Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose

Un'analisi tecnica delle vulnerabilità più pericolose della storia, dalle RCE ai nuovi vettori di attacco a livello hardware, con focus su ransomware, exploit…

Contenuto

Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose

Scopri anche

Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose

Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose

In questo articolo:

La sicurezza informatica ha attraversato diverse fasi evolutive, scandite da incidenti che hanno modificato radicalmente il modo in cui software, infrastrutture e protocolli vengono progettati e utilizzati. Tra migliaia di CVE (Common Vulnerabilities and Exposures), solo una minima parte raggiunge il punteggio massimo di 10.0 nel CVSS (Common Vulnerability Scoring System), il sistema standard per misurare la gravità di ciascuna problematica. Un punteggio CVSS pari a 10.0 rappresenta il livello di rischio più elevato e indica una vulnerabilità estremamente critica: può essere sfruttata da remoto attraverso la rete, non richiede autenticazione né alcuna azione da parte dell'utente e consente a un attaccante di ottenere il controllo completo dei sistemi colpiti.

Vulnerabilità RCE: quando l'esecuzione remota diventa arma

⬆ Torna su

Tra tutte le categorie di vulnerabilità, quelle considerate più critiche sono le Remote Code Execution, comunemente indicate con l'acronimo RCE. Una vulnerabilità di questo tipo consente a un attaccante di eseguire codice arbitrario su un sistema remoto. L'aggressore riesce a far eseguire al server o al dispositivo vittima istruzioni specifiche, ottenendo un livello di controllo che può variare dalla semplice esecuzione di comandi fino alla completa compromissione del sistema. Un attacco RCE può avvenire in diversi modi: l'attaccante può inviare una richiesta appositamente costruita verso un servizio esposto su Internet, manipolare dati che sono elaborati dal software vulnerabile oppure sfruttare meccanismi di caricamento dinamico di librerie e risorse esterne.

Se il sistema esegue il codice malevolo con privilegi elevati, l'aggressore può installare malware, rubare dati sensibili, creare backdoor permanenti o utilizzare il dispositivo compromesso come punto di partenza per attacchi contro altre macchine nella stessa rete — il cosiddetto movimento laterale. È proprio questa capacità di trasformare una semplice richiesta di rete in esecuzione di codice arbitrario che rende le vulnerabilità RCE particolarmente pericolose. In molti casi, questi attacchi non richiedono alcuna interazione da parte dell'utente e possono essere sfruttati automaticamente da malware o worm in grado di propagarsi rapidamente tra i sistemi vulnerabili.

Il patch gap e lo sfruttamento delle vulnerabilità

⬆ Torna su

Gli aggressori spesso effettuano il reverse engineering delle patch di sicurezza, una tecnica che consiste nell'analizzare in modo approfondito le modifiche introdotte dagli sviluppatori per correggere una vulnerabilità. Quando un vendor rilascia un aggiornamento, il codice modificato può rivelare indirettamente quale parte del software risultava vulnerabile e quale tipo di errore è stato risolto. Attraverso strumenti di binary diffing e analisi del codice compilato, i ricercatori — e allo stesso modo gli attori malevoli — confrontano la versione vulnerabile del software con quella aggiornata. Il processo permette di individuare rapidamente la funzione o il componente modificato dalla patch e di conseguenza di comprendere la logica della vulnerabilità.

Questo fenomeno ha portato alla nascita di un intervallo temporale ben noto nel settore della sicurezza: il cosiddetto "patch gap", cioè il periodo che intercorre tra il rilascio di una patch e la sua effettiva installazione sui sistemi esposti. Durante questa finestra temporale gli attaccanti possono sfruttare il fatto che la vulnerabilità sia ormai pubblicamente documentata, mentre una parte significativa dei sistemi rimane ancora non aggiornata. Non è raro che, a breve distanza dalla pubblicazione di una patch critica, siano sviluppati proof-of-concept (PoC) o exploit funzionanti. Questi strumenti possono diffondersi rapidamente nei forum underground, nei repository pubblici o nei toolkit utilizzati dai gruppi criminali, rendendo l'attacco accessibile anche ad attori con competenze tecniche limitate.

Log4Shell: la vulnerabilità che ha cambiato la cybersecurity

⬆ Torna su

La vulnerabilità Log4Shell (CVE-2021-44228) rappresenta uno degli esempi più emblematici di come un componente apparentemente innocuo possa diventare un punto di compromissione globale. Il problema risiedeva nella libreria Java Apache Log4j, uno strumento estremamente diffuso utilizzato per registrare log applicativi. Attraverso una semplice stringa inserita in un campo di input — spesso anche all'interno di header HTTP — un attaccante poteva attivare un meccanismo di JNDI lookup che permetteva al server vulnerabile di scaricare ed eseguire codice remoto. Il risultato era un exploit RCE eseguibile a distanza, senza autenticazione e spesso invisibile ai controlli tradizionali.

La gravità reale della vulnerabilità derivava soprattutto dalla diffusione della libreria: Log4j è incorporata in migliaia di prodotti enterprise, servizi cloud, applicazioni SaaS (Software-as-a-Service) e dispositivi embedded. Nel giro di poche ore dalla divulgazione pubblica iniziarono scansioni massive dell'intero spazio di indirizzamento IP, mentre aziende di tutto il mondo si trovarono costrette a effettuare analisi urgenti delle dipendenze software. Molti analisti hanno definito Log4Shell la vulnerabilità più critica dell'ultimo decennio proprio per la sua combinazione di facilità di exploit, ampia superficie di attacco e diffusione trasversale nel software moderno.

EternalBlue e il caso WannaCry

⬆ Torna su

Un altro episodio fondamentale nella storia della sicurezza informatica è rappresentato da EternalBlue (CVE-2017-0144), una vulnerabilità nel protocollo SMBv1 implementato nei sistemi Windows. L'exploit, originariamente sviluppato dalla NSA, divenne pubblico nel 2017 quando il gruppo Shadow Brokers pubblicò una serie di strumenti offensivi sottratti all'agenzia statunitense. Tra questi figurava proprio EternalBlue, capace di sfruttare un difetto nel servizio SMB per eseguire codice da remoto. La caratteristica più pericolosa della vulnerabilità consisteva nelle sue abilità di worm: un sistema compromesso poteva automaticamente infettarne altri nella stessa rete.

Il meccanismo fu sfruttato dal ransomware WannaCry, che nel maggio 2017 colpì centinaia di migliaia di computer in oltre 150 Paesi. Ospedali, aziende logistiche, industrie manifatturiere e infrastrutture pubbliche subirono interruzioni operative su larga scala. L'episodio dimostrò in modo drammatico come vulnerabilità presenti da anni nei sistemi legacy possano trasformarsi improvvisamente in crisi globali quando vengono rese disponibili tecniche di exploit affidabili.

Heartbleed e BlueKeep: altre vulnerabilità storiche

⬆ Torna su

Nel 2014 la vulnerabilità Heartbleed (CVE-2014-0160) mise in discussione la sicurezza stessa delle comunicazioni cifrate online. Il problema era legato all'implementazione dell'estensione TLS Heartbeat nella libreria crittografica OpenSSL, utilizzata da milioni di server Web. A causa di un errore nella gestione della lunghezza dei dati restituiti, un attaccante poteva leggere porzioni arbitrarie di memoria del server. A differenza di molte altre vulnerabilità, Heartbleed non lasciava tracce evidenti nei log: ciò rendeva impossibile stabilire se un sistema fosse stato effettivamente preso di mira dagli aggressori. L'impatto fu enorme: milioni di certificati TLS furono revocati e rigenerati, mentre molte imprese costrette a reimpostare password per intere basi di utenti.

Nel 2019 la vulnerabilità BlueKeep (CVE-2019-0708) generò una delle più grandi mobilitazioni nel settore della sicurezza. Il difetto interessava il protocollo Remote Desktop (RDP) utilizzato nei sistemi Windows e consentiva esecuzione di codice remoto prima dell'autenticazione. Come EternalBlue, anche BlueKeep era wormable, il che significava che un malware avrebbe potuto propagarsi automaticamente tra i sistemi vulnerabili. Microsoft prese la decisione rara di rilasciare patch anche per sistemi operativi ormai fuori supporto, come Windows XP e Windows Server 2003. La vulnerabilità fu poi effettivamente sfruttata in alcune campagne di cryptomining, ma non sfociò in un worm globale.

PassiveNeuron: la nuova minaccia per i server Windows

⬆ Torna su

Una nuova minaccia identificata come PassiveNeuron punta ai server Windows, i sistemi che gestiscono dati e servizi di aziende e istituzioni. A scoprirla è stato il Global Research and Analysis Team (GReAT) di Kaspersky. La campagna è stata individuata per la prima volta alla fine del 2024 e si è protratta fino all'estate del 2025, colpendo organizzazioni in Asia, Africa e America Latina. Gli aggressori hanno utilizzato tre strumenti principali: Neursite, una backdoor modulare in grado di raccogliere informazioni sui computer infetti e di spostarsi da una macchina all'altra; NeuralExecutor, un programma basato su .NET usato per installare altri componenti malevoli; Cobalt Strike, un software legittimo per test di sicurezza spesso riutilizzato dai criminali informatici.

Secondo i ricercatori di Kaspersky, il codice malevolo di PassiveNeuron contiene caratteri cirillici inseriti di proposito: un espediente per confondere le indagini e depistare l'attribuzione dell'attacco. Le tecniche utilizzate fanno pensare a un gruppo di hacker di lingua cinese. Le campagne di cyberspionaggio iniziano spesso con una semplice email di phishing, un messaggio trappola che induce la vittima a cliccare su un link o scaricare un file infetto. Per difendersi, Kaspersky consiglia di mantenere aggiornate le informazioni sulle minacce più recenti, rafforzare le competenze dei team di sicurezza, utilizzare soluzioni EDR (Endpoint Detection and Response) e monitorare costantemente i server esposti su Internet.

Ransomware: anatomia di una minaccia in evoluzione

⬆ Torna su

Il ransomware è diventato una delle minacce più diffuse e pervasive nel contesto della cybersecurity moderna. Un tipo di malware progettato per bloccare l'accesso ai file o ai sistemi — attraverso crittografia o blocco del dispositivo — e chiedere un riscatto in cambio della chiave di sblocco. Negli ultimi anni la posta in gioco è aumentata: al semplice sequestro dei dati si aggiungono oggi tecniche di doppia e tripla estorsione, in cui le informazioni vengono sottratte, minacciate di pubblicazione e in alcuni casi usate per colpire terze parti. Secondo stime recenti, il numero di attacchi ransomware è cresciuto di oltre il 149% in un solo anno, coinvolgendo non solo grandi aziende o infrastrutture critiche, ma anche piccoli studi professionali, scuole, ospedali e utenti privati.

Le vie d'ingresso sono molteplici. Il vettore più comune resta l'email di phishing, spesso camuffata da comunicazione legittima, con allegati o link malevoli. Ma esistono anche modalità più silenziose: exploit di vulnerabilità non patchate, download da siti compromessi, banner pubblicitari infetti, dispositivi USB, fino a tecniche più sofisticate che prevedono accessi remoti tramite credenziali rubate. Il malware può restare dormiente per giorni o settimane, in attesa del momento ideale per criptare il sistema.

Categorie di ransomware e strategie di attacco

⬆ Torna su

Esistono diverse categorie di ransomware, ognuna con modalità d'azione differenti. I crypto ransomware sono i più comuni: criptano file e cartelle, spesso utilizzando algoritmi robusti (AES, RSA), e impediscono qualsiasi accesso ai contenuti. I locker ransomware, invece, bloccano l'intero sistema operativo, rendendo inutilizzabile il dispositivo. Esistono poi forme più leggere, come gli scareware, che simulano la presenza di virus o minacce e spingono l'utente a installare software fraudolento o a pagare per rimuovere un problema inesistente.

L'efficacia di un attacco ransomware si basa in larga parte su una debole cyber hygiene. Sistemi non aggiornati, software obsoleti, scarsa attenzione agli allegati email, mancanza di segmentazione di rete e privilegi amministrativi distribuiti in modo non controllato rappresentano il terreno fertile per la diffusione. Il caso WannaCry del 2017, che ha sfruttato una vulnerabilità di Windows non corretta in tempo, è l'esempio di quanto il fattore tempo — tra la scoperta di una falla e l'implementazione della patch — sia cruciale.

Ransomware a livello di microcodice CPU

⬆ Torna su

La situazione diventa ancora più seria con l'emergere del ransomware a livello di microcodice. Se il microcodice che gira nella memoria della CPU viene infettato, il ripristino diventa molto più difficile, poiché il codice malevolo può persistere anche dopo un riavvio — una minaccia che in passato sembrava improbabile. Un ricercatore di sicurezza ha recentemente dimostrato che è possibile modificare il firmware UEFI installando una patch non firmata direttamente nel processore. Questa tecnica bypassa le soluzioni antivirus tradizionali e le contromisure a livello di sistema operativo.

In una proof-of-concept, il ricercatore è riuscito a condurre un attacco ransomware direttamente nel microcodice del processore. L'attacco sfrutta una vulnerabilità presente nei processori AMD Zen (dalla prima alla quinta generazione), che permette il caricamento di microcodice non autorizzato senza un'adeguata verifica della firma digitale. La vulnerabilità è stata segnalata da Google, che ha identificato una falla nell'algoritmo di validazione delle firme di AMD e ne ha dimostrato la portata attraverso un test pratico. In tale test, i ricercatori hanno modificato il microcodice per manipolare la funzione di generazione di numeri casuali del processore, facendo restituire sempre il numero 4, indipendentemente dal contesto della richiesta.

BadSuccessor: la vulnerabilità che compromette Active Directory

⬆ Torna su

Nel panorama della cybersecurity moderna, poche scoperte hanno avuto l'impatto della vulnerabilità BadSuccessor, identificata dai ricercatori di Akamai nel maggio 2025. Questa falla di sicurezza rappresenta un esempio di come le innovazioni progettate per migliorare la sicurezza possano paradossalmente aprire nuovi vettori di attacco. Microsoft aveva introdotto in Windows Server 2025 una nuova funzionalità chiamata Delegated Managed Service Accounts (dMSA), pensata per risolvere uno dei problemi più persistenti nella gestione delle identità enterprise: gli attacchi di Kerberoasting. Tuttavia, la soluzione ha creato un problema ancora più grave.

Yuval Gordon, ricercatore di sicurezza presso Akamai, ha scoperto che questa nuova funzionalità può essere sfruttata per compromettere qualsiasi utente in Active Directory, inclusi i Domain Administrator, utilizzando privilegi apparentemente innocui che molti utenti già possiedono. La vulnerabilità sfrutta il meccanismo di migrazione dei dMSA in modo sofisticato: l'attaccante crea un nuovo dMSA utilizzando permessi CreateChild su qualsiasi Organizational Unit (OU) del dominio, manipola gli attributi critici e il Key Distribution Center (KDC) di Active Directory concede automaticamente tutti i privilegi dell'account originale. Quello che rende BadSuccessor particolarmente insidioso è che l'attaccante non ha bisogno di alcun permesso diretto sull'account che vuole compromettere.

Le ricerche condotte da Akamai hanno rivelato che nel 91% degli ambienti Active Directory esaminati, sono stati trovati utenti al di fuori del gruppo domain admins con i permessi necessari per eseguire questo attacco. Un aspetto particolarmente preoccupante è che la vulnerabilità diventa disponibile in qualsiasi dominio che abbia almeno un domain controller Windows Server 2025, anche se l'organizzazione non utilizza attivamente i dMSA. Microsoft ha classificato la vulnerabilità come moderata severità e ha dichiarato che non soddisfa i criteri per una patch immediata. I ricercatori di Akamai contestano fermamente questa valutazione, sottolineando che i modelli di delega diffusi nelle enterprise moderne rendono i diritti di creazione dMSA tutt'altro che rari.

Attacchi mirati ai server di backup: il caso Veeam

⬆ Torna su

Gli attaccanti prendono di mira i server, elementi centrali delle reti aziendali. Compromettere un server significa poter accedere a molti altri sistemi collegati. Nella fase di raccolta informazioni, un threat actor può operare passivamente tramite motori di ricerca, o attivamente interrogando direttamente il target con tecniche di scanning. La ricerca passiva non genera alcun alert nei log dei dispositivi perimetrali del target, rendendo impossibile sapere quando un attaccante sta raccogliendo informazioni.

Dopo aver ottenuto un accesso iniziale — tramite phishing, vulnerabilità di sistemi esposti su Internet, o vulnerabilità nella gestione delle VPN — l'attaccante può muoversi lateralmente nella rete. Con strumenti come Mimikatz è possibile ottenere qualsiasi attività svolta dall'utente compromesso. Attraverso tecniche come Responder, è possibile ricevere hash NTLMv1/v2 o LMv2. Una volta trovato il server di backup, ad esempio Veeam Backup and Replication, l'attaccante può sfruttare la CVE-2023-27532 se il sistema non è aggiornato, ottenendo le credenziali criptate dal database di configurazione.

Il panorama delle minacce nel 2025

⬆ Torna su

Nel 2025 gli attacchi informatici gravi registrati a livello mondiale sono aumentati del 49% rispetto al 2024, raggiungendo 5.265 incidenti: il numero più alto mai registrato finora, secondo il Rapporto Clusit 2026. L'Italia da sola concentra il 9,6% degli attacchi informatici globali, una quota molto superiore al peso economico del Paese nel mondo. Gli attacchi contro organizzazioni italiane sono cresciuti del 42% rispetto all'anno precedente. Tra i settori più colpiti spicca quello governativo, militare e delle forze dell'ordine, che rappresenta il 28% degli incidenti registrati nel Paese. In valore assoluto gli attacchi contro queste organizzazioni sono cresciuti del 290% rispetto al 2024.

Gli attacchi di matrice attivista, spesso chiamati hacktivism, sono aumentati del 145% rispetto al 2024 e rappresentano il 64% di quelli censiti a livello mondiale. Gli attacchi hacktivisti più comuni sono i DDoS (Distributed Denial of Service): migliaia o milioni di computer vengono utilizzati per inviare contemporaneamente richieste a un sito web, sovraccaricandolo fino a renderlo inutilizzabile.

Software pirata come vettore di attacco

⬆ Torna su

Secondo una ricerca di Barracuda Networks, le versioni pirata di software spesso nascondono codici malevoli che possono portare a problemi seri per le aziende: infezioni da malware, furto di credenziali, installazione di cryptominer, fino ad arrivare ad attacchi ransomware. Uno dei principali problemi è che i software pirata non ricevono aggiornamenti ufficiali, quindi eventuali vulnerabilità restano aperte e possono essere sfruttate dai criminali informatici. L'indagine ha identificato diversi segnali che possono indicare la presenza di software pirata: file eseguibili sospetti con nomi generici come activate.exe, activate.x86.exe o activate.x64.exe, spesso contenuti in archivi ZIP protetti da password e accompagnati da istruzioni su come attivare il programma.

Strategie di difesa: backup, Zero Trust e monitoraggio continuo

⬆ Torna su

La risposta alla minaccia ransomware non può affidarsi più a soluzioni uniche. Gli antivirus tradizionali, basati su firme, faticano a rilevare minacce nuove o mutanti. Le strategie di difesa più efficaci oggi si basano su un approccio multilivello, che prevede prevenzione, rilevamento e capacità di recupero. Sistemi di analisi comportamentale, motori di intelligenza artificiale per individuare attività anomale, firewall intelligenti, segmentazione della rete, autenticazione a più fattori: sono tutte componenti che concorrono a innalzare il livello di resilienza.

Il backup rappresenta un pilastro fondamentale, ma non può essere considerato una soluzione autonoma. Disporre di copie dei propri file, salvate in più versioni e protette, consente in molti casi di evitare il pagamento del riscatto e ripristinare l'operatività. Tuttavia, da solo non previene l'infezione né impedisce la diffusione all'interno della rete. Per essere realmente efficace, il backup deve essere parte di una strategia integrata, progettata in anticipo, testata regolarmente e isolata rispetto al sistema attivo per resistere ai tentativi di cifratura.

Gli approcci di Extended Detection and Response (XDR) offrono capacità preziose per rilevare minacce che agiscono a livello hardware. Combinando analisi comportamentali avanzate, monitoraggio dei movimenti laterali nella rete e risposta automatizzata ad attività sospette, le organizzazioni possono identificare segnali che potrebbero indicare un attacco. Il modello Zero Trust, definito nel framework NIST 800-207, si basa su tre principi: mai fidarsi, sempre verificare; accesso condizionale basato sul rischio; assunzione di violazione. Questi principi sono direttamente applicabili alla mitigazione di vulnerabilità come BadSuccessor.

Formazione e consapevolezza: il fattore umano

⬆ Torna su

Molte campagne di cyberspionaggio iniziano con una semplice email di phishing. Nel settore dell'istruzione, la crescente digitalizzazione della didattica ha reso le scuole e le università bersagli sempre più frequenti per i cybercriminali. Secondo i dati raccolti da Kaspersky, nel 2025 l'11,91% degli utenti del settore education in Italia ha incontrato minacce provenienti dal web, mentre il 10,30% ha subito attacchi direttamente sui dispositivi. Tra le tecniche più utilizzate c'è il phishing: email o messaggi che sembrano provenire da fonti affidabili ma che in realtà servono a rubare password o a far installare malware.

La formazione per docenti e personale amministrativo rimane uno degli strumenti più efficaci per ridurre i rischi. Anche la migliore tecnologia serve a poco se le persone non sanno riconoscere un tentativo di truffa digitale. L'adozione di sistemi EDR, il monitoraggio costante dei server esposti su Internet e la riduzione delle superfici di attacco completano un approccio di difesa che deve integrare tecnologia, processi e persone.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

L'evoluzione delle vulnerabilità RCE e la diffusione di exploit automatizzati suggeriscono un contesto in cui la tempistica di risposta diventa determinante. Il patch gap rappresenta una finestra di rischio concreto, especialmente quando proof-of-concept circolano rapidamente dopo la divulgazione.

  • Scenario 1: le organizzazioni con processi di aggiornamento lenti potrebbero rimanere esposte a minacce già documentate, con rischio di compromissione tramite malware wormable.
  • Scenario 2: la disponibilità di exploit in repository pubblici potrebbe abbassare la soglia tecnica per gli attaccanti, rendendo vulnerabilità storiche nuovamente pericolose.
  • Scenario 3: minacce mirate come PassiveNeuron potrebbero sfruttare vulnerabilità non ancora patchate per colpire server Windows in contesti aziendali sensibili.

Cosa monitorare

⬆ Torna su
  • Comunicazioni di sicurezza dei vendor e tempi di rilascio delle patch per vulnerabilità critiche.
  • Segnalazioni di campagne attive che sfruttano CVE già note ma ancora diffuse nei sistemi legacy.
  • Indicators of compromise (IoC) associati a nuove famiglie di malware mirate.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • vulnerabilita
  • ransomware
  • exploit

Link utili

Apri l'articolo su DeafNews