Ransomware Akira:
13 PMI italiane colpite in pochi mesi.

Cosa sta succedendo in Italia

Il CSIRT Italia, presso l'ACN (Agenzia per la Cybersicurezza Nazionale), ha pubblicato nei giorni scorsi un bollettino sulle campagne ransomware attribuite al gruppo Akira. Dall'inizio del 2026 sono stati confermati almeno tredici incidenti su territorio italiano, tutti a danno di piccole e medie imprese di settori diversi: manifatturiero, servizi, logistica, commercio. Non si tratta di un fenomeno isolato: è una campagna sistematica che sfrutta vulnerabilità già note sui dispositivi perimetrali.

Il bollettino conferma una tendenza già segnalata nel Rapporto Clusit 2026: l'Italia è fra i paesi più colpiti d'Europa e le PMI sono il target più frequente, non per il valore del singolo riscatto, ma per la facilità di accesso.

Come funziona l'attacco

Il ciclo d'attacco osservato nei casi italiani segue uno schema ricorrente, con quattro fasi ben distinte:

• 1Accesso iniziale— sfruttamento di vulnerabilità note (n-day) su firewall perimetrali e gateway VPN SSL raggiungibili da Internet. Nei casi italiani del 2026 il CSIRT ha osservato una predilezione per alcuni modelli SonicWall con firmware non aggiornato, ma la tecnica è applicabile a qualsiasi dispositivo perimetrale con CVE pubbliche non patchate.
• 2Ricognizione e lateral movement— una volta all'interno, gli attaccanti mappano Active Directory, cercano credenziali in cache sui workstation, compromettono account di servizio e si spostano verso i sistemi critici usando strumenti legittimi (PowerShell, PsExec, RDP) per evitare di far scattare gli antivirus tradizionali.
• 3Esfiltrazione dei dati— prima di cifrare, Akira copia fuori dal perimetro aziendale i dati più sensibili: progetti, bilanci, dati HR, archivi clienti. L'esfiltrazione alimenta la doppia estorsione: riscatto per la chiave di decifratura e ulteriore riscatto per non pubblicare i dati sul sito leak del gruppo.
• 4Cifratura— distribuzione del payload Akira su file server, database, host di virtualizzazione e, quando possibile, sui backup online raggiungibili con le stesse credenziali amministrative. A questo punto la produzione si ferma.

Perché le PMI sono il target ideale

Le stesse condizioni che rendono difficile per una PMI gestire la sicurezza sono quelle che la rendono un target facile. Akira non prende di mira aziende strategiche: prende di mira aziende con perimetri fragili. I fattori ricorrenti nelle vittime italiane sono gli stessi:

• Patch management irregolare— i firewall perimetrali vengono aggiornati raramente, spesso solo quando c'è un problema. Le CVE critiche restano aperte per mesi.
• VPN SSL senza MFA— l'accesso remoto è ancora basato su sola username e password. Una credenziale rubata o una vulnerabilità preauth valgono l'ingresso nella rete.
• Nessuna segmentazione di rete— una volta dentro, l'attaccante raggiunge server, gestionali e controller di dominio dalla stessa subnet degli utenti, senza ostacoli.
• Backup online con le stesse credenziali del dominio— il backup c'è, ma viene cifrato insieme al resto. Senza una copia offline o immutabile, non c'è ripristino.
• Antivirus tradizionale al posto di EDR— i tool usati da Akira sono eseguibili legittimi di Windows. Un antivirus classico non ha il contesto per accorgersi che stanno facendo lateral movement.

Cosa dovrebbe fare una PMI oggi

Non esiste una difesa singola che fermi Akira: serve un insieme di controlli, ciascuno debole da solo ma efficace combinato agli altri. Le azioni prioritarie, in ordine di impatto, sono queste:

• 1Aggiornare subito firewall e gateway VPN— controllare le CVE aperte sui dispositivi perimetrali e applicare le patch entro pochi giorni dalla pubblicazione. Se non c'è un processo, partite da un vulnerability assessment.
• 2MFA obbligatoria su VPN e accessi amministrativi— togliere completamente l'accesso con sola password per VPN SSL, RDP e console di amministrazione. Integrare l'autenticazione a più fattori nella sicurezza di rete.
• 3EDR o XDR su tutti gli endpoint— sostituire l'antivirus tradizionale con una soluzione di EDR o XDR capace di rilevare comportamenti anomali (lateral movement, uso sospetto di PowerShell, elevazioni di privilegio) e non solo firme note.
• 4Backup offline o immutabile— almeno una copia dei dati critici deve essere irraggiungibile dalle credenziali di dominio. Storage immutabile, tape offline, oppure un servizio di backup e disaster recovery gestiti con repository dedicato. Il ripristino va testato almeno una volta l'anno.
• 5Monitoraggio continuo e CSIRT di riferimento— la differenza fra un incidente contenuto e un disastro è la velocità di reazione. Un CSIRT in outsourcing assicura il monitoraggio, la gestione delle notifiche NIS2 e il coordinamento con l'ACN in caso di incidente.

L'obbligo di notifica NIS2

Per le aziende in perimetro, un attacco ransomware confermato è un incidente significativo ai sensi della Direttiva NIS2. La pre-notifica al CSIRT Italia deve essere inviata entro 24 ore dalla scoperta, la notifica formale con i dettagli tecnici entro 72 ore, il report finale entro un mese. Il mancato rispetto espone a sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale. Quando l'incidente è in corso non c'è tempo di improvvisare: il processo va predisposto prima.

Un partner locale certificato

AtWorkStudio opera da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, con qualificazione ACN per i servizi cloud. Siamo membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT. Progettiamo e gestiamo la difesa dei clienti PMI del territorio con un approccio end-to-end: patch management, segmentazione di rete, EDR, backup immutabili, monitoraggio continuo e CSIRT in outsourcing.