Prevenzione ransomware attraverso la gestione delle vulnerabilità

Scritto da ExposIQ | Marzo 18, 2026

Il ransomware è la più grande minaccia informatica per le PMI svizzere. I danni vanno da interruzioni operative di giorni a pagamenti di riscatti, fino alla perdita completa dei dati. Tuttavia, un malinteso molto diffuso persiste: molte aziende credono che i gruppi ransomware impieghino exploit zero-day altamente sofisticati, contro i quali è quasi impossibile proteggersi. La realtà è diversa – e allo stesso tempo preoccupante e incoraggiante.

Il ransomware sfrutta vulnerabilità note

La stragrande maggioranza degli attacchi ransomware non si basa su vulnerabilità zero-day, bensì su falle di sicurezza da tempo note e documentate, per le quali sono disponibili le patch. Studi dimostrano che oltre l’80 percento degli attacchi ransomware riusciti sfrutta vulnerabilità note da mesi o addirittura anni.

Questo significa che nella maggior parte dei casi questi attacchi sarebbero stati evitabili. Non attraverso costose nuove tecnologie, ma attraverso una gestione coerente delle vulnerabilità.

Il Centro nazionale per la cibersicurezza (NCSC, oggi UFCS) della Svizzera ha registrato nel 2023 e 2024 un flusso costante di segnalazioni di ransomware, in particolare da parte di PMI. I vettori d’ingresso più frequenti sono prevedibili in modo allarmante.

I punti d’ingresso più comuni per il ransomware

1. Gateway VPN e appliance di accesso remoto

Le appliance VPN di Fortinet, Citrix, Ivanti e Pulse Secure sono tra i bersagli preferiti dei gruppi ransomware. Il motivo è semplice: questi dispositivi si trovano direttamente su Internet e, in caso di sfruttamento riuscito, offrono immediatamente accesso alla rete interna.

Alcune delle vulnerabilità più devastanti degli ultimi anni hanno riguardato proprio questi sistemi:

  • Fortinet FortiOS (CVE-2023-27997, CVE-2024-21762): vulnerabilità critiche nei firewall FortiGate, sfruttate attivamente da gruppi ransomware
  • Citrix NetScaler/ADC (CVE-2023-4966 «Citrix Bleed»): ha permesso il furto di token di sessione ed è stato massicciamente sfruttato dal gruppo LockBit
  • Ivanti Connect Secure (CVE-2024-21887, CVE-2023-46805): bypass dell’autenticazione e command injection, utilizzati per l’accesso iniziale alle reti aziendali

L’aspetto insidioso: molte PMI utilizzano questi dispositivi senza sapere quale versione firmware è in esecuzione o se sono interessati da vulnerabilità note. L’appliance «funziona» – e proprio questo è il problema.

2. Remote Desktop Protocol (RDP)

Il protocollo RDP esposto rimane uno dei vettori d’ingresso ransomware più frequenti. Gli aggressori sfruttano attacchi brute-force su password deboli o vulnerabilità RDP note come BlueKeep (CVE-2019-0708). Ogni sistema la cui porta RDP (3389) è direttamente raggiungibile da Internet viene individuato entro poche ore da scanner automatizzati.

3. Microsoft Exchange Server

I server Exchange on-premise sono stati negli ultimi anni un bersaglio privilegiato. Le vulnerabilità ProxyShell e ProxyLogon (CVE-2021-26855 e correlate) hanno consentito l’esecuzione di codice remoto senza autenticazione. Molte PMI gestiscono ancora server Exchange non completamente aggiornati.

4. Applicazioni web e CMS obsoleti

Installazioni WordPress con plugin obsoleti, sistemi Joomla o applicazioni web sviluppate internamente con vulnerabilità SQL injection offrono anch’essi punti d’ingresso. Attraverso un’applicazione web compromessa, un aggressore può spesso accedere al server sottostante e da lì muoversi nella rete.

Perché il solo backup non è prevenzione

«Abbiamo i backup, quindi siamo protetti.» Questa frase ricorre in quasi ogni conversazione con le PMI sul tema ransomware. Ed è fondamentalmente sbagliata.

I backup sono una parte importante della strategia di recovery, ma non prevengono un attacco. I moderni gruppi ransomware hanno evoluto le loro tattiche:

  • Doppia estorsione (Double Extortion): prima che i dati vengano crittografati, vengono esfiltrati. Anche se ripristinate dal backup, gli aggressori minacciano di pubblicare i dati sensibili.
  • Distruzione dei backup: i gruppi ransomware professionali cercano specificamente i sistemi di backup e li cancellano o crittografano per primi. Se i vostri backup si trovano nella stessa rete, vengono coinvolti.
  • Permanenza prolungata: gli aggressori trascorrono spesso settimane nella rete prima di colpire. In questo periodo comprendono la vostra infrastruttura, identificano i sistemi critici e preparano il danno massimo.
  • Interruzione operativa: anche con backup perfetti, il ripristino richiede da giorni a settimane. L’interruzione dell’attività causa spesso costi superiori al riscatto stesso.

La prevenzione – ovvero impedire l’accesso iniziale – è superiore a qualsiasi misura reattiva. Ed è esattamente qui che entra in gioco la gestione delle vulnerabilità.

La scansione continua come strategia di prevenzione

La gestione delle vulnerabilità riduce la superficie d’attacco prima che un aggressore possa sfruttarla. Il processo è chiaro:

  1. Creare visibilità: potete proteggere solo ciò che conoscete. Una scansione completa dei vostri sistemi esterni e interni vi mostra la vostra effettiva superficie d’attacco.
  2. Identificare le vulnerabilità: gli scanner automatizzati verificano i vostri sistemi confrontandoli con database di oltre 64’000 CVE note e rilevano software obsoleto, configurazioni errate e servizi esposti.
  3. Prioritizzare i rischi: non tutte le vulnerabilità sono ugualmente pericolose. I punteggi EPSS (Exploit Prediction Scoring System) indicano quali vulnerabilità vengono effettivamente sfruttate attivamente. Il catalogo KEV (Known Exploited Vulnerabilities) della CISA elenca le vulnerabilità che vengono comprovabilmente utilizzate in natura.
  4. Rimediare in modo mirato: con risultati prioritizzati potete impiegare le vostre risorse limitate dove il rischio è più alto.
  5. Ripetere continuamente: nuove vulnerabilità vengono pubblicate quotidianamente. Una scansione una tantum è un’istantanea – solo la scansione regolare offre una protezione duratura.

Verificare specificamente i gateway VPN

Dato che le appliance VPN rientrano tra i punti d’ingresso più critici, meritano un’attenzione particolare. Ma è proprio qui che sta la sfida: molti scanner di vulnerabilità rilevano le porte aperte, ma non riescono a determinare in modo affidabile la versione firmware specifica di un’appliance Fortinet o Ivanti.

ExposIQ risolve questo problema con un approccio specializzato: vengono verificati in modo mirato 28 diversi percorsi di login per i prodotti VPN e di accesso remoto più comuni, combinati con migliaia di template Nuclei che testano vulnerabilità specifiche di questi prodotti. In questo modo non vengono rilevate solo le porte aperte, ma viene determinata l’effettiva vulnerabilità dell’appliance.

Attuare le raccomandazioni dell’UFCS

L’Ufficio federale della cibersicurezza (UFCS, ex NCSC) raccomanda espressamente alle aziende svizzere di effettuare regolarmente scansioni delle vulnerabilità come pilastro fondamentale della difesa informatica. Le raccomandazioni concrete comprendono:

  • Aggiornamento regolare di tutti i sistemi e le applicazioni
  • Riduzione della superficie d’attacco disattivando i servizi non necessari
  • Segmentazione della rete per contenere i movimenti laterali
  • Autenticazione a più fattori per tutti gli accessi remoti
  • Monitoraggio continuo della propria infrastruttura

Tutte queste raccomandazioni presuppongono che sappiate quali sistemi operano nella vostra rete e quali vulnerabilità sussistono. Senza gestione delle vulnerabilità operate alla cieca.

L’approccio pragmatico per le PMI

La prevenzione del ransomware non deve iniziare con un budget milionario. Un approccio pragmatico per le PMI si presenta così:

  1. Immediatamente: verificate se porte RDP o interfacce di amministrazione VPN sono direttamente raggiungibili da Internet
  2. A breve termine: assicuratevi che le vostre appliance VPN siano aggiornate all’ultima versione firmware
  3. A medio termine: introducete scansioni regolari delle vulnerabilità per riconoscere tempestivamente i nuovi rischi
  4. In modo continuativo: stabilite un processo per l’applicazione tempestiva delle patch per le vulnerabilità critiche

ExposIQ supporta le PMI svizzere proprio in questo approccio. Con oltre 35 motori di scansione, 64’000 CVE e verifiche specializzate per gateway VPN, la piattaforma copre i vettori d’ingresso ransomware più comuni. Ospitata in Svizzera, conforme alla nLPD e disponibile a partire da CHF 99 al mese. Perché la prevenzione è sempre più conveniente del ripristino: exposiq.ch

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.