Team MailSniper
Autore
Quanti giorni impiega la vostra azienda ad accorgersi di un accesso non autorizzato alla VPN? Se non avete una risposta precisa, quello che state per leggere vi riguarda direttamente.
A inizio 2025, la CISA — l'agenzia americana per la cybersicurezza — ha pubblicato un avviso tecnico su RESURGE, un impianto malevolo (una backdoor, letteralmente una porta sul retro digitale) capace di installarsi nei dispositivi VPN Ivanti Connect Secure sfruttando una falla zero-day: CVE-2025-0282, una vulnerabilità scoperta e già sfruttata dagli aggressori prima che il produttore ne fosse a conoscenza.
La caratteristica che rende RESURGE diverso dagli attacchi ordinari: può restare dormiente per settimane o mesi, sopravvivendo anche a un reset di fabbrica. In parole concrete, un'azienda che ha già avviato operazioni di bonifica potrebbe avere ancora la minaccia attiva senza saperlo.
Il so what? per il management: la VPN è la porta principale con cui i dipendenti in smart working accedono ai sistemi aziendali. Se quella porta ha una chiave in mano agli aggressori, ogni dato, ogni credenziale, ogni comunicazione interna è potenzialmente esposta. La priorità non è un audit tecnico immediato — è prendere una decisione strategica entro la prossima riunione operativa.
Partiamo da un confronto che ogni CEO comprende immediatamente.
Quando un'azienda subisce un incendio fisico, l'assicurazione copre i danni entro limiti contrattualizzati. Il costo medio di un sinistro incendio per una PMI italiana si aggira tra i 50.000 e i 200.000 euro, con tempi di ripristino di settimane. Questo rischio viene gestito con impianti antincendio, estintori e polizze specifiche — un investimento annuo di qualche migliaio di euro per milioni di copertura.
Considerate ora un data breach (violazione di dati aziendali) causato da una backdoor come RESURGE:
| Voce | Incendio PMI | Data breach da backdoor |
|---|---|---|
| Danno economico immediato | 50.000–200.000 € | 100.000–500.000 € |
| Tempo di ripristino | 2–8 settimane | 3–12 mesi |
| Copertura assicurativa tipica | Alta | Spesso parziale o assente |
| Impatto reputazionale | Limitato | Elevato e duraturo |
| Rischio sanzioni GDPR | Basso | Alto: fino al 4% del fatturato |
| Probabilità annua per PMI | ~0,3% | ~30% negli ultimi 3 anni |
Fonti: ENISA Threat Landscape, Verizon DBIR, dati assicurativi mercato europeo.
Secondo ENISA, il costo medio di un incidente informatico per una PMI europea ha superato i 180.000 euro nel 2024, considerando solo i costi diretti. I costi indiretti — perdita di clienti, rallentamento commerciale, danno reputazionale — possono triplicare quella cifra.
Cosa rende RESURGE diverso dagli attacchi ordinari?
La maggior parte degli attacchi informatici funziona in due fasi: accesso, poi azione (cifratura dei file, furto dati). Il malware entra, agisce, viene scoperto. RESURGE introduce una terza variabile: la latenza deliberata. Gli aggressori installano la backdoor, poi aspettano il momento strategicamente più prezioso — una fusione, un lancio di prodotto, una gara d'appalto sensibile — per colpire.
I dispositivi Ivanti Connect Secure sono presenti in decine di migliaia di organizzazioni europee, incluse PMI italiane che li usano come gateway VPN principale. La CISA ha confermato che la vulnerabilità era già sfruttata prima che la patch esistesse: alcune organizzazioni potrebbero essere state compromesse mesi fa senza alcun allarme visibile.
L'azienda è a conoscenza dell'avviso CISA ma decide di attendere aggiornamenti dal fornitore, o rimanda la verifica per mancanza di tempo.
Timeline dei 90 giorni successivi:
| Settimana | Cosa succede |
|---|---|
| 1–4 | La backdoor (se presente) resta attiva. Gli aggressori mappano silenziosamente la rete interna. |
| 4–8 | Raccolta di credenziali VPN, lettura di email interne, accesso ai documenti condivisi. |
| 8–12 | Attivazione: ransomware (virus che blocca i file e chiede riscatto), esfiltrazione dati, o accesso ai sistemi finanziari. |
| Dopo l'incidente | Discovery forense, notifica GDPR entro 72 ore, comunicazione ai clienti, blocco operatività. |
Costi stimati Scenario A:
| Voce di costo | Importo stimato |
|---|---|
| Fermo operativo (3–5 giorni) | 15.000–80.000 € |
| Incident response (consulenza esterna) | 10.000–40.000 € |
| Discovery forense | 5.000–20.000 € |
| Notifica GDPR e gestione legale | 3.000–15.000 € |
| Eventuale sanzione del Garante | 0–4% del fatturato annuo |
| Danno reputazionale (stima 12 mesi) | 20.000–200.000 € |
| Totale range | 53.000–355.000 € |
L'azienda attiva un protocollo di verifica immediato: audit VPN, patch accelerato, revisione degli accessi privilegiati.
Timeline dei 90 giorni successivi:
| Settimana | Azione |
|---|---|
| 1 | Audit degli accessi VPN, identificazione dispositivi Ivanti esposti. |
| 2 | Applicazione patch CVE-2025-0282, verifica integrità dei sistemi. |
| 3–4 | Rotazione delle credenziali VPN per tutti gli utenti, attivazione log avanzati. |
| Mese 2–3 | Implementazione monitoraggio continuativo, formazione minima del team. |
Costi Scenario B:
| Voce | Importo stimato |
|---|---|
| Consulenza IT per audit e patch | 1.500–5.000 € |
| Eventuale upgrade licenze sicurezza | 1.000–3.000 € |
| Ore interne (IT + management) | 500–2.000 € |
| Totale range | 3.000–10.000 € |
Il delta: tra non fare nulla e agire subito, la differenza di esposizione economica potenziale è compresa tra 43.000 e 345.000 euro. Non è un esercizio accademico: è il calcolo del rischio che ogni CFO dovrebbe completare questa settimana.
Esiste un fenomeno psicologico ben documentato nella gestione d'impresa: lo status quo bias, che porta i manager a non agire finché il costo dell'inazione non supera chiaramente il costo dell'azione. In cybersecurity, il problema è che quando il costo dell'inazione diventa visibile, è già troppo tardi.
I quattro costi diretti di un incidente da backdoor dormiente:
1. Fermo operativo. Ogni giorno di blocco dei sistemi ha un costo calcolabile. Per una PMI con 20 dipendenti e 3 milioni di fatturato, ogni giornata lavorativa vale circa 12.000 euro di produttività persa. Tre giorni di fermo: 36.000 euro, solo in ore non fatturate.
2. Incident response. Rimuovere una backdoor come RESURGE richiede competenze forensi specializzate. I consulenti di incident response fatturano tra i 150 e i 400 euro all'ora. Un'indagine minima richiede 50–100 ore di lavoro.
3. Obblighi GDPR. Se dati personali di clienti o dipendenti sono stati accessibili durante la compromissione, l'azienda ha 72 ore per notificare il Garante. La gestione legale corretta di una notifica richiede supporto specializzato. La mancata notifica è sanzionata autonomamente.
4. Effetti sulla supply chain. Se la vostra azienda è fornitore di altri, un vostro incidente potrebbe esporre i clienti e generare richieste di risarcimento contrattuale o la perdita del rapporto commerciale.
Il rapporto costo-protezione:
| Livello di protezione | Costo annuo (50 caselle) | Rischio residuo |
|---|---|---|
| Solo patch OS, nessun monitoraggio | 0 € + ore IT interne | Alto |
| Protezione email professionale | 600–900 €/anno | Medio — vettore email coperto |
| VPN security + EDR (protezione endpoint) | 3.000–8.000 €/anno | Basso |
| Stack completo (email + endpoint + SOC) | 8.000–20.000 €/anno | Molto basso |
La protezione del perimetro email — il vettore da cui parte la stragrande maggioranza degli accessi non autorizzati — costa, nel caso di soluzioni come MailSniper, da 0,99 euro per casella al mese. Per 50 caselle: circa 600 euro l'anno. Un decimo del costo minimo di un singolo incidente.
Queste tre mosse sono pensate per il management, non per l'IT. L'IT le esegue; il management decide di prioritizzarle.
Chi decide: Amministratore Delegato o Responsabile Operazioni.
Chiedete al vostro responsabile IT o al vostro MSP (fornitore informatico esterno):
Output atteso: un documento di una pagina con inventario dei dispositivi VPN e stato delle patch. Non serve di più per decidere il passo successivo.
Budget stimato: 0 euro con IT interno; 500–1.500 euro con consulente esterno.
Chi decide: IT con autorizzazione formale del management.
Questa mossa richiede una finestra di manutenzione programmata — tipicamente un sabato mattina, con 2–4 ore di VPN non disponibile. L'IT applica la patch e forza la reimpostazione delle password VPN per tutti gli utenti.
Perché è una decisione di management: il downtime pianificato tocca l'operatività aziendale. Deve essere approvato dal vertice, non deciso autonomamente dall'IT.
Budget stimato: 0 euro per la patch; 500–2.000 euro se serve supporto esterno per l'esecuzione.
Chi decide: CDA o Responsabile Acquisti.
RESURGE sfrutta vulnerabilità VPN — ma la quasi totalità degli attacchi inizia comunque via email: un link di phishing (email truffa con link malevolo), un allegato infetto, un'identità impersonata. Bonificare la VPN senza rafforzare il perimetro email equivale a cambiare la serratura della porta principale lasciando aperta la finestra sul retro.
Strumenti di protezione email professionale — con analisi degli allegati in ambienti isolati, verifica degli URL in tempo reale e rilevamento delle identità falsificate — riducono il rischio residuo in modo misurabile e documentabile per il CDA.
Budget indicativo: 600–1.500 euro/anno per una PMI da 50 utenti.
Riepilogo del piano:
| Mossa | Scadenza | Costo stimato | Chi decide |
|---|---|---|---|
| Audit esposizione VPN | Entro 7 giorni | 0–1.500 € | AD / Resp. Operazioni |
| Patch + rotazione credenziali | Entro 14 giorni | 0–2.000 € | IT (con approvazione management) |
| Revisione perimetro email | Entro 30 giorni | 600–1.500 €/anno | CDA / Resp. Acquisti |
Un malware dormiente non fa rumore. Non blocca i file, non rallenta i sistemi, non genera allarmi. Aspetta. E ogni settimana che trascorre nella vostra rete, raccoglie informazioni che valgono più del danno immediato che potrebbe infliggere. La domanda da portare al prossimo CDA non è siamo vulnerabili? — ogni organizzazione lo è, sempre. La domanda giusta è: quanto tempo ci vorrebbe per accorgercene? Se la risposta non è entro 24 ore, sapete già da dove iniziare. La sezione domande frequenti risponde alle principali obiezioni di budget e implementazione per le PMI italiane.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoVenerdì pomeriggio, CISA aggiunge CVE-2025-53521 al KEV: exploit attivi su F5 BIG-IP APM, il sistema che gestisce l'accesso remoto di migliaia di aziende. La corsa contro il tempo è iniziata.
LeggiIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiQuando i criminali si nascondono dietro un fornitore fidato, l'email non sembra pericolosa — perché non lo è. La minaccia arriva dall'interno della catena di fiducia. Ecco come funziona il vendor email compromise e cosa si può fare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.