Gli attacchi ransomware OT stanno passando da minaccia teorica a causa concreta di fermi impianto, estorsioni milionarie e problemi di safety. Non parliamo più solo di server IT cifrati: sempre più spesso il bersaglio finale sono HMI, sistemi SCADA, engineering workstation e, con loro, la continuità della produzione.
A confermare il trend non sono solo i casi di cronaca: secondo un’analisi recente di Integrity360, il 70% delle aziende industriali dichiara di aver subito attacchi informatici e gli incidenti ransomware legati all’OT sono cresciuti dell’81% in un anno.
È il segnale che l’ecosistema criminale ha ormai capito quanto sia redditizio colpire direttamente gli ambienti industriali, sfruttando la convergenza IT/OT, i dispositivi IIoT e accessi remoti spesso poco governati.
In questo articolo analizziamo come si sono evolute le campagne ransomware contro l’OT, quali tattiche e vettori tecnici usano oggi gli attaccanti per muoversi dall’IT alla fabbrica e dove si annidano le vere debolezze nelle architetture industriali. L’obiettivo è fornire una lettura tecnica ma concreta del fenomeno, utile sia a chi gestisce la sicurezza OT sia a chi, in azienda, deve prendere decisioni su investimenti e priorità di cybersecurity industriale.
Perché le minacce informatiche OT stanno crescendo? Il nuovo terreno di caccia dei ransomware
Negli ultimi anni le minacce informatiche OT non sono più un effetto collaterale degli attacchi IT, ma un obiettivo sempre più frequente e deliberato. La crescente integrazione tra reti aziendali e reti di stabilimento, l’aumento dei dispositivi IIoT e l’uso esteso di accessi remoti per manutenzione hanno trasformato gli impianti produttivi in un bersaglio ad alto valore: colpire l’OT significa fermare la produzione, con un potere di ricatto enormemente superiore rispetto alla sola cifratura dei dati.
I dati lo confermano chiaramente. In un’analisi Telsy su 68 incidenti OT reali, oltre il 50% degli episodi risulta collegato a campagne ransomware. Parallelamente, i report Kaspersky evidenziano un incremento di 1,2 volte degli attacchi ransomware contro sistemi ICS, il livello più alto mai registrato. È la prova che questi attacchi non sono più occasionali: sono diventati la minaccia dominante per gli ambienti industriali.
Questo cambiamento rende evidente come il modello tradizionale di sicurezza OT, storicamente basato su reti chiuse e isolate, non sia più sufficiente. Molte architetture industriali includono oggi connessioni cloud, VPN, gateway e integrazioni dirette con ERP e MES. Proprio in questi punti di interconnessione, spesso protetti solo con logiche di cybersecurity informatica “classica”, gli attaccanti trovano le condizioni ideali per spostarsi dall’IT alla fabbrica.
Il motivo per cui i ransomware hanno tanto successo in OT è semplice: bloccare HMI, server SCADA, historian o engineering workstation significa interrompere la produzione. A differenza del mondo IT, dove l’attacco impatta soprattutto l’accesso ai dati, nell’OT ogni fermo impianto comporta perdite economiche immediate, possibili problemi di qualità o safety e compromissione delle consegne. Questo aumenta drasticamente la pressione sulle aziende, e quindi la probabilità che il riscatto venga pagato.
A tutto ciò si somma un contesto strutturalmente fragile: sistemi legacy difficili da aggiornare, reti OT non sufficientemente segmentate, accessi remoti concessi ai fornitori senza controlli adeguati e una naturale reticenza a interrompere la produzione per attività di hardening o patching.
È l’insieme di questi elementi che spiega perché i ransomware stiano trovando un terreno così favorevole negli ambienti OT e perché un approccio moderno alla cybersecurity OT debba essere progettato su misura, non copiato dal mondo IT.
Come un attacco ransomware IT arriva fino alla fabbrica: la vera dinamica tecnica degli incidenti OT
Quando si parla di attacchi ransomware OT, nella maggior parte dei casi l’ingresso non avviene direttamente sulla rete di fabbrica, ma dalla superficie di esposizione IT “classica”: e-mail, VPN, RDP esposti, applicazioni pubblicate su Internet, credenziali rubate. L’ambiente OT entra in gioco in una seconda fase, quando l’hacker ha già ottenuto un primo punto d’appoggio e può muoversi con calma all’interno dell’infrastruttura.
In uno scenario tipico, il percorso dell’attacco si può riassumere così:
- Fase 1 – Compromissione iniziale in IT
Phishing mirato, credenziali sottratte (anche tramite infostealer), vulnerabilità su VPN o gateway esposti permettono di entrare nella rete aziendale. Da qui, l’attaccante inizia a studiare il dominio, i server critici, gli account con privilegi elevati. - Fase 2 – Movimento laterale e ricognizione
Una volta dentro, l’obiettivo è ottenere i diritti necessari per spostarsi liberamente: escalation di privilegi, compromissione del domain controller, utilizzo di strumenti “legittimi” (RDP, PSExec, strumenti di amministrazione remota) per non farsi notare. In questa fase vengono mappate anche le connessioni verso l’OT: jump server, server MES, applicazioni che parlano con sistemi SCADA o PLC. - Fase 3 – Pivot verso la rete OT
Individuato il “ponte” tra IT e OT (ad esempio un server MES in DMZ, un jump server di manutenzione o una VPN tecnica), l’attaccante lo utilizza per entrare nei segmenti di rete industriali. Qui il bersaglio non sono solo i file, ma soprattutto le engineering workstation, gli HMI e i server SCADA, spesso meno protetti e con software datato. - Fase 4 – Impatto operativo e cifratura mirata
Nella fase finale il ransomware viene eseguito in modo coordinato, colpendo sia sistemi IT sia componenti OT strategiche. L’obiettivo non è solo cifrare dati, ma rendere impossibile o instabile il controllo della produzione: linee che si fermano, ricette non più accessibili, allarmi che non funzionano correttamente, storico di processo non disponibile. È qui che il potere di ricatto raggiunge il massimo.
Dal punto di vista della sicurezza OT, il problema non è soltanto impedire che il ransomware arrivi in fabbrica, ma limitare la possibilità di compiere questo percorso end-to-end: ridurre le superfici di attacco in IT, controllare rigorosamente i punti di interconnessione fra IT e OT, segmentare le reti in modo reale (non solo su carta), monitorare i movimenti laterali e avere procedure chiare per isolare rapidamente le porzioni di rete compromesse.
Le 4 nuove tattiche degli hacker che stanno potenziando gli attacchi ransomware OT
Gli attacchi ransomware OT non si presentano più come estensioni involontarie delle campagne IT: oggi gli hacker operano con una comprensione sempre più profonda degli ambienti industriali e modellano le loro strategie per massimizzare l’impatto sulla produzione. Questo significa che l’obiettivo non è più solo cifrare dati, ma minare la capacità dell’azienda di operare, prendere decisioni in tempo reale e garantire sicurezza e continuità.
La prima tattica riguarda l’evoluzione verso doppia e tripla estorsione, applicata in modo specifico al contesto OT. Oltre alla cifratura dei sistemi, gli hacker:
- Esfiltrano informazioni critiche (ricette, parametri di processo, documenti tecnici),
- Interrompono o degradano gli impianti colpendo HMI, SCADA, server MES e workstation di ingegneria,
- E, nei casi più aggressivi, minacciano conseguenze su safety e ambiente, sfruttando la natura fisica dei processi industriali per aumentare la pressione psicologica e finanziaria.
La seconda tattica consiste nello sfruttamento mirato di IIoT e accessi remoti. Gateway cloud, piattaforme di manutenzione e VPN tecniche sempre aperte rappresentano un percorso privilegiato per raggiungere la rete OT senza dover violare direttamente segmenti più controllati. La presenza di credenziali condivise tra fornitori o account mai disattivati crea un terreno perfetto per spostamenti laterali discreti e difficili da rilevare.
La terza tattica è l’aumento della competenza industriale degli hacker. Le gang più strutturate sanno riconoscere componenti OT specifiche – engineering workstation, historian, directory di progetto dei PLC – e ne comprendono il ruolo all’interno del processo produttivo. Questo permette di orchestrare attacchi molto più precisi, mirati a colpire i nodi che rendono complesso il ripristino delle linee anche dopo la rimozione del malware.
Infine, la quarta tattica è la permanenza silente. Prima della cifratura, gli hacker restano nella rete per giorni o settimane, disattivando agenti di sicurezza, manipolando configurazioni e identificando i backup più strategici da rendere inutilizzabili. Se la cybersecurity OT non dispone di un monitoraggio comportamentale dedicato a SCADA, HMI e postazioni di ingegneria, questa fase passa spesso inosservata. E quando arriva la cifratura, la fabbrica si ritrova con sistemi fermi, procedure compromesse e un ripristino molto più difficile del previsto.
Attacchi ransomware OT e sicurezza OT: impatti reali su impianti, persone e business
Quando si parla di attacchi ransomware OT, il rischio non è solo dover ripristinare qualche server: in gioco ci sono la continuità produttiva, la qualità del prodotto, la safety degli impianti e, in molti casi, la stessa reputazione dell’azienda. È qui che la sicurezza OT si distingue nettamente dalla sicurezza IT tradizionale: ogni decisione ha conseguenze dirette su ciò che accade in campo, non solo su ciò che vediamo a monitor.
Il primo impatto evidente è il fermo impianto, totale o parziale. Se HMI, server SCADA o MES non sono disponibili o funzionano in modo erratico, le linee vengono rallentate o fermate per motivi di sicurezza. Questo si traduce in ordini non evasi, penali contrattuali, ritardi a catena lungo la supply chain. In alcuni settori – automotive, alimentare, farmaceutico – anche poche ore di down possono generare perdite a sei zeri e compromettere rapporti con clienti strategici.
C’è poi il tema della qualità e della tracciabilità. Se i sistemi che registrano parametri di processo, lotti, controlli qualità o dati di laboratorio sono cifrati o indisponibili, diventa difficile dimostrare che la produzione è avvenuta secondo specifica. Questo può portare a scarti massivi, campagne di richiamo o blocchi di spedizione. In pratica, anche quando la linea riparte, l’effetto del ransomware continua a farsi sentire per giorni o settimane.
Un altro livello di impatto riguarda la safety e l’ambiente. Un ransomware che colpisce sistemi di controllo o monitoraggio può disattivare allarmi, cruscotti di supervisione, logiche di interlock che servono a prevenire condizioni pericolose. Per evitare di esporre persone e impianti a rischi inaccettabili, molte aziende scelgono di portare l’impianto in stato sicuro, con ulteriori tempi e costi di fermo. Nei contesti più critici (energia, chimico, oil & gas), l’evento può avere anche implicazioni regolatorie e ispettive.
Sul piano organizzativo, un incidente serio cambia la percezione interna della cybersecurity OT. Il management si trova a prendere decisioni importanti (pagare o no il riscatto, comunicare o meno l’incidente all’esterno, gestire fornitori e clienti in emergenza) spesso senza aver preparato prima scenari e responsabilità. Nel frattempo, i team IT e OT sono costretti a collaborare sotto pressione, con priorità diverse: ripristinare il più in fretta possibile o ricostruire con criteri più sicuri?
Infine, ci sono gli impatti di medio-lungo periodo: aumento dei costi assicurativi, richieste di audit da parte dei clienti, progetti di revamping forzati, necessità di rivedere contratti e SLA con i fornitori. Un singolo incidente può diventare il punto di non ritorno che costringe l’azienda a ripensare da zero la propria strategia di sicurezza OT, spesso in tempi stretti e con investimenti non pianificati.
Come blindare la cybersecurity OT: le azioni davvero efficaci contro i ransomware
Se gli attacchi ransomware OT oggi funzionano così bene è perché trovano terreno fertile in architetture ibride, controlli disallineati tra IT e fabbrica e poca visibilità su quello che accade in campo. Per questo una strategia efficace di cybersecurity OT non può ridursi a “mettere più antivirus in stabilimento”, ma deve combinare scelte tecniche e organizzative, con priorità chiare.
Il primo pilastro è la segmentazione reale delle reti, non solo documentata. Questo significa separare in modo netto i livelli IT, DMZ e OT (seguendo ad esempio il modello Purdue), limitare al minimo indispensabile i flussi tra i segmenti e applicare regole di firewalling specifiche per protocolli industriali, non solo per porte e indirizzi IP. Ogni “ponte” fra IT e OT – server MES, jump server, gateway IIoT – va trattato come un punto critico, monitorato e protetto con autenticazione forte, logging e controlli dedicati.
Il secondo pilastro riguarda gli accessi remoti. Molti incidenti nascono da VPN tecniche sempre aperte o da credenziali di fornitori mai disattivate. Qui le misure chiave sono: accesso remoto solo “on demand” (aperto quando serve, chiuso subito dopo), autenticazione multifattore, sessioni registrate per attività sensibili, revisione periodica degli account e dei permessi. Dove possibile, ha senso valutare soluzioni più robuste come tunnel applicativi, jump host dedicati o, in casi ad alta criticità, gateway unidirezionali.
Un’altra priorità è la gestione del ciclo di vita degli asset OT. Senza un inventario aggiornato di PLC, HMI, server SCADA, switch industriali e dei relativi firmware/software, è impossibile valutare l’esposizione alle vulnerabilità sfruttate dai ransomware. Non sempre si possono applicare patch con la stessa frequenza dell’IT, ma è fondamentale avere una strategia chiara: finestre di manutenzione programmate, compensazioni (es. hardening, whitelisting applicativo, restrizione dei servizi non necessari) e test di aggiornamento in ambiente di pre-produzione, quando possibile.
I backup meritano un discorso a parte. In OT non basta fare copie dei dati: vanno salvati in modo sicuro anche i file di progetto dei PLC, le configurazioni degli HMI, gli script di automazione, le ricette critiche. E soprattutto, almeno una parte dei backup deve essere isolata logicamente o fisicamente dalla rete produttiva, altrimenti gli stessi hacker che cifrano i sistemi produrranno danni anche sulle copie di sicurezza. Test di restore periodici (non solo dichiarati) sono essenziali: scoprire in piena emergenza che il backup è inutilizzabile è uno scenario purtroppo frequente.
La sorveglianza continua è un altro tassello centrale della sicurezza OT. Non si tratta solo di installare sensori di rete, ma di essere in grado di riconoscere comportamenti anomali: nuove connessioni verso PLC in orari insoliti, trasferimenti massivi di dati da server SCADA, strumenti di amministrazione remota usati da host inusuali. Un SOC che comprenda le peculiarità dei protocolli industriali e dei flussi OT permette di individuare in anticipo molti preparativi degli hacker, prima che scattino le fasi distruttive del ransomware.
Infine, c’è la componente organizzativa, spesso sottovalutata. Un piano di risposta agli incidenti che tratti gli ambienti OT come “una rete qualsiasi” è destinato a fallire. Servono procedure specifiche che definiscano: chi può decidere l’isolamento di una linea, come mettere in stato sicuro un impianto in caso di compromissione, quali sistemi ripristinare per primi, come coordinare IT, automazione, HSE e produzione. La formazione del personale di stabilimento – operatori, capi turno, manutenzione – è parte integrante della sicurezza OT: riconoscere segnali sospetti, sapere cosa fare (e cosa non fare) in caso di comportamento anomalo dei sistemi può ridurre in modo drastico l’impatto di un incidente.
Da dove iniziare davvero: valutare il rischio OT e costruire un percorso di difesa sostenibile
Di fronte alla complessità degli attacchi ransomware OT, la risposta più efficace non è rincorrere tecnologie sempre più complesse, ma partire da una valutazione lucida del rischio reale dello stabilimento. Capire quali asset sono critici, dove passano le interconnessioni IT/OT e quali processi non possono fermarsi permette di individuare subito le aree più esposte e gli interventi che generano il maggior impatto nel minor tempo.
Da questa analisi nasce una roadmap di sicurezza OT costruita su priorità concrete:
- Segmentazione effettiva della rete,
- Accessi remoti controllati,
- Monitoraggio dei comportamenti anomali sui sistemi industriali,
- Backup isolati,
- Procedure di risposta pensate per la fabbrica, non per l’ufficio.
Anche piccoli miglioramenti, se applicati nei punti giusti, riducono drasticamente la possibilità che un hacker possa muoversi indisturbato fino agli impianti.
In questo percorso, soluzioni nate specificamente per l’ambiente OT, soprattutto per la gestione sicura degli accessi remoti, fanno una grande differenza. Innovio, grazie alla partnership con Secomea, integra tecnologie progettate proprio per proteggere l’accesso ai macchinari industriali, riducendo uno dei vettori più sfruttati nelle campagne ransomware moderne.
Se vuoi capire come applicare questi principi nel tuo stabilimento, Innovio può supportarti nella valutazione del rischio OT e nella definizione di un percorso graduale, tecnico e sostenibile. Contattaci: insieme possiamo trasformare la sicurezza industriale in un elemento di resilienza e competitività.
