Team MailSniper
Autore
287 giorni. Questo è il tempo medio che passa prima che un'azienda si accorga di essere stata violata. Con l'update 005 della campagna TeamPCP, quel numero non è più una statistica astratta: è una realtà economica concreta, con la prima vittima confermata pubblicamente e una novità inquietante. Gli attaccanti, dopo essersi infiltrati attraverso la catena dei fornitori, non colpiscono subito. Passano mesi a "fare turismo" nei tuoi sistemi cloud, mappando ogni cartella, ogni backup, ogni conto corrente visibile. Solo quando hanno una mappa completa della tua azienda, chiedono il riscatto. Il "so what" per il tuo bilancio? Quando il ransomware arriva, il danno economico è già fatto da mesi. Ogni giorno di enumerazione silenziosa aggiunge zero al costo diretto, ma moltiplica per dieci il rischio reputazionale e legale.
Un data breach medio costa oggi circa 4,5 milioni di euro. Se l'attacco avviene attraverso un fornitore compromesso (supply chain), aggiungi altri 200.000 euro di spese dirette. Ma questi sono i numeri che leggi sui report. I numeri che contano davvero per il tuo CDA sono altri.
Pensa a un incendio in ufficio. L'assicurazione copre i danni materiali, trovi una sede temporanea, in due settimane sei operativo. Il costo è prevedibile e contenuto. Ora pensa a TeamPCP: gli attaccanti entrano silenziosamente, passano nove mesi a copiare la tua posta, a vedere quali contratti stai per firmare, a mappare chi sono i tuoi clienti più importanti. Quando finalmente lanciano il ransomware, non chiedono solo i soldi per sbloccare i file. Chiedono il silenzio su dati che hanno già esfiltrato, minacciando di pubblicare strategie commerciali e dati sensibili di clienti.
Il costo qui non è solo tecnico. È la perdita di tre contratti in stand-by perché il cliente ha saputo che i suoi dati erano in mano a criminali. È la causa legale da parte di un partner che scopre che hai violato le clausole di riservatezza senza nemmeno saperlo. È l'audit forense che dura mesi perché devi ricostruire, file per file, cosa hanno visto per 287 giorni.
Confronta il rischio:
La differenza? Nel primo caso reagisci. Nel secondo, scopri di aver reagito troppo tardi di nove mesi.
Immagina due aziende identiche, nel tuo stesso settore, con 100 dipendenti e uso intensivo di Office 365 e Google Workspace per condividere documenti con fornitori.
TeamPCP entra attraverso un software di contabilità condiviso con lo studio esterno. Non lancia subito il ransomware. Per sei mesi, usa account compromessi per "guardare in giro": scarica liste utenti, verifica quali caselle hanno accesso a fatturazione, mappa i backup su OneDrive, identifica i documenti strategici. Quando colpisce, sa esattamente dove sono i dati sensibili. Chiede 500.000 euro di riscatto per la decrittazione, più altri 300.000 per non pubblicare i dati rubati. Devi chiudere per 4 settimane. Perdi due clienti importanti che scoprono la violazione.
Stesso ingresso, stesso fornitore compromesso. Ma qui c'è un sistema che controlla i comportamenti anomali. Quando l'attaccante inizia a "enumerare" (mappare) le risorse cloud — operazione che un utente normale non fa mai — scatta un alert. L'account viene isolato in 24 ore. L'attaccante non ha avuto il tempo di capire dove sono i tesori della tua azienda. Il danno si limita a una password da resettare e a un fornitore da avvisare.
Ecco il confronto in numeri:
| Voce di Costo | Scenario A (Nessuna Protezione) | Scenario B (Monitoring Attivo) |
|---|---|---|
| Riscatto pagato | €800.000 (doppio estorsione) | €0 |
| Downtime operativo | 4 settimane (perdita fatturato) | 4 ore |
| Audit forense e legali | €120.000 (ricostruzione 6 mesi di log) | €8.000 (analisi puntuale) |
| Perdita clienti | €200.000 (2 contratti persi) | €0 |
| Notifica GDPR e sanzioni | €50.000-100.000 (se dati sensibili esposti) | €0 (breech contenuto) |
| Costo protezione annuale | €0 | €1.188 (100 caselle a €0,99/mese con MailSniper) |
Risultato: con un investimento di circa mille euro l'anno, l'azienda dello Scenario B ha evitato una perdita di oltre un milione e mezzo di euro. Non è una questione di tecnologia: è una questione di gestione del rischio.
Facciamo i conti senza giri di parole. Se hai 50 dipendenti, una protezione email avanzata con analisi comportamentale su cloud ti costa circa €1,20 a casella al mese: €720 all'anno. Se hai più di 100 caselle, scendi a €0,99: €1.188 all'anno.
Ora confronta con il costo di un singolo incidente supply chain come quello documentato nell'update 005 di TeamPCP:
Ma c'è un costo nascosto che non trovi nei report: il costo dell'enumerazione. Quando TeamPCP passa mesi a mappare il tuo cloud, non sta solo rubando dati. Sta costruendo un dossier sulla tua azienda. Sa chi sono i tuoi dipendenti chiave, chi sta per essere licenziato (e quindi è vulnerabile alla corruzione), quali sono i tuoi progetti segreti. Questo "dossier aziendale" ha un valore sul mercato nero molto superiore ai dati grezzi. E tu non puoi assicurarti contro la "perdita di vantaggio competitivo strategico".
Il rapporto è semplice: spendi meno di mille euro all'anno per prevenire, o rischi di perdere un milione per gestire il disastro. Non è ottimizzazione: è sopravvivenza economica.
Non serve una rivoluzione tecnologica. Serve una decisione di management eseguita con precisione. Ecco la timeline per i prossimi 90 giorni.
Azione: Chiedi al tuo IT o fornitore esterno di estrarre i log degli ultimi 6 mesi di accesso a Office 365, Google Workspace, Dropbox Business e qualsiasi altro cloud aziendale. Cerca pattern sospetti: accessi fuori orario da utenti "power user", download massivi di file da parte di account che solitamente non lo fanno, visualizzazioni di liste utenti complete (l'enumerazione di cui parla l'update 005).
Budget: €3.000-€5.000 per una consulenza forense preventiva. Se trovi anomalie, hai già risparmiato centinaia di migliaia. Se non trovi nulla, hai la conferma che stai monitorando bene.
Output: Un report su chi ha accesso a cosa, e se qualcuno ha "guardato troppo" negli ultimi mesi.
Azione: Implementa un sistema che non si limita a filtrare virus in arrivo, ma analizza cosa succede dentro la tua posta e i tuoi cloud. Deve rilevare quando un account compromesso inizia a comportarsi come un "esploratore" piuttosto che come un utente normale.
Budget: Per una PMI di 50-100 utenti, parliamo di €1.188-€1.800 annui. Valuta come funziona una protezione che include sandboxing e analisi comportamentale per capire se fa al caso tuo.
ROI: Ogni giorno di detection anticipata rispetto alla media di 287 giorni ti fa risparmiare circa €5.000 di danno potenziale. Recuperi l'investimento in meno di una settimana di protezione effettiva.
Azione: TeamPCP colpisce attraverso i fornitori. Scegli i tuoi 3 fornitori critici (software gestionali, studi di consulenza, logistica) e chiedi loro: "Se venite violati domani, io lo saprei? Avete un sistema di notifica entro 24 ore?". Poi, verifica contrattualmente chi paga in caso di danno derivante dalla loro negligenza.
Budget: €10.000 per un penetration test mirato alla supply chain (simulazione di attacco via fornitore).
Output: Clausole contrattuali aggiornate e un piano di risposta condiviso con i partner critici.
Il vero danno di TeamPCP, e di campagne simili documentate nell'ultimo aggiornamento, non è il ransomware che arriva dopo mesi. È la certezza che, per 287 giorni, qualcuno ha avuto una mappa dettagliata della tua azienda senza che tu lo sapessi. E quella mappa non ha prezzo: è il tuo vantaggio competitivo, la fiducia dei clienti, la tua stessa azienda. La domanda per il tuo prossimo CDA non è "se" verrete attaccati, ma "quanto velocemente lo scopriremo". Perché nel momento in cui lo scopri, il danno è già fatto da nove mesi.
Per dubbi su come calcolare il rischio specifico della tua azienda, consulta le domande frequenti sui costi di un data breach o approfondisci i servizi di analisi preventiva.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoTi è mai capitato di ricevere una richiesta di amicizia da qualcuno che non conosci su Facebook? Potrebbe essere un hacker nordcoreano. Il gruppo APT37 sta usando i social media per avvicinare le vittime e installare il malware RokRAT. Te lo spiego come fossimo al bar.
LeggiUn allegato PowerPoint, un caffè freddo sulla scrivania, e una backdoor che apre le portre ai servizi segreti russi. APT28 colpisce ancora con PRISMEX, un malware invisibile che ha bucato le difese di governi e contractor della difesa. Ecco il racconto di come funziona davvero un attacco di spionaggio cyber.
LeggiGli attacchi alla supply chain come TeamPCP hanno rubato codice sorgente da Cisco. Ma il vero problema per le PMI italiane? Non è la notizia in sé - è che il 73% delle aziende non sa di essere esposta. E il costo medio di un breach supera i 150.000 euro.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.