Impatto Sistemico

Critico (80.0)

Sintesi

Dall’inizio del 2026 ad oggi, questo CSIRT ha registrato, nel contesto nazionale, un numero significativo di attacchi ransomware attribuibili al gruppo Qilin, prevalentemente rivolti a PMI, tra cui figurano tuttavia anche importanti fornitori di servizi cloud.

Le analisi degli incidenti evidenziano che l’accesso iniziale alle infrastrutture compromesse avviene prevalentemente attraverso due vettori: lo sfruttamento sistematico di vulnerabilità note su apparati perimetrali esposti a Internet (appliance MDM Ivanti e sistemi Fortinet) e la compromissione di credenziali di accesso ai servizi VPN, ottenute mediante attacchi di brute force o tramite Initial Access Broker (IAB).

Le fasi di post-compromissione prevedono, infine, l’impiego di ransomware custom sviluppati in Rust, specificamente progettati per compromettere infrastrutture di virtualizzazione VMware ESXi, in combinazione con l’uso di strumenti legittimi, malware commodity, tool open source e componenti personalizzati.

Descrizione

Approfondimento Operativo: Gruppo QILIN

Attivo dal 2022, Qilin opera secondo un modello Ransomware-as-a-Service (RaaS) apparentemente gestito da un portavoce noto come Haise (alias Lucifer44 ). Il gruppo ha evoluto il proprio codice originario (scritto in Go) in una variante più robusta basata su Rust , e presenta analogie tecniche tipiche di note famiglie appartenenti a gruppi di alto profilo quali Black Basta e REvil . Qilin adotta una strategia di doppia estorsione , esfiltrando dati sensibili prima della cifratura, per poi intimare la pubblicazione in caso di mancato pagamento di un riscatto in criptovaluta. La struttura operativa è divisa in gruppi dedicati allo sviluppo del malware e al supporto agli affiliati, rendendo la minaccia facilmente scalabile e adattabile a target eterogenei (Windows, Linux, ESXi).

Correlazioni e Modalità di Compromissione Rilevate

Dall’analisi degli incidenti si delineano quattro principali modalità operative adottate dal gruppo, descritte di seguito:

• Violazione del Perimetro ed Esposizione degli Asset : il principale vettore di accesso iniziale ha visto lo sfruttamento delle interfacce di gestione critiche esposte su internet e prive dei necessari aggiornamenti di sicurezza. Le evidenze analizzate confermano lo sfruttamento attivo di vulnerabilità note su appliance di Mobile Device Management (MDM) Ivanti (CVE-2026-1281 e CVE-2026-1340) e soluzioni Fortinet (CVE-2024-21762 e CVE-2024-55591). Parallelamente, sono stati registrati tentativi di accesso non autorizzato tramite tecniche di brute force, in diversi casi osservati su apparati SSL VPN (es. SonicWall), volti all’acquisizione di credenziali valide, incluse quelle riferibili a soggetti terzi quali fornitori e consulenti esterni. Tale fenomeno risulta favorito dall’assenza di meccanismi di autenticazione a più fattori ( MFA ), configurandosi come una delle principali carenze strutturali realtive alla postura di sicurezza delle organizzazioni colpite.
• Compromissione dei fornitori : un secondo vettore d’accesso particolarmente critico riguarda il targeting dei fornitori, attuato attraverso la compromissione di servizi cloud e delle credenziali di accesso tramite VPN. La compromissione della supply chain avviene principalmente mediante il ricorso a Initial Access Broker (IAB) o tramite attacchi di brute force , spesso favoriti da una gestione non adeguata delle misure di sicurezza.
• Cifratura selettiva degli hypervisor e dei sistemi di Backup: Qilin evidenzia un orientamento operativo prevalente verso gli ambienti di virtualizzazione VMware ESXi . Acquisita la persistenza, l’attore utilizza payload sviluppati in linguaggio Rust e script PowerShell per l’automazione della cifratura dei datastore vSphere, determinando l’indisponibilità delle istanze virtualizzate e il conseguente blocco dei servizi core. Inoltre, al fine di massimizzare l’efficacia della pressione estorsiva, l’attaccante provvede allo sfruttamento di vulnerabilità specifiche – tra cui la CVE-2023-27532 presente in Veeam Backup & Replication – per l’estrazione di credenziali e la successiva neutralizzazione preventiva delle infrastrutture di backup online. Tale procedura risulta finalizzata a inibire le capacità di ripristino autonomo delle organizzazioni colpite
• Elusione forense : infine, un ulteriore elemento distintivo emerso dall’analisi degli incidenti riguarda la meticolosa attività di cancellazione delle proprie tracce, riconducibile all’adozione di metodologie di anti-forensics : gli attaccanti hanno utilizzato strumenti di amministrazione legittimi ( Atera , Splashtop , ScreenConnect ) al fine di stabilire canali di Comando e Controllo (C2) e procedere alla cancellazione sistematica dei log di sistema, unitamente alla disabilitazione delle soluzioni di protezione endpoint ( EDR/AV ). Tale strategia è finalizzata alla creazione di un deficit informativo volto ad ostacolare la ricostruzione della timeline dell’attacco e l’individuazioni delle fasi di esfiltrazione dei dati, condotte mediante l’impiego di utility quali Rclone, WinSCP e FileZilla .

Analisi delle Vulnerabilità

Lo sfruttamento delle vulnerabilità da parte degli affiliati di Qilin riflette una profonda conoscenza delle tecnologie di difesa perimetrale e dei sistemi di gestione dati. Di seguito si riporta il dettaglio delle vulnerabilità nelle campagne analizzate:

• Ivanti Endpoint Manager Mobile (EPMM): identificata tramite la CVE-2026-1281 di tipo “ Code Injection ” e con score CVSS v3.1 pari a 9.8. Tale vulnerabilità risiede in una non corretta gestione dell’input controllato dall’utente, che viene passato a componenti che generano o interpretano codice senza adeguata sanitizzazione o validazione. Lo sfruttamento consente a un attaccante remoto e non autenticato di eseguire codice arbitrario con privilegi di sistema, garantendo il controllo completo dell’asset perimetrale.
• Ivanti Endpoint Manager Mobile (EPMM): identificata tramite la CVE-2026-1340 di tipo “ Code Injection ” e con score CVSS v3.1 pari a 9.8. Tale vulnerabilità deriva da una validazione/sanitizzazione insufficiente dell’input ricevuto da alcune API o componenti web esposti di EPMM. Un attaccante può inviare richieste HTTP appositamente costruite che vengono poi interpretate come codice o comandi dal server.
• FortiOS e FortiProxy: identificata tramite la CVE-2024-21762 di tipo “ Out-of-bounds Write ” e con score CVSS v3.1 pari a 9.8. Tale vulnerabilità interessa il portale SSL VPN e consente a un attaccante di forzare la scrittura di dati oltre i limiti del buffer allocato tramite l’invio di richieste HTTP opportunamente predisposte. Tale azione determina l’esecuzione di codice o comandi non autorizzati sul dispositivo target.
• FortiOS e FortiProxy: identificata tramite la CVE-2024-55591 di tipo “ Authentication Bypass ” e con score CVSS v3.1 pari a 9.8. La vulnerabilità interessa le interfacce di gestione esposte e consente a un attaccante remoto non autenticato di eludere i meccanismi di autenticazione tramite l’invio di richieste appositamente predisposte. Lo sfruttamento permette l’accesso alle funzionalità amministrative del dispositivo, con conseguente possibilità di modificare la configurazione, compromettere l’integrità del sistema ed effettuare movimenti laterali verso l’infrastruttura interna.
• Veeam Backup & Replication : identificata tramite la CVE-2023-27532 di tipo “ Missing Authentication for Critical Function ” e con score CVSS v3.1 pari a 7.5. Tale vulnerabilità interessa i componenti dell’infrastruttura Veeam ed è causata dalla mancanza di meccanismi di autenticazione sull’interfaccia TCP 9401. Nel dettaglio, un attaccante remoto non autenticato, operante all’interno del perimetro di rete, potrebbe inviare richieste opportunamente predisposte per estrarre le credenziali archiviate e ottenere l’accesso ai sistemi interessati.

Criticità, Superficie di Esposizione e Azioni di Mitigazione

I casi trattati evidenziano come gli edge device , in particolare i sistemi di protezione perimetrale e di gestione dei dispositivi mobili (MDM), debbano essere costantemente e tempestivamente aggiornati, nonché opportunamente configurati, in quanto rappresentano la prima linea di difesa di una rete. Al contempo, i sistemi di virtualizzazione e le infrastrutture di backup rivestono un ruolo critico nel garantire la continuità dei servizi e le capacità di ripristino. Di conseguenza, la protezione di tali asset si configura come un requisito imprescindibile per assicurare la continuità operativa.

Si raccomanda pertanto l’applicazione di quanto di seguito riportato, specificando che la mancata, parziale o ritardata implementazione di opportune contromisure non deve essere considerata come una consapevole accettazione del rischio, ma come un significativo aumento della probabilità di compromissione dell’intera infrastruttura.

• Gestione rigorosa del ciclo di patching : assicurare l’applicazione tempestiva degli aggiornamenti di sicurezza, prioritariamente per gli apparati di rete ( Ivanti, Fortinet ), gli hypervisor ( VMware ESXi ) e le soluzioni di protezione dei dati ( Veeam ). I dispositivi non più supportati dai produttori (End-of-Life) o tecnicamente non aggiornabili devono essere dismessi o segregati dall’infrastruttura operativa quanto prima.
• Rafforzamento dei meccanismi di autenticazione: implementare protocolli di Autenticazione a più Fattori (MFA) per ogni canale di accesso remoto, inclusi servizi VPN e interfacce amministrative esposte. Tale misura deve essere estesa alla totalità degli utenti, con particolare rigore per le utenze riferibili a terze parti, fornitori e consulenti esterni.
• Segregazione degli asset critici : suddivisione logica dei percorsi di rete mediante l’adozione di VLAN dedicate e non instradabili per le funzioni di amministrazione. È necessario garantire il disaccoppiamento dei domini di autenticazione e l’impiego di postazioni di lavoro protette ( Privileged Access Workstations – PAW ) per le attività di gestione sistemistica, separandole nettamente dai segmenti di rete dedicati ai servizi corporate ordinari.
• Monitoraggio e Visibilità Endpoint : estendere l’adozione di soluzioni di Endpoint Detection and Response (EDR) alla totalità degli host dell’organizzazione. La presenza di asset privi di monitoraggio avanzato genera un deficit di visibilità tecnica, agevolando le fasi di persistenza e i movimenti laterali di un eventuale attore malevolo.
• Resilienza e conservazione del dato: adottare copie di backup offline ( cold-storage ) con credenziali dedicate, possibilmente immutable , al fine di assicurare la piena capacità di ripristino anche in presenza di un incidente ransomware.
• Integrità dei log di sistema: configurare la centralizzazione dei log in modalità append-only verso infrastrutture di log-management protette. Tale misura è volta a contrastare le tecniche di occultamento forense e la cancellazione sistematica dei log operata dal gruppo Qilin durante le fasi di post-compromissione.

Infine, si consiglia di valutare la verifica e l’implementazione, sui propri apparati di sicurezza, degli Indicatori di Compromissione (IoC) forniti nell’apposita sezione del portale.