Negli ultimi anni, diversi gruppi ransomware hanno adottato tecniche sempre più sofisticate per abusare degli strumenti RMM. Invece di introdurre direttamente codice malevolo, questi attori delle minacce preferiscono sfruttare software legittimi già presenti negli ambienti IT delle vittime. Questo approccio consente loro di muoversi indisturbati all’interno delle reti, eludendo i sistemi di protezione e riducendo significativamente le probabilità di essere rilevati. Attraverso l’uso di strumenti amministrativi legittimi, come PowerShell o Task Scheduler, gli attaccanti riescono a eseguire operazioni malevole senza sollevare allarmi, un metodo noto come “Living-off-the-Land” (LotL).
L’IoT microbico
“Inoltre, rileva Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis ,è sempre più comune il ricorso a tecniche di privilege escalation, che consentono agli attaccanti di ottenere livelli di accesso superiori sfruttando configurazioni errate o vulnerabilità presenti nei sistemi di autenticazione. Una volta acquisiti i privilegi amministrativi, gli attaccanti possono disabilitare i sistemi di sicurezza, installare ulteriori strumenti di monitoraggio e persino persistere nel sistema per lunghi periodi senza essere rilevati. Un altro elemento critico, aggiunge, è lo sfruttamento delle vulnerabilità zero-day negli RMM, che permette di bypassare le autenticazioni e infiltrarsi nei sistemi senza alcuna interazione da parte della vittima. Questo tipo di attacco, spesso orchestrato da gruppi APT (Advanced Persistent Threat), si distingue per la capacità di rimanere latente all'interno delle reti, raccogliendo informazioni sensibili prima di eseguire attacchi su larga scala. Uno degli strumenti RMM più spesso sfruttati dai cybercriminali è ConnectWise ScreenConnect, che è stato oggetto di attacchi in cui sono state sfruttate vulnerabilità zero-day per ottenere accessi non autorizzati”.
A rischio i Managed Service Provider
L’impatto di questi attacchi è particolarmente grave per i Managed Service Provider (MSP) e i Managed Security Service Provider (MSSP), i quali gestiscono le infrastrutture IT di numerose aziende e organizzazioni. Una singola compromissione di un MSP può tradursi in un effetto a catena devastante, esponendo al rischio decine, se non centinaia, di clienti connessi alla rete dell’MSP o MSSP. Proprio per questo motivo, gli strumenti RMM rappresentano un bersaglio privilegiato per i cybercriminali, che mirano a ottenere il massimo impatto con il minimo sforzo.
Per mitigare il rischio legato all’abuso degli RMM, afferma ancora Artioli, è essenziale adottare un approccio di sicurezza più rigoroso. Le organizzazioni dovrebbero implementare controlli di accesso più severi, limitando l’uso degli strumenti di gestione remota solo agli utenti autorizzati e monitorando costantemente le attività sospette. L’autenticazione a più fattori (MFA) e l’analisi comportamentale delle connessioni remote possono aiutare a identificare tempestivamente eventuali anomalie, riducendo la finestra di opportunità per gli attaccanti. Inoltre, è fondamentale sensibilizzare gli operatori IT sui rischi connessi all’uso di strumenti RMM e sulla necessità di mantenere aggiornati i software per correggere eventuali vulnerabilità sfruttabili dagli hacker.
Un cambio di mentalità potrebbe essere utile
In conclusione per l’esponente di Acronics la crescente sofisticazione degli attacchi informatici richiede un cambio di mentalità nell’approccio alla cybersecurity. Non basta più limitarsi a implementare misure di difesa tradizionali: è necessario anticipare le mosse degli avversari, adottando strategie di protezione più avanzate e dinamiche. Un monitoraggio continuo delle attività di rete, combinato con una gestione attenta delle credenziali di accesso e una segmentazione efficace delle infrastrutture IT, può contribuire a ridurre il rischio di compromissione e a proteggere meglio le aziende da minacce sempre più insidiose. In un contesto in cui gli strumenti RMM sono sia una risorsa essenziale sia una potenziale vulnerabilità, il loro utilizzo sicuro deve diventare una priorità assoluta per tutte le organizzazioni.