Cos’è il ransomware Anubi

Il ransomware Anubi è una nuova e pericolosa minaccia informatica che ha preso di mira diverse aziende italiane, crittografando i dati e chiedendo riscatti per il loro sblocco. Rientra nella categoria dei ransomware-as-a-service (RaaS), cioè malware “noleggiabili” anche da chi non ha competenze tecniche, ma vuole colpire obiettivi specifici.

Questo tipo di ransomware si evolve costantemente, rendendo difficile per gli antivirus tradizionali individuarlo tempestivamente.

Alt text: ransomware Anubi, schermata di blocco dati su computer aziendale

Come agisce il ransomware Anubi

Anubi si infiltra nei sistemi IT vulnerabili attraverso diverse modalità, tra cui:

• Accessi RDP esposti pubblicamente e poco protetti

• Allegati email infetti o link malevoli

• Exploit di vulnerabilità software non aggiornati

• Tecniche di phishing altamente sofisticate

Una volta penetrato nel sistema, Anubi cripta tutti i file dei sistemi colpiti e rilascia una nota di riscatto. Le richieste di riscatto possono superare anche i 500.000 euro. I dati sottratti vengono minacciati di diffusione pubblica in caso di mancato pagamento, seguendo il modello della doppia estorsione.

Alcune varianti sono in grado di disattivare antivirus, evitare sandbox e spostarsi lateralmente nella rete aziendale.

Chi sono le vittime e come viene diffuso

Il ransomware Anubi ha colpito aziende italiane di medio-grandi dimensioni, operanti in settori strategici. una delle vittime è un’importante azienda con 500 dipendenti e 15 filiali. Le indagini confermano che Anubi viene diffuso da più attori, spesso operanti da server localizzati in Russia, Est Europa e persino dal dark web.

Gli attacchi sono preparati con cura: i criminali osservano il comportamento delle vittime, studiano l’infrastruttura e agiscono nei momenti più vulnerabili, come notti, weekend o giorni festivi.

Alt text: mappa Italia con evidenza dei principali attacchi ransomware Anubi

Il contesto italiano: vulnerabilità e rischi

Il tessuto industriale italiano è composto in larga parte da piccole e medie imprese, spesso sprovviste di sistemi avanzati di sicurezza. A ciò si aggiunge una scarsa cultura della sicurezza informatica, che rende il nostro Paese un bersaglio appetibile.

Secondo il Rapporto Clusit 2024, nei primi sei mesi dell’anno si è registrato un aumento del 23% degli attacchi informatici globali rispetto allo stesso periodo del 2023. L’Italia rappresenta il 7,6% degli incidenti gravi pur avendo meno dell’1% della popolazione mondiale.

Nel dettaglio:

• Il settore manifatturiero ha subito il 19% degli attacchi, contro il 13% dell’anno precedente.

• Il settore sanitario ha visto un incremento dell’83% rispetto al 2023.

• I trasporti e la logistica sono bersagliati con l’11% degli attacchi.

• Il comparto news/multimedia ha subito un aumento del 175%, rappresentando il 18% degli attacchi totali in Italia.

Per quanto riguarda le tecniche:

• Il malware, inclusi i ransomware, è responsabile del 51% degli attacchi italiani, rispetto al 34% della media globale.

• Gli attacchi DDoS coprono il 27%, contro una media globale del 7%.

• Il phishing e social engineering rappresentano tra il 7% e l’11% degli attacchi.

In termini di gravità:

• Il 53% degli attacchi italiani è classificato come “High”

• Il 9% come “Critical”

• Il 38% come “Medium”

Questi dati confermano l’urgenza di rafforzare la postura di sicurezza delle aziende italiane, investendo non solo in tecnologie ma anche in consapevolezza e prevenzione.. A ciò si aggiunge una scarsa cultura della sicurezza informatica, che rende il nostro Paese un bersaglio appetibile.

Come proteggersi da Anubi e altri ransomware

Ecco alcune buone pratiche per difendersi, da applicare sia nelle grandi aziende che nelle PMI:

• Aggiornare regolarmente sistemi operativi e applicativi, prestando attenzione alle patch di sicurezza critiche. Molti ransomware sfruttano vulnerabilità già note.

• Limitare l’uso del protocollo RDP (Remote Desktop Protocol), disattivandolo se non necessario o proteggendolo con firewall e VPN.

• Utilizzare soluzioni EDR avanzate (Endpoint Detection and Response), in grado di rilevare comportamenti anomali prima che si verifichi l’encryption dei dati.

• Segmentare la rete aziendale, separando i dispositivi critici da quelli degli utenti comuni, in modo da contenere un eventuale attacco.

• Effettuare backup frequenti, testati e salvati in modo offline o su repository immutabili, per garantire il ripristino in caso di compromissione.

• Monitorare attivamente la rete con sistemi NDR (Network Detection and Response) e soluzioni SIEM che permettano l’analisi dei log e il rilevamento di attività sospette.

• Implementare politiche di autenticazione forte, come l’autenticazione a due fattori (2FA), anche per accessi interni.

• Formare i dipendenti regolarmente con simulazioni di phishing, aggiornamenti sulle minacce emergenti e buone pratiche di gestione delle email e dei documenti.

• Adottare una politica di minima autorizzazione (least privilege) per gli account utente e amministrativi.

• Verificare la sicurezza dei fornitori esterni, poiché le terze parti possono diventare un vettore di attacco indiretto.

Una strategia efficace non si limita alla difesa tecnica, ma integra anche aspetti organizzativi, normativi e culturali per garantire una resilienza a lungo termine.

L’importanza della formazione e della consapevolezza

Oltre alla tecnologia, è fondamentale investire sulla formazione continua dei dipendenti. La maggior parte degli attacchi parte da un errore umano: clic su un allegato infetto, risposta a una finta email aziendale, connessione a una rete non sicura.

L’adozione di policy aziendali chiare, simulate di phishing e workshop periodici può ridurre drasticamente il rischio di attacchi riusciti.

Strumenti di difesa consigliati

Tra le soluzioni più efficaci per proteggersi da minacce come Anubi segnaliamo:

• WatchGuard EPDR: unisce antivirus, EDR e protezione contro exploit

• Acronis Cyber Protect: backup + antimalware + patching

• ThreatSync NDR: monitoraggio dei flussi di rete per identificare movimenti laterali

• Autenticazione forte con AuthPoint

• Soluzioni SIEM per la centralizzazione dei log e analisi comportamentale

Per un piano personalizzato puoi rivolgerti al team di GBanti.it, che fornisce consulenze e assessment completi.

Cosa fare in caso di infezione da ransomware

Se sospetti di essere stato colpito da ransomware Anubi, agisci rapidamente:

1. Isola i dispositivi infetti per evitare propagazione

2. Non spegnere i sistemi, ma scollegali dalla rete

3. Segnala immediatamente l’attacco alle autorità competenti e al CSIRT Italia

4. Evita di pagare il riscatto: non garantisce il recupero dei dati e alimenta il crimine

5. Contatta un esperto di cybersecurity per valutare l’eventuale decriptazione e ripristino

6. Effettua un’analisi forense per capire le modalità di accesso

Risorse utili e fonti ufficiali

• Polizia Postale – Sicurezza informatica

• Clusit – Rapporto annuale sulla sicurezza ICT

• CSIRT Italia – Agenzia per la cybersicurezza nazionale

• GBanti.it – Servizi di sicurezza IT

Il ransomware Anubi rappresenta una minaccia concreta e crescente per le imprese italiane. Adottare soluzioni preventive, come backup, protezioni avanzate e formazione del personale, è oggi essenziale per evitare danni economici e reputazionali.

Per ricevere una valutazione gratuita della tua infrastruttura IT e un check completo dei punti critici di sicurezza, contattami subito. Offro un controllo gratuito pensato per piccole e medie imprese italiane che vogliono prevenire attacchi come Anubi prima che sia troppo tardi.