Isolare, non spegnere
Scollegare i sistemi colpiti dalla rete (cavo, Wi-Fi, segmentazione) senza spegnerli: la memoria volatile contiene evidenze sull'attaccante e su cosa è stato toccato.
Un'azienda colpita ha poco tempo e decisioni irreversibili da prendere. La regola d'oro: isolare senza spegnere, non pagare d'impulso, attivare l'incident response. Il SOC italiano Fortgale affianca la gestione 24·7·365, dal contenimento alle notifiche.
Le azioni che riducono il danno e preservano le evidenze necessarie a capire cosa è successo e cosa è stato esfiltrato.
Scollegare i sistemi colpiti dalla rete (cavo, Wi-Fi, segmentazione) senza spegnerli: la memoria volatile contiene evidenze sull'attaccante e su cosa è stato toccato.
Chiamare il team IR: contenimento, eradicazione, ricostruzione della catena d'attacco. Il SOC italiano Fortgale è operativo 24·7·365, contenimento mediano <30 min.
Verificare i backup integri e isolati prima di considerare qualsiasi pagamento. Spesso esiste già un decryptor gratuito (No More Ransom). Pagare non garantisce dati né silenzio.
Il pagamento non garantisce il recupero, non garantisce la cancellazione delle copie esfiltrate, finanzia l'ecosistema criminale e può esporre a violazioni. Prima di tutto: backup, decryptor, incident response.
Un ransomware con esfiltrazione di dati personali fa scattare entrambe le notifiche. Sono procedure diverse, con autorità e tempi diversi.
Per i soggetti essenziali e importanti: preavviso 24 ore, notifica 72 ore, relazione finale 30 giorni. Vedi notifica incidente NIS2 e CSIRT Italia.
Se sono coinvolti dati personali: notifica entro 72 ore (art. 33) e comunicazione agli interessati se il rischio è elevato. Vedi notifica data breach al Garante.
Determinare quali dati sono stati realmente esfiltrati e raccogliere le evidenze richieste dalle notifiche: il lato tecnico della digital forensics nell'incident response.
Nell'Operation Storming Tide il team Fortgale ha contenuto un'intrusione multi-stadio (attore Mora_001, catena Matanbuchus 3.0 → Astarion → SystemBC): esfiltrazione RClone e ransomware prevenuti dal contenimento.
Leggi l'analisi →Pagare non garantisce il recupero dei dati né la cancellazione delle copie esfiltrate, finanzia il gruppo criminale e può configurare violazioni. Prima: isolare, valutare i backup, attivare l'incident response. A volte il decryptor è già disponibile gratis su No More Ransom.
No. Si isolano dalla rete senza spegnerli: spegnere distrugge le evidenze in memoria (RAM) che servono a ricostruire l'attacco e a capire quali dati sono stati esfiltrati.
Spesso sì, con backup integri e isolati o con un decryptor gratuito quando esiste. Il team IR verifica prima che gli attaccanti siano stati eradicati, per evitare la re-cifratura dopo il ripristino.
Il team IR Fortgale è operativo 24·7·365 con SOC italiano: affiancamento immediato dalla chiamata, contenimento mediano <30 min, supporto alla notifica CSIRT e alla raccolta evidenze per il Garante.
Questa pagina spiega cosa fare. I due passi operativi: attivare l'intervento se l'attacco è in corso, costruire il presidio perché non si ripeta.
Hotline IR 24·7·365: risposta operativa in 30 min, containment mediano <30 min, supporto alla notifica CSIRT entro 24 ore NIS2.
Attiva l'Emergenza →Il SOC italiano intercetta l'attaccante nelle prime quattro fasi, nei 21 giorni di dwell time, prima che tocchi dati o backup.
Scopri la protezione →Monitoraggio, triage e risposta continui sui gruppi ransomware attivi contro l'Italia. Il presidio che rende raro l'incidente.
Scopri il SOC →Come funziona il ransomware → · Gruppi ransomware tracciati →
Se l'attacco è in corso, chiamate la hotline IR. Se volete prepararvi, parlate con i nostri analisti: contenimento, runbook e supporto alle notifiche, con un SOC italiano sul vostro fuso orario.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.