Negli ultimi mesi le minacce ransomware hanno sfruttato vulnerabilità non corrette nei sistemi di monitoraggio remoto SimpleHelp, prendendo di mira organizzazioni di tutto il mondo. Secondo un recente avviso della CISA, i gruppi ransomware stanno utilizzando queste falle per compromettere i clienti di un fornitore di software di fatturazione, evidenziando una tendenza in crescita: l’attacco a catena verso i clienti downstream sfruttando fornitori terzi non aggiornati.

SimpleHelp: vulnerabilità critiche e attacchi a catena

SimpleHelp ha annunciato a inizio 2025 la presenza di diverse vulnerabilità critiche (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726) che consentono l’escalation dei privilegi, l’esecuzione di codice da remoto e la perdita di informazioni sensibili. Nonostante la disponibilità delle patch, molte istanze rimangono esposte e vengono sistematicamente bersagliate da gruppi come DragonForce. Questi attori, dopo aver violato fornitori di servizi IT che utilizzano SimpleHelp, si spostano lateralmente per colpire in cascata le organizzazioni clienti con attacchi di doppia estorsione: cifrano i dati e minacciano la pubblicazione delle informazioni sottratte.

Raccomandazioni CISA e misure difensive

CISA raccomanda a tutte le aziende di identificare le istanze SimpleHelp esposte, isolarle da internet e aggiornarle immediatamente. È cruciale notificare i clienti downstream, monitorare i server per traffico anomalo, effettuare attività di threat hunting e mantenere backup periodici offline. In caso di infezione, è necessario disconnettere i sistemi compromessi, reinstallare l’OS e ripristinare i dati da copie pulite, evitando di pagare riscatti che alimentano l’ecosistema criminale.

Nuove tattiche e strumenti nei recenti attacchi ransomware

Parallelamente, nuovi attacchi come quelli condotti con il ransomware Fog dimostrano che i cybercriminali utilizzano anche strumenti legittimi come software di monitoraggio dei dipendenti (Syteca) e tool di pentesting open source (GC2, Adaptix, Stowaway) per eludere i controlli e persistere nelle reti delle vittime, soprattutto in settori strategici come finanza, tecnologia e trasporti. Queste intrusioni mostrano tattiche avanzate, inclusa la creazione di servizi per mantenere l’accesso dopo la cifratura, e l’uso di file LNK in archivi ZIP per la diffusione via email e phishing.

Persistenza delle minacce e nuovi obiettivi

Infine, recenti leak di pannelli di amministrazione rivelano che il gruppo LockBit continua a operare e trarre profitto nonostante azioni delle forze dell’ordine e la concorrenza tra gruppi ransomware, con una particolare concentrazione di attacchi verso la Cina e altri paesi ad alta densità industriale. Questi dati confermano come il ransomware sia una minaccia in continua evoluzione, capace di adattarsi e sfruttare ogni falla lasciata aperta.