, ricostruzione progressiva dei server dai backup più recenti puliti (4 giorni prima dell'attacco — accettabile per il cliente), reimaging delle workstation, ripristino dei dati ERP da backup di domenica notte, dichiarazione al Garante della Privacy nei termini di legge per il data breach.
Ore 24-72: ripristino
Tre giorni di lavoro continuo. I server vengono ricostruiti in ambiente isolato e testati prima di essere reintrodotti in rete. Le workstation vengono reinstallate da zero — non si fida mai una macchina che è stata in una rete compromessa.
Il quarto giorno l'azienda riapre con piena operatività. Dati persi: circa 18 ore di lavoro (dal sabato pomeriggio alla domenica notte). Costo dell'incidente: significativo, ma una frazione di quello che sarebbe stato pagare il riscatto + i danni successivi.
Cosa è andato bene
I backup. Senza di loro, sarebbe stato impossibile. Erano automatici, ridondanti, geograficamente separati, e — fondamentale — isolati dalla rete operativa così che il ransomware non potesse raggiungerli e cifrarli.
La comunicazione. Il management ha avuto aggiornamenti ogni 4 ore. Sapere cosa sta succedendo riduce il panico e permette decisioni razionali.
La decisione di non pagare. Confermata anche a posteriori: il gruppo dietro l'attacco era noto per consegnare chiavi parziali o non funzionanti anche dopo il pagamento.
Cosa abbiamo cambiato dopo
Tutti i sistemi del cliente sono stati immediatamente migrati al servizio completo di sicurezza gestita: Bitdefender GravityZone con EDR, monitoraggio h24, segmentazione di rete più stringente, MFA obbligatoria su tutti gli account amministrativi. Il piano di disaster recovery è stato formalizzato in un documento operativo, con simulazioni di ripristino trimestrali.
Un incidente di sicurezza non è mai positivo. Ma quando capita e si esce indenni, è anche un'opportunità per consolidare l'infrastruttura su un livello superiore.