LEGALAUDIT
Cyber Coach

Ransomware

Ransomware: playbook per vittime consumer e PMI

I file sono cifrati, c'e un README con istruzioni in inglese. Cosa fare nelle prime 60 minuti e nelle 72 ore successive.

15 min di letturaAvanzato

Indicatori da riconoscere

  • File con estensioni nuove (.locked, .encrypted, .lockbit, .akira, .blackcat)
  • README in ogni cartella con istruzioni di pagamento in Bitcoin o Monero
  • Wallpaper modificato con conto alla rovescia
  • Backup di rete inaccessibili (i ransomware moderni cifrano anche backup connessi)
  • Disabilitazione di Windows Defender e Volume Shadow Copies
  • Sito Tor del gruppo che minaccia di pubblicare dati esfiltrati (double extortion)
  • Lateral movement: più workstation cifrate contemporaneamente

Cosa fare subito

  • Stacca i dispositivi infetti dalla rete (cavo + Wi-Fi off) ma non spegnerli
  • NON pagare il riscatto: finanzi i criminali e spesso non recuperi i dati
  • Verifica No More Ransom: per molti ceppi esistono decryptor gratuiti
  • Preserva memoria volatile e log: importanti per analisi forense e attribution
  • Contatta il CSIRT nazionale (CSIRT-IT, NCSC svizzero, CERT-FR)
  • Avvisa il Garante Privacy entro 72h se ci sono dati personali coinvolti (GDPR)
  • Notifica clienti e fornitori secondo obblighi contrattuali
  • Ripristina da backup offline pulito dopo bonifica completa

Caso reale

Ransomware LockBit su PMI manifatturiera, Emilia 2025

Una PMI metalmeccanica di Modena con 42 dipendenti si sveglia di lunedi mattina con 78 PC cifrati. README in inglese chiede 320.000 USD in Bitcoin entro 72h, altrimenti pubblicazione di 240GB di dati esfiltrati su sito Tor del gruppo LockBit.

L'AD non paga. Attiva il CSIRT, notifica Garante, recall clienti. Mythos analizza l'immagine forense di un endpoint: punto di ingresso un RDP esposto senza MFA, credenziali ottenute da un breach del 2023 mai cambiate. Lateral movement con BloodHound, esfiltrazione via Rclone su account Mega.

La PMI ripristina la produzione in 14 giorni da backup offline. I dati esfiltrati vengono comunque pubblicati. Mythos ha generato il dossier per denuncia, supporto al Garante (notifica GDPR), e ricostruzione tecnica per la causa con i fornitori IT responsabili del backup. No More Ransom ha confermato l'assenza di decryptor per la variante usata.

Cosa può fare Mythos su questo caso

  • Identificazione del ceppo ransomware dai file cifrati e dal README
  • Verifica disponibilita di decryptor gratuiti su No More Ransom
  • Analisi del punto di ingresso (RDP, phishing, vulnerabilita)
  • Ricostruzione del lateral movement e dell'esfiltrazione
  • Dossier per notifica al CSIRT, al Garante e per copertura assicurativa
  • Catena di custodia delle prove forensi per eventuale causa civile/penale

Passi successivi

Parla subito con MythosVerifica decryptor su No More Ransom