Prevenire è meglio che curare: i consigli di Cisco Talos per difendersi dal ransomware

Milano, 16 settembre 2025 – La tempestività fa la differenza. Negli ultimi due anni e mezzo, il team di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, è stato coinvolto in numerosi casi di “pre-ransomware”, cioè situazioni in cui un attacco era già in corso ma non era ancora arrivato alla fase più grave: il blocco dei sistemi e la richiesta di riscatto. Dall’analisi di questi interventi è emerso un dato chiave: coinvolgere subito il team di risposta agli incidenti e reagire rapidamente agli avvisi di sicurezza – idealmente entro due ore – si è rivelato spesso decisivo per fermare l’attacco sul nascere.

Cisco Talos ha raccolto le raccomandazioni più frequenti emerse dal lavoro con i clienti, per aiutare le organizzazioni a colmare le lacune di sicurezza più comuni.  L’obiettivo è semplice: fornire linee guida pratiche e subito attuabili per rafforzare le difese digitali e ridurre al minimo il rischio di finire nel mirino dei cybercriminali.

Cosa si intende per “pre-ransomware”

Non tutti gli attacchi informatici arrivano subito alla fase più distruttiva, quella in cui i dati vengono bloccati e parte la richiesta di riscatto. Spesso, prima di arrivare a quel punto, i criminali informatici mettono in atto una serie di azioni preparatorie. In questa fase gli aggressori cercano, ad esempio, di ottenere accesso come amministratori di dominio a livello aziendale, passando da un account all’altro per levare i propri privilegi. Possono installare strumenti di controllo remoto, raccogliere credenziali o modificare il sistema operativo attraverso procedure automatizzate.

Vale la pena sottolineare che spesso queste tecniche non sono usate direttamente da chi porta avanti l’attacco ransomware, ma da intermediari specializzati – i cosiddetti Initial Access Broker (IAB). Questi gruppi entrano nei sistemi, ottengono le chiavi d’accesso e poi vendono le credenziali a chi organizzerà l’attacco vero e proprio. Anche in questi casi, però, il risultato finale è molto spesso un ransomware. Ecco perché riconoscere subito le attività “pre-ransomware” è di importanza cruciale: ferma l’attacco sul nascere.

Coinvolgere rapidamente gli esperti

In circa un terzo dei casi, il fatto che le aziende abbiano coinvolto Cisco Talos entro uno o due giorni dai primi segnali di attività sospetta si è dimostrato decisivo. Prima si agisce, maggiori sono le possibilità di evitare danni gravi. Questo ha permesso di:

  • Anticipare i criminali: grazie alla conoscenza del panorama delle minacce è stato possibile collegare gli indizi trovati sulle reti dei clienti a campagne ransomware già osservate in altri casi, riconoscendo così i possibili prossimi passi degli aggressori.
  • Dare indicazioni concrete e immediate: seguendo le raccomandazioni fornite da Talos, molte aziende hanno potuto isolare rapidamente i sistemi a rischio ed evitare che l’attacco si trasformasse in un disastro.
  • Rafforzare il monitoraggio: con il supporto del team Cisco XDR, le organizzazioni hanno potuto tenere alta la guardia anche dopo il contenimento della minaccia, verificando che non rimanessero tracce dell’attacco.

La velocità di risposta è fondamentale

Un allarme generato da soluzioni di sicurezza come EDR (Endpoint Detection and Response) o MDR (Managed Detection and Response) può fare la differenza tra un tentativo di intrusione e un vero e proprio attacco ransomware.

Il monitoraggio costante consente ai team di sicurezza di reagire subito al primo segnale sospetto, isolare l’attività dannosa e impedire ai criminali di guadagnare terreno all’interno della rete aziendale. Cisco Talos ha rilevato che quando i team di sicurezza sono intervenuti entro due ore da un avviso, l’attacco è stato contenuto con successo in quasi un terzo dei casi analizzati.

Alcuni degli avvisi che richiedono una risposta rapida includono, ad esempio:

  • tentativi di connessione a domini sospetti o bloccati;
  • attività di forza bruta per indovinare le password;
  • download anomali tramite PowerShell;
  • comportamenti diversi dall’attività “normale” dell’organizzazione;
  • creazione improvvisa di un nuovo account amministratore;
  • connessioni riuscite verso indirizzi IP esterni sconosciuti;
  • modifiche agli strumenti di autenticazione a più fattori (MFA) e esclusione di un account dai controlli MFA.

Quando la sicurezza non si limita ad avvisare

In oltre il 10% dei casi analizzati, gli attacchi ransomware sono stati fermati sul nascere grazie alle soluzioni di sicurezza che non si sono limitate a segnalare il problema, ma hanno bloccato o messo in quarantena i file dannosi. Spesso, infatti, le aziende configurano i sistemi di protezione degli endpoint in modo “passivo”: il software avvisa l’utente, ma non interviene direttamente.

Questo approccio, però, lascia aperta la porta agli aggressori, che possono comunque eseguire malware e portare avanti l’attacco. Al contrario, una configurazione più proattiva e automatizzata si è dimostrata molto più efficace nel fermare la diffusione del ransomware.

Secondo l’analisi di Cisco Talos, le restrizioni di sicurezza ben implementate hanno ostacolato gli attacchi ransomware in circa il 9% dei casi studiati.

I consigli pratici di Cisco Talos

Dall’analisi degli incidenti pre-ransomware, Cisco Talos ha individuato alcune raccomandazioni concrete per rafforzare le difese e ridurre drasticamente il rischio di un attacco ransomware:

  1. Aggiornare sistemi e software: installare tutte le patch disponibili per ridurre le vulnerabilità sfruttabili dagli aggressori.
  2. Backup offline dei dati: conservare copie sicure dei dati critici che non siano collegate alla rete principale.
  3. Bloccare applicazioni non autorizzate: configurare le soluzioni di sicurezza per consentire solo software verificato e impedire installazioni impreviste.
  4. Autenticazione a più fattori (MFA): applicarla a tutti i servizi critici, monitorando eventuali abusi o tentativi di bypass.
  5. Migliorare la visibilità degli endpoint: usare strumenti per registrare e monitorare le attività dei sistemi.
  6. Regole firewall efficaci: filtrare il traffico in entrata e in uscita per bloccare protocolli che gli aggressori potrebbero usare per comunicazioni o furto di dati.
  7. Segmentazione della rete: limitare il movimento laterale dei criminali e proteggere le risorse più sensibili, evitando che siano direttamente accessibili da Internet.
  8. Formazione continua degli utenti: sensibilizzare i dipendenti sulle tecniche di ingegneria sociale, phishing e attacchi avanzati.

A proposito di Cisco

Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che sta rivoluzionando il modo in cui le organizzazioni si connettono e si proteggono nell'era dell'IA. Per oltre 40 anni, Cisco ha connesso il mondo in modo sicuro. Con le sue soluzioni e servizi leader del settore basati sull'IA, Cisco consente ai suoi clienti, partner e comunità di sbloccare l'innovazione, migliorare la produttività e rafforzare la resilienza digitale. Con uno scopo al centro, Cisco rimane impegnata a creare un futuro più connesso e inclusivo per tutti. Scopri di più su The Newsroom e seguici su X all'indirizzo @Cisco.

Cisco e il logo Cisco sono marchi di fabbrica o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri paesi. Un elenco dei marchi di Cisco è disponibile all'indirizzo http://www.cisco.com/go/trademarks. I marchi di terze parti menzionati sono proprietà dei rispettivi titolari. L'uso della parola "partner" non implica una relazione di partnership tra Cisco e qualsiasi altra azienda.

Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it