Protezione
Ransomware
Aziendale 24/7
Il ransomware non è una possibilità remota: è la minaccia più concreta per le aziende italiane oggi. Fortgale la rileva prima che colpisca, la contiene prima che si propaghi, la elimina prima che cifri.
L’Italia è nel mirino.
I dati non lasciano dubbi.
L’Italia è il quarto paese più colpito al mondo da ransomware, con 2.334 attacchi a settimana nel 2025. In particolare, Lombardia, Emilia-Romagna e Veneto concentrano il 55% delle vittime nazionali. Inoltre, il settore manifatturiero è il bersaglio principale, con attacchi aumentati del 61% rispetto all’anno precedente.
Perché il backup da solo non è sufficiente
Il backup non è sufficiente. I gruppi ransomware moderni come LockBit 3.0 e RansomHub attaccano i backup prima di cifrare i dati. Di conseguenza, la doppia estorsione — furto dati + cifratura — rende la semplice strategia di backup obsoleta. Pertanto, serve un SOC in grado di rilevare l’attacco nella fase di ricognizione, molto prima della cifratura.
Il ransomware non arriva di sorpresa.
Il SOC Fortgale lo intercetta prima.
Un attacco ransomware si sviluppa in fasi distinte nel corso di settimane. Ogni fase, tuttavia, lascia tracce rilevabili. Di conseguenza, il nostro SOC 24/7 monitora questi segnali in tempo reale.
Il ransomware non fa
discriminazioni di settore.
Ogni settore ha le sue vulnerabilità specifiche. Tuttavia, i dati italiani 2024-2025 mostrano una distribuzione degli attacchi che copre tutti i comparti economici, con una concentrazione nel manifatturiero e nei servizi professionali.
Fonte: Clusit, dati 2024-2025 · Elaborazione Fortgale Threat Intelligence
I gruppi ransomware
attivi contro le aziende italiane
Il SOC Fortgale monitora costantemente le infrastrutture e le campagne dei principali attori di minaccia attivi in Italia e in Europa. Infatti, conoscere l’avversario è il primo passo per difendersi.
Il gruppo ransomware più prolifico al mondo. Adotta il modello Ransomware-as-a-Service con centinaia di affiliati attivi. Inoltre, utilizza la crittografia intermittente per massimizzare la velocità di cifratura e minimizzare il rilevamento. È tuttora responsabile di numerosi attacchi ad aziende italiane in ogni settore.
Il gruppo cresciuto più rapidamente nel 2024-2025. Ha attratto molti affiliati di LockBit e BlackCat dopo le operazioni delle forze dell’ordine. Inoltre, adotta la tripla estorsione (cifratura + furto dati + DDoS) e ha colpito infrastrutture critiche in Europa con frequenza crescente.
Gruppo altamente selettivo, noto per non pubblicare dati fino a quando il riscatto non viene pagato o le trattative falliscono. Sfrutta vulnerabilità in ProxyNotShell e Fortinet. In particolare, colpisce prevalentemente aziende medie e grandi in Europa, con diversi casi italiani documentati.
Sfrutta prevalentemente credenziali VPN compromesse e vulnerabilità in Cisco ASA/FTD. Ha sviluppato, inoltre, una variante specifica per sistemi Linux/VMware ESXi. Noto per un’interfaccia di negoziazione ispirata all’estetica anni ’80, è attivo in modo crescente contro le PMI europee.
Considerato successore diretto del defunto Conti. Utilizza QakBot per la distribuzione iniziale e tecniche di living-off-the-land per la persistenza. Finora ha colpito più di 500 organizzazioni in tutto il mondo. Predilige, inoltre, aziende enterprise con fatturati superiori ai 100 milioni di euro.
Specializzato nello sfruttamento di vulnerabilità zero-day in software di trasferimento file aziendali (MOVEit, GoAnywhere, Accellion). Un singolo exploit, quindi, gli permette di colpire centinaia di organizzazioni simultaneamente attraverso i loro fornitori tecnologici. Per questo motivo, è richiesta attenzione massima per aziende con fornitori SaaS.
Pubblica un conto alla rovescia pubblico prima di rilasciare i dati delle vittime che non hanno pagato, aumentando la pressione psicologica. Ha conosciuto una forte crescita nel 2024-2025 colpendo enti pubblici, università e aziende del manifatturiero in tutta Europa, inclusa l’Italia.
Sviluppato in Go e Rust per massimizzare la portabilità cross-platform. Ha una variante specifica per VMware ESXi che cifra le macchine virtuali in pochi minuti. Particolarmente aggressivo contro il settore sanitario europeo, con attacchi documentati in Italia, UK e Paesi Bassi.
Si posiziona come gruppo “etico” che colpisce organizzazioni che “non rispettano la privacy dei propri dipendenti e clienti”. In realtà è uno dei gruppi più attivi contro le PMI europee nel 2024-2025. Utilizza tecniche di phishing e accessi RDP esposti come vettori principali di ingresso.
Successore del gruppo Hive, smantellato dall’FBI nel 2023. Ha ereditato parte del codice e degli affiliati. Si distingue per la priorità data alla sottrazione di dati rispetto alla cifratura, rendendo la difesa basata solo sul backup completamente inefficace. Richieste di riscatto spesso superiori al milione di euro.
Vende i dati delle vittime che non pagano tramite aste pubbliche sul dark web, massimizzando il danno reputazionale. Sfrutta campagne di phishing con documenti PDF malevoli. Particolarmente attivo contro enti governativi, ospedali e istituzioni educative in Europa meridionale.
Smantellato dall’FBI nel 2024, tuttavia molti affiliati si sono spostati verso RansomHub e altri gruppi. Ha introdotto la tripla estorsione (dati + cifratura + notifica regolatori). Pertanto, il suo codice sofisticato scritto in Rust rimane un riferimento tecnico per i nuovi gruppi emergenti. Monitorato attivamente da Fortgale CTI.
Il SOC Fortgale monitora questi gruppi in tempo reale.
Feed di intelligence proprietari su IOC, TTP e infrastrutture offensive attive contro organizzazioni europee.
Non fermiamo il ransomware
dopo la cifratura. Prima.
La risposta al ransomware non inizia quando i file sono già cifrati. Al contrario, inizia settimane prima, nel momento in cui l’attaccante si muove per la prima volta nella rete. Pertanto, il nostro SOC 24/7 lo rileva proprio in quella finestra critica.
Threat Intelligence proprietaria sui gruppi attivi
Monitoriamo le infrastrutture C2 dei principali gruppi ransomware attivi in Europa. In questo modo, quando un gruppo prepara una campagna contro aziende italiane, lo sappiamo prima che colpisca.
Rilevamento comportamentale pre-cifratura
Identifichiamo i segnali di movimento laterale, escalation dei privilegi ed esfiltrazione dati — in altre parole, le fasi che precedono la cifratura — grazie a regole di detection basate su MITRE ATT&CK.
Contenimento immediato H24
In caso di rilevamento, gli analisti SOC isolano immediatamente i sistemi compromessi dalla rete. In questo modo impediscono la propagazione, senza aspettare l’orario di ufficio.
Incident Response e supporto legale-normativo
Gestiamo l’intero processo post-incidente: analisi forense, eradicazione, ripristino sicuro e — se richiesto — supporto alla notifica ACN nei tempi NIS2. Inoltre, forniamo una relazione tecnica completa per la governance aziendale.
Analisti specializzati, non solo piattaforme
Sono gli analisti, non le dashboard, a difendere la tua rete.
Le piattaforme SIEM ed EDR generano migliaia di alert al giorno. Tuttavia, senza analisti esperti che le interpretano, sono solo rumore. Per questo motivo, il SOC Fortgale affianca la tecnologia con analisti specializzati sui threat actor attivi in Italia.
Conosciamo le TTP specifiche di LockBit, RansomHub e degli altri gruppi che colpiscono le aziende italiane. Di conseguenza, questa intelligence contestuale riduce drasticamente i falsi positivi e accelera il rilevamento reale.
Tre servizi. Una difesa
senza punti ciechi.
Il ransomware sfrutta le lacune tra strumenti e team. Per questo motivo, Fortgale offre una copertura integrata che copre endpoint, rete, cloud e identità — gestita da un unico SOC.
MDR — Rilevamento e Risposta Gestita
Monitoraggio continuo di endpoint, rete e cloud. In particolare, rileva i comportamenti tipici del pre-ransomware (movimento laterale, dumping credenziali) e risponde automaticamente o tramite analisti.
Scopri MDR →SOC — Security Operations Center
Analisti specializzati in servizio continuo. Interpretano gli alert, verificano i falsi positivi, escalation tempestiva e containment immediato in caso di incidente confermato.
Scopri il SOC →Cyber Threat Intelligence
Feed proprietari su IOC e TTP dei gruppi ransomware attivi in Europa. Inoltre, forniamo avvisi proattivi quando un gruppo inizia a preparare campagne contro il tuo settore o la tua area geografica.
Scopri CTI →Tutto quello che devi sapere
sulla protezione ransomware
Il ransomware è già
nella tua rete. Lo sai?
In media, gli attaccanti restano invisibili per 21 giorni prima di cifrare. Un assessment gratuito con il SOC Fortgale può rivelarti se c’è già qualcuno che si muove silenziosamente nella tua infrastruttura.
