Guida d'emergenza · Ransomware · IR 24·7·365

Attacco ransomware: cosa fare nei primi minuti.

Un'azienda colpita ha poco tempo e decisioni irreversibili da prendere. La regola d'oro: isolare senza spegnere, non pagare d'impulso, attivare l'incident response. Il SOC italiano Fortgale affianca la gestione 24·7·365, dal contenimento alle notifiche.

Non pagareIl riscatto non garantisce nulla
Isola, non spegniLa RAM è evidenza
<30 minContenimento mediano IR
Standard IR
ISO/IEC 27001
MITRE ATT&CK
NIST IR
Notifiche
CSIRT Italia · NIS2
Garante · GDPR art. 33
No More Ransom
I primi 60 minuti

Cosa fare subito, in ordine.

Le azioni che riducono il danno e preservano le evidenze necessarie a capire cosa è successo e cosa è stato esfiltrato.

01 ·

Isolare, non spegnere

Scollegare i sistemi colpiti dalla rete (cavo, Wi-Fi, segmentazione) senza spegnerli: la memoria volatile contiene evidenze sull'attaccante e su cosa è stato toccato.

02 ·

Attivare l'incident response

Chiamare il team IR: contenimento, eradicazione, ricostruzione della catena d'attacco. Il SOC italiano Fortgale è operativo 24·7·365, contenimento mediano <30 min.

03 ·

Valutare backup, non il riscatto

Verificare i backup integri e isolati prima di considerare qualsiasi pagamento. Spesso esiste già un decryptor gratuito (No More Ransom). Pagare non garantisce dati né silenzio.

La domanda decisiva

Pagare il riscatto? Quasi mai la risposta.

Il pagamento non garantisce il recupero, non garantisce la cancellazione delle copie esfiltrate, finanzia l'ecosistema criminale e può esporre a violazioni. Prima di tutto: backup, decryptor, incident response.

Dopo il contenimento · le notifiche

Due obblighi distinti, spesso insieme.

Un ransomware con esfiltrazione di dati personali fa scattare entrambe le notifiche. Sono procedure diverse, con autorità e tempi diversi.

NIS2 ·

Notifica al CSIRT Italia

Per i soggetti essenziali e importanti: preavviso 24 ore, notifica 72 ore, relazione finale 30 giorni. Vedi notifica incidente NIS2 e CSIRT Italia.

GDPR ·

Notifica al Garante

Se sono coinvolti dati personali: notifica entro 72 ore (art. 33) e comunicazione agli interessati se il rischio è elevato. Vedi notifica data breach al Garante.

22Paesi presidiati
3Continenti
287Tool e attori profilati
<30 minContenimento mediano
24·7·365SOC italiano
Caso reale · ransomware prevenuto

Nell'Operation Storming Tide il team Fortgale ha contenuto un'intrusione multi-stadio (attore Mora_001, catena Matanbuchus 3.0 → Astarion → SystemBC): esfiltrazione RClone e ransomware prevenuti dal contenimento.

Leggi l'analisi →
FAQ · attacco ransomware

Le domande nei momenti critici.

Devo pagare il riscatto?

Pagare non garantisce il recupero dei dati né la cancellazione delle copie esfiltrate, finanzia il gruppo criminale e può configurare violazioni. Prima: isolare, valutare i backup, attivare l'incident response. A volte il decryptor è già disponibile gratis su No More Ransom.

Devo spegnere i PC colpiti?

No. Si isolano dalla rete senza spegnerli: spegnere distrugge le evidenze in memoria (RAM) che servono a ricostruire l'attacco e a capire quali dati sono stati esfiltrati.

Chi devo avvisare?

Management e IT internamente. All'esterno: CSIRT Italia entro 24h se siete soggetti NIS2, e Garante entro 72h se sono coinvolti dati personali. Sono notifiche distinte: vedi NIS2 e Garante.

Posso recuperare i dati senza pagare?

Spesso sì, con backup integri e isolati o con un decryptor gratuito quando esiste. Il team IR verifica prima che gli attaccanti siano stati eradicati, per evitare la re-cifratura dopo il ripristino.

Quanto serve per attivare l'incident response?

Il team IR Fortgale è operativo 24·7·365 con SOC italiano: affiancamento immediato dalla chiamata, contenimento mediano <30 min, supporto alla notifica CSIRT e alla raccolta evidenze per il Garante.

Come funziona il ransomware →  ·  Gruppi ransomware tracciati →

Sei sotto attacco o vuoi prepararti?

Un'emergenza ransomware si gestisce in minuti.

Se l'attacco è in corso, chiamate la hotline IR. Se volete prepararvi, parlate con i nostri analisti: contenimento, runbook e supporto alle notifiche, con un SOC italiano sul vostro fuso orario.

Tempo di risposta: < 1 giorno lavorativo.