Perché è un incidente da gestire subito
Il ransomware non colpisce solo i file: può bloccare servizi, cifrare backup accessibili, rubare credenziali e diffondersi nella rete interna. La priorità non è “sbloccare tutto”, ma contenere l’impatto, preservare le prove e ripartire da copie sane.
Se noti estensioni insolite sui file, note di riscatto, accessi anomali o macchine lente con attività disco elevata, trattalo come un incidente in corso.
Segnali da controllare
- File rinominati o cifrati con estensioni sconosciute.
- Presenza di note HTML, TXT o PNG con richieste di pagamento.
- Servizi che si fermano, share di rete non accessibili o backup alterati.
- Account amministrativi usati fuori orario o da IP non riconosciuti.
- Antivirus o EDR disattivati senza una modifica autorizzata.
Cosa fare subito
- Isola i sistemi coinvolti: scollega la rete dei PC/server sospetti o disattiva la porta switch/VPN se necessario, per fermare la propagazione.
- Blocca gli account a rischio: cambia password, revoca sessioni attive e disabilita temporaneamente gli account amministrativi non essenziali.
- Metti al sicuro i backup: verifica che i backup offline o immutabili non siano raggiungibili dal sistema compromesso.
- Salva le evidenze: annota orari, host, nomi file, IP e messaggi di riscatto; non cancellare nulla prima di aver raccolto le informazioni minime.
- Ripristina solo da copie pulite: usa backup verificati, avviando prima test su un ambiente isolato se possibile.
Verifiche utili dopo il contenimento
- Controlla log di accesso, eventi di sicurezza e processi avviati di recente.
- Verifica se ci sono stati accessi via RDP, SSH, VPN o pannelli web da indirizzi insoliti.
- Confronta l’integrità dei file critici con una baseline nota o con backup precedenti.
- Assicurati che patch, MFA e policy password siano attive prima di rimettere online i servizi.
Prevenzione pratica per ridurre il rischio
- Backup 3-2-1, con almeno una copia offline o immutabile.
- MFA su email, VPN, pannelli di hosting, cloud e account amministrativi.
- Principio del minimo privilegio: niente account condivisi e niente admin permanenti se non indispensabili.
- Aggiornamenti regolari di sistemi, CMS, plugin, hypervisor e software esposto a Internet.
- Monitoraggio centralizzato di log, alert e tentativi di accesso anomali.
La scelta più sicura non è pagare in fretta, ma fermare la diffusione, verificare la portata dell’incidente e ripristinare da backup affidabili.
Quando serve un ripristino completo
Se il malware ha toccato più host, ha compromesso account privilegiati o ha raggiunto i repository di backup, valuta un ripristino pulito dell’infrastruttura: reinstallazione dei sistemi, rotazione delle credenziali e verifica forense prima della rimessa in produzione.
In questi casi è importante distinguere tra ripristino dei dati e bonifica del sistema: recuperare i file non basta se l’ambiente resta compromesso.
Commenti (0)
Nessun commento ancora.
Segnala contenuto
Elimina commento
Eliminare definitivamente questo commento?
L'azione non si può annullare.