Nel 2024 il gruppo ransomware Akira ha consolidato la propria posizione tra le minacce più attive a livello globale, con centinaia di vittime documentate e una presenza significativa anche in Svizzera. Il caso più noto in territorio elvetico riguarda Hoerbiger, gruppo industriale con sede a Zug.
La doppia estorsione: come funziona
Il ransomware moderno non si limita a cifrare i dati dell’azienda vittima. Il modello ormai standard — la cosiddetta doppia estorsione — aggiunge una seconda leva: prima di cifrare, gli attaccanti esfiltrano una copia dei dati sensibili. La vittima si trova quindi davanti a due problemi distinti:
- I propri sistemi sono bloccati e inaccessibili
- I propri dati riservati sono in mano ai criminali, che minacciano di pubblicarli
Pagare il riscatto non garantisce né la restituzione dei dati né la loro eliminazione dai server degli attaccanti.
Il caso Hoerbiger
Nel caso di Hoerbiger — azienda con attività nel settore industriale e della compressione — il gruppo Akira ha dichiarato di aver sottratto oltre 50 GB di dati riservati. La Procura federale ha aperto procedura penale. L’azienda non ha commentato pubblicamente i dettagli dell’incidente.
Perché le PMI devono preoccuparsi
Hoerbiger è una grande azienda. Ma Akira e gruppi simili colpiscono sistematicamente anche le PMI, spesso preferendole perché:
- Sistemi di difesa meno sofisticati
- Backup meno frequenti o non verificati
- Minore capacità di risposta all’incidente
- Maggiore propensione a pagare per riprendere l’operatività rapidamente
Come ridurre il rischio
Nessuna difesa è assoluta, ma alcune misure riducono drasticamente la probabilità di successo di un attacco ransomware:
- Backup immutabili e isolati — conservati su un sistema non raggiungibile dalla rete aziendale, verificati periodicamente con test di ripristino
- Segmentazione della rete — limitare la capacità del malware di diffondersi lateralmente
- Autenticazione multi-fattore su tutti gli accessi remoti e i servizi cloud
- Patching sistematico — molti attacchi sfruttano vulnerabilità note e già patchate
- Piano di risposta agli incidenti — sapere cosa fare nelle prime ore è critico
L’NCSC mantiene una pagina dedicata al ransomware con risorse e contatti per le aziende colpite.
Fonti
- SWI Swissinfo — “Up to 200 Swiss companies targeted by ransomware hacker group” (16.10.2025): swissinfo.ch
- NCSC — Rapporto semestrale 2024/2: ncsc.admin.ch — Halbjahresbericht 2024/2