Ransomware Qilin:
come difendere la tua PMI

In breve: Qilin è un ransomware che colpisce sistematicamente le PMI italiane entrando da appliance VPN non aggiornate o senza MFA, cifrando gli hypervisor VMware ESXi e neutralizzando i backup prima dell’attacco. Ci si difende con cinque misure: patch delle appliance perimetrali, MFA ovunque, segmentazione della rete, EDR su tutti gli endpoint e backup immutabile con credenziali separate.

Cos’è Qilin e perché colpisce le PMI italiane

Il CSIRT Italia, presso l’ACN (Agenzia per la Cybersicurezza Nazionale), ha emesso un bollettino a impatto critico dopo aver registrato, dall’inizio del 2026, un numero significativo di attacchi del ransomware Qilin rivolti prevalentemente a PMI italiane, inclusi fornitori di servizi cloud. Non si tratta di episodi isolati, ma di una campagna sistematica sul territorio nazionale.

Qilin opera secondo il modello Ransomware-as-a-Service (RaaS): chi sviluppa il malware lo affitta ad affiliati che conducono gli attacchi, spartendo il riscatto. Usa la doppia estorsione— prima esfiltra grandi quantità di dati, poi cifra i sistemi — e payload scritti in Rust progettati per colpire gli hypervisor VMware ESXi, il cuore della virtualizzazione di moltissime PMI. È esattamente il tipo di minaccia che la Direttiva NIS2 chiede di prevenire e, in caso di incidente, di notificare entro tempi stringenti.

La kill chain in cinque passi

Il bollettino CSIRT descrive una catena d’attacco ricorrente. Conoscerla aiuta a capire dove intervenire:

• 1Accesso iniziale— sfruttamento di vulnerabilità critiche note e non corrette su appliance perimetrali e VPN (in particolare prodotti Ivanti e Fortinet), oppure attacchi di forza bruta sulle credenziali VPN in assenza di MFA.
• 2Uso di strumenti legittimi— per il comando e controllo gli attaccanti abusano di software di gestione e supporto remoto già diffusi (come Atera, Splashtop, ScreenConnect), così da confondersi con il traffico normale ed eludere i controlli.
• 3Movimento laterale e anti-forensics— dopo aver preso piede, gli attaccanti si spostano nella rete, elevano i privilegi e cancellano sistematicamente i log per ostacolare le indagini successive.
• 4Neutralizzazione dei backup— prima di cifrare, sfruttano una vulnerabilità nota nel software di backup (Veeam Backup & Replication) per estrarne le credenziali ed eliminare o rendere inutilizzabili le copie di sicurezza.
• 5Cifratura degli hypervisor ESXi— il payload cifra selettivamente gli host VMware ESXi, mettendo fuori uso in un colpo solo tutte le macchine virtuali aziendali. A quel punto parte la richiesta di riscatto, con la minaccia di pubblicare i dati esfiltrati.

Le cinque contromisure indicate dal CSIRT

La buona notizia è che le difese efficaci sono note e alla portata di una PMI. Sono le cinque misure indicate dallo stesso CSIRT Italia:

• 1Patch tempestivo delle appliance perimetrali— firewall, VPN e gateway esposti vanno aggiornati con priorità: sono la prima porta d’ingresso. Firewall e sicurezza di rete.
• 2MFA obbligatoria ovunque— l’autenticazione a più fattori va attivata su ogni accesso, comprese le VPN di terze parti: blocca gli attacchi di forza bruta sulle credenziali. Gestione dell’identità digitale.
• 3Segmentazione della rete— separare reti, server e ambienti di gestione limita il movimento laterale e impedisce che la compromissione di un endpoint raggiunga subito hypervisor e backup.
• 4EDR su tutti gli endpoint e i server— il rilevamento e risposta sugli endpoint intercetta l’abuso di strumenti legittimi e le attività anomale prima della cifratura. EDR e XDR.
• 5Backup offline o immutabile, con credenziali separate— è la difesa decisiva: copie che l’attaccante non può cancellare anche se entra nel dominio. Backup e Disaster Recovery e, per i dati Microsoft 365, il backup dedicato di Microsoft 365.

Cosa fare se sospetti una compromissione

Se rilevi segnali sospetti — accessi VPN anomali, strumenti di supporto remoto non autorizzati, backup falliti senza motivo — non spegnere i sistemi né cancellare nulla: isola la rete, conserva i log e attiva subito la procedura di risposta agli incidenti. Per i soggetti rientranti nel perimetro NIS2 scatta inoltre l’obbligo di notifica al CSIRT entro tempi stretti. Incident Response & Recovery.

Come AtWorkStudio aiuta

Le cinque contromisure del CSIRT coincidono con i servizi che eroghiamo ogni giorno: gestione delle identità e MFA, EDR/XDR, sicurezza di rete, backup immutabile e referente CSIRT in outsourcing per la gestione delle notifiche NIS2. Partiamo da un assessment della postura di sicurezza basato su NIST CSF 2.0 e definiamo insieme le priorità di intervento.

Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.