Sul ransomware, il software malevolo che causa richieste di riscatto, sembra sempre si sia già detto tutto a cominciare dalle affermazioni ricorrenti percepite spesso come “meme-spauracchio”: “la minaccia cresce senza tregua”, “le aziende colpite denunciano poco e pagano molto e ripetutamente”, “i criminali sono sempre un passo avanti”.
Con questi refrain chi legge frettolosamente potrebbe pensare di sapere già tutto sull’argomento, senza la necessità di approfondire ulteriormente.
Peccato che la sola lettura di uno scenario aggiornato della minaccia ransomware non renda affatto più pronti a prevenire o a gestire un attacco che si materializza; anzi, passare oltre, contribuisce alla permanenza di un cronico stato d’impreparazione.
Ma se uscire da questo circuito perverso si deve, non è sempre chiaro a tutti come ci si possa riuscire.
Indice degli argomenti
Prioritizzare e proteggere il core business
Un metodo applicabile è quello di ripartire dalle pratiche standard di management, che insegnano come l’impegno e la dedizione dei leader di un’azienda incidano a cascata nella distribuzione delle azioni al resto dell’organizzazione. Azioni che in questo caso dovrebbero essere centrate su prevenzione e preparazione all’eventualità che il ransomware si presenti in tutta la sua violenta escalation.
Per avviare il processo di prevenzione è sempre necessario ripartire dalle priorità del core business aziendale. Quale che sia il fulcro delle attività istituzionali per una entità pubblica e commerciali per una entità privata, è necessario identificarlo e attuare un piano per proteggerlo sotto ogni condizione operativa, anche quella di emergenza e di crisi da evento incidente digitale.
Con questa impostazione l’accadimento di un ransomware rientra nel più ampio piano di preparazione agli incidenti di sicurezza, che a sua volta, rientra in un piano di continuità del business.
Affinché tutto questo funzioni per la resilienza aziendale è strettamente necessaria la capacità dei leader aziendali di guardare e comprendere il reale stato di preparazione della propria organizzazione, senza dare nulla per scontato o peggio, senza sovrastimare le capacità di risposta dei team tecnici.
Divario di vedute sulla prontezza agli eventi ransomware
È questo infatti, “uno dei principali problemi che emerge dall’indagine “State of Ransomware 2025” di Crowdstrike, effettuata su circa 1100 C-level internazionali ed europei fra giugno e luglio 2025”, spiega Luca Nilo Livrieri, senior director sales engineering di Crowdstrike Europe, secondo cui “nel 76% delle organizzazioni esiste un divario crescente tra la dirigenza e il team di sicurezza, per il modo in cui percepiscono la propria preparazione al ransomware. Il 54% dei membri del consiglio di amministrazione e dei dirigenti di alto livello ritiene che le proprie organizzazioni siano ‘molto preparate’ ad affrontare il ransomware, rispetto al 46% dei team di sicurezza. Tale discrepanza ostacola investimenti efficaci nella sicurezza perché per la dirigenza non vede motivi per procedere”.
Un ulteriore dato dell’indagine potrebbe essere utile a smuovere i decisori. “Il pagamento non offre alcuna rete di sicurezza”, chiarisce Livrieri, “visto che l’83% delle vittime che hanno pagato è stato nuovamente attaccato e il 93% ha comunque subito il furto dei dati con i backup rivelati inaffidabili per 4 organizzazioni su 10 che non sono riuscite a ripristinare completamente i dati persi”.
Impatti molteplici
I numeri sulle aziende attaccate, forniti da Livrieri fanno emergere che “su un 78% di aziende colpite da ransomware, solo il 22% di quelle che si consideravano molto ben preparate prima dell’attacco, ha recuperato entro 24 ore, mentre solo il 38% ha risolto il problema (falla) sfruttato dagli aggressori”.
E tutte le altre? sembra probabile che nelle aziende incapaci di risolvere e di chiudere la falla, si faccia ancora troppo poco in termini di prevenzione e protezione.
Livrieri sottolinea come “in presenza di attacchi ransomware è stato osservato un triplo costo degli impatti: un costo stimato di down time pari a 1.7 milion di dollari per incidente, danni collaterali legati alla reputazione, quelli legati alla violazione di normativa per l’eventuale irrogazione di multe oltre al danno dei dati rubati o esfiltrati”.
Quindi, l’inattività ha costi (da danni) significativamente maggiori dei potenziali e controllati investimenti legati alla predisposizione di protezioni preventive.
Pratiche basilari
Dopo aver individuato le aree critiche per il business e gli indicatori di disaster recovery, è altamente consigliabile verificare le politiche di backup e quelle relative al processo di gestione delle vulnerabilità per introdurre patch di sicurezza sulle vulnerabilità sfruttabili e legate ai processi aziendali critici, senza dimenticare di istituire i processi gestione incidente e quelli di gestione crisi e ripristino in emergenza.
“Sul fronte delle risorse umane”, suggerisce Livrieri “è sempre necessario intervenire con corsi di awareness, formazione e training”. Le persone, infatti, possono migliorare il comportamento atteso in caso di manipolazioni via mail, telefono o sms (phishing o vishing o smishing) che costituiscono sempre la porta d’ingresso preferenziale e l’avvio di una sequenza di attacco (kill chain).
Insieme a queste pratiche basilari, il manager suggerisce anche di “effettuare esercitazioni procedurali (table top exercise) delle crisi da ransomware” per verificare la capacità di reazione e risoluzione.
Le misure di base sono importanti per tre buone ragioni da tenere a mente: la prevenzione aumenta la resilienza; investire prima è meglio che pagare i danni dopo e la collaborazione fattiva fra C-level e operativi tecnici in azienda aiuta a non dover negoziare con i criminali un domani.
Il ruolo delle AI in attacco ma anche in difesa
Ad aggravare lo stato di salute già precario della generica organizzazione target di ransomware ci sono anche gli attacchi automatizzati dell’AI che incidono sull’impreparazione della risposta.
“Quasi il 50% delle organizzazioni teme di non riuscire a rilevare o rispondere con la stessa rapidità con cui agiscono gli attacchi” e circa “il 48% delle organizzazioni indica le catene d’attacco automatizzate dall’IA come la principale minaccia ransomware odierna”.
In questi frangenti, Luca Livrieri suggerisce di “usare le AI anche per la difesa, soprattutto adottando strumenti potenziati da AI, o meglio, agenti AI come fossero una forza lavoro specialistica. Ogni agente è specializzato per un tipo di task (es endopoint detection, gestione identità e cloud security) e tutti insieme sono utili anche nei casi di attacchi crossdomain”.
Se si ha il dubbio su come valutare l’efficacia di questo tipo di strumenti di difesa il manager suggerisce come “sia sempre necessario l’human-in-the-loop (ossia l’uomo nel ciclo di lavoro, ndr)” e in pratica “nelle interazioni con risposta verbale è opportuno chiedere giustificazioni per scongiurare eventuali allucinazioni o imprecisioni, mentre per gli agenti AI impiegati nei processi incidente, si potrebbero valutare metriche di verifica tra i successi e i falsi positivi o la misurazione di metriche come il Mean Time To Detect (Tempo medio di individuazione incidente – MTTD n.d.r.), e/o il Mean Time to Respond (Tempo Medio di Risposta – MTTR n.d.r.) che solitamente sono stimate per le AI, in 5 minuti per la detection e 10 minuti per l’investigazione”.
Prassi sulle catene di fornitura
Uno degli interventi più critici da affrontare riguarda sempre la protezione delle catene di fornitura dalla minaccia ransomware, perché gli avversari digitali spesso puntano ai soggetti più deboli di una catena, per entrare nel sistema di fiducia fra partner (nel sistema di trust) e aggirare i controlli puntando al soggetto più redditizio.
Il tema è stato affrontato durante il 5° Summit a Singapore (ottobre 2025) della Counter Ransomware Initiative che si è chiuso con l’adozione della “Guidance for Organisations to Build Supply Chain Resilience Against Ransomware” una guida per contrastare gli attacchi ransomware nelle catene di fornitura articolata in 4 passi base: comprendere perché la sicurezza della supply chain è importante, identificare i principali partner della supply chain e i loro livelli di accesso, sviluppare una strategia e un piano di implementazione per la sicurezza della supply chain e rivedere e perfezionare il proprio approccio.
