Sul fronte degli attacchi ransomware, preoccupa la velocità con cui in recenti episodi gli attaccanti del gruppo di pirati informatici Storm-1175 ha effettuato l’accesso iniziale alle infrastrutture di rete delle vittime, sfruttando vulnerabilità appena scoperte e divulgate, o addirittura zero-day, ossia non ancora note. Particolarmente allarmante è l’elevata competenza di questo gruppo di hacker nell’individuare risorse perimetrali esposte e non adeguatamente protette, nonché la rapidità con cui riescono a orchestrare gli attacchi. Gli aggressori sfruttano infatti la breve finestra del cosiddetto “tempo di esposizione” — l’intervallo tra la pubblicazione di una vulnerabilità e l’applicazione della relativa patch — durante il quale i sistemi, se esposti a Internet, risultano particolarmente vulnerabili.
E’ in questa finestra temporale in cui i sistemi perimetrali sono accessibili dall’esterno, e non ancora patchati, che gli hacker del gruppo Storm-1175 hanno attaccato negli ultimi mesi una varietà di organizzazioni nei settori sanitario, dell’istruzione, della finanza e dei servizi professionali. Dopo l’accesso iniziale, la strategia dei cybercriminali consiste nel procedere alla diffusione laterale volta alla esfiltrazione dei dati e all’installazione e diffusione del ransomware Medusa, legato proprio a questo gruppo di hacker. Per perseguire l’obiettivo, una volta ottenuto il primo accesso, gli attaccanti creano persistenza generando nuovi account utente e implementando web shell. Si tratta nello specifico di uno script dannoso che viene caricato su un web server vulnerabile ed esposto, al fine di ottenere l’accesso remoto e il controllo del sistema. Una web shell agisce quindi di fatto come una backdoor persistente, che permette agli aggressori di eseguire comandi, consentire la gestione di file, il furto e l’esfiltrazione di dati e di muoversi lateralmente all’interno della rete utilizzando un web browser.
La strategia degli attaccanti include anche l’impiego di strumenti amministrativi legittimi, tool ufficiali come software di monitoraggio e gestione remota RMM (Remote Monitoring and Management), che rendono più difficile rilevare l’intrusione, consentendo al threat actor di spostarsi lateralmente senza farsi notare. Infrastrutture e software che diventano così a duplice uso, in quanto permettono agli attaccanti di mimetizzare il traffico dannoso in piattaforme affidabili, ufficiali e crittografate, riducendo la probabilità di venire scoperti. In questo modo, l’attaccante può operare quasi indisturbato, sottraendo credenziali e compromettendo il funzionamento delle soluzioni di sicurezza prima di distribuire il ransomware. La rapidità con cui vengono sfruttate vulnerabilità recenti o zero-day, unita a queste tecniche, espone non solo le singole organizzazioni colpite, ma anche tutte le realtà a esse collegate nella supply chain — inclusi i fornitori di infrastrutture critiche — amplificando significativamente l’impatto complessivo dell’attacco.
La rapidità e l’efficacia con cui vengono individuate nuove vulnerabilità per penetrare nelle reti aziendali, evidenziate dalle più recenti tipologie di attacco informatico, mostrano chiaramente come le imprese debbano oggi evolvere da una logica reattiva a un approccio di gestione continua della sicurezza. Questo richiede il supporto di un monitoraggio costante da parte di esperti e l’adozione di strumenti NDR (Network Detection and Response), che offrono una visibilità più ampia e approfondita della superficie di attacco, includendo sistemi interni ed esterni. Ciò consente di rilevare tempestivamente eventuali movimenti laterali e attività anomale nella rete aziendale, elemento sempre più centrale nella postura di cybersecurity di un’organizzazione, insieme alla tempestiva applicazione delle patch non appena disponibili, al fine di ridurre al minimo il tempo di esposizione durante il quale il sistema rimane vulnerabile agli attacchi.