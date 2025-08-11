Oggi abbiamo tecniche che permettono di garantirci che il backup non possa essere attaccato e quindi criptato. Le soluzioni che le aziende dovrebbero prendere in considerazione sono sostanzialmente due:

backup immutabile;

backup offline su nastri.

Backup immutabile

Tutti principali vendor di software di backup oggi offrono l'opzione definita di immutable backup: è una soluzione attivabile assegnando al file del backup un attributo di immutabilità. Sui sistemi operativi Unix e Linux è l'attributo i con l'istruzione:

chattr +i filebackup.txt

Con l'immutabilità attivata è impossibile scrivere sul file o cancellarlo.

Backup offline su nastri

La minaccia ransomware sta facendo ritornare in auge i nastri, un sistema di storage dei dati che sembrava essere passato di moda.

I nastri sono ovviamente più lenti degli hard disk, soprattutto di quelli SSD, ma con lo standard Linear Tape-Open (LTO) possono raggiungere una velocità in lettura di 400 MB/s.

Oggi gli standard più recenti sono LTO-9, con capacità di un singolo nastro fino a 18 TB (non compressi) ed LTO-10 fino a 30 TB. Questo significa che, a fronte di una velocità di lettura più bassa rispetto ad un disco SSD, hanno il vantaggio di un costo per TB molto più basso.

Sono quindi un'ottima soluzione per la terza copia di backup, quella offline, da utilizzare quando ogni altro backup risulta compromesso e per lo storage a lungo termine, quello che tipicamente deve essere consultato raramente.

Questi nastri saranno scritti e letti da hardware appositi, che si chiamano Tape Library. Il principale produttore mondiale di Tape Library è oggi IBM che produce sistemi da una sola unità di lettura fino a 48 o anche 128 unità di lettura.

La scelta di dotarsi di una copia di backup su nastri è quindi oggi un'opzione da valutare, perché garantisce una ulteriore difesa a fronte di costi non particolarmente elevati.

Le azioni preliminari da fare sempre

Se siamo in possesso di un backup utilizzabile, occorre però procedere prima con alcune operazioni preliminari che non vanno dimenticate. Potrebbe succedere, perché un attacco ransomware crea tensione e può ridurre la lucidità di chi deve intervenire.

Le operazioni che consigliamo sono le seguenti:

Identificare CHI è l'attaccante, per individuare le sue tecniche tipiche. Conoscerle ci può aiutare nella remediation.

Prima di cancellare tutto e riformattare, fare comunque copia dei dati criptati. Può servire se esiste un decryptor (lo vedremo in seguito) e soprattutto per un'eventuale analisi forense, necessaria se l'azienda ha un'assicurazione di cyber risk a copertura di attacchi ransomware.

Valutare se si configura un DATA BREACH , da notificare al Garante Privacy (Art.33 GDPR). Ne parleremo in seguito.

, da notificare al Garante Privacy (Art.33 GDPR). Ne parleremo in seguito. Non connettere i backup su macchine che siano ancora infette.

Una volta espletate queste operazioni, si può procedere con una bonifica della macchina o delle macchine che sono state infettate, prima di eseguire il ripristino dei dati. La bonifica potrebbe essere fatta con scansioni antivirus per assicurarsi che il software dannoso sia stato rimosso, ma non è un sistema abbastanza sicuro, quindi non lo consigliamo.

Per essere certi al 100% che non ci siano più tracce di qualsiasi tipo di malware è consigliabile procedere a una formattazione completa del computer attaccato. Solo a questo punto si può procedere al ripristino dei dati da backup su un'installazione pulita. Ovviamente questo richiede tempo ed è il motivo per cui un ransomware causerà un downtime (il blocco delle attività) all'azienda vittima che può essere anche di settimane.