Barracuda full logo

SOC Threat Radar — Ottobre 2025

Argomenti:
21 ott 2025
|
Laila Mubashar

Nell'ultimo mese, le soluzioni di sicurezza, le risorse di intelligence sulle minacce e gli analisti SOC di Barracuda Managed XDR hanno osservato i seguenti comportamenti di attacco degni di nota:

  • Un aumento degli attacchi ransomware che prendono di mira i VPN SonicWall vulnerabili
  • Script Python utilizzati per eseguire strumenti dannosi sotto il radar
  • Più account Microsoft 365 sotto attacco

Un aumento degli attacchi ransomware Akira che prendono di mira i VPN SonicWall vulnerabili

Cosa sta succedendo?

Il gruppo Akira ransomware-as-a-service sta prendendo di mira le organizzazioni attraverso dispositivi VPN SonicWall vulnerabili. Barracuda ha emesso un avviso di sicurezza sulla minaccia ad agosto. Tre mesi dopo, il livello di pericolo rimane elevato poiché gli attacchi continuano a evolversi.

Gli attacchi sfruttano una vulnerabilità di un anno fa e già corretta (CVE-2024-40766). Stanno avendo successo perché non tutti gli utenti hanno applicato la patch e perché gli attaccanti possono utilizzare credenziali rubate (ottenute prima che la patch fosse applicata) per intercettare le password monouso (OTP). Queste generano token di accesso validi e consentono agli attaccanti di bypassare l'autenticazione multifattoriale (MFA), anche nei sistemi che sono stati aggiornati.

Akira è noto per passare molto rapidamente dall'infezione alla crittografia. Recentemente è stato trovato mentre utilizzava strumenti legittimi — come software di monitoraggio e gestione remoti (RMM) — per evitare il rilevamento e disabilitare strumenti di sicurezza e sistemi di backup per prevenire il recupero.

La tua organizzazione potrebbe essere a rischio se:

  • Non hanno ancora applicato la patch o reimpostato le credenziali come le password dopo l'applicazione della patch.
  • Hai account vecchi o inutilizzati collegati al firewall
  • Avere account di servizio in background non monitorati con un alto livello di privilegi di accesso e password che non vengono ruotate regolarmente

Per proteggere la tua organizzazione:

  • Utilizza uno strumento di scansione come Barracuda’s Managed Vulnerability Security per verificare se hai una VPN SonicWall non aggiornata sulla tua rete.
  • Applica la patch di sicurezza
  • Reimposta tutte le credenziali VPN
  • Aggiorna alla versione 7.3.0 o successiva del firmware SonicOS, che offre protezioni avanzate.
  • Verifica e rimuovi eventuali account inutilizzati o legacy, compresi gli account di servizio
  • Ruota le password per tutti gli account locali e di servizio, in particolare quelli migrati da sistemi più vecchi.
  • Limita l'accesso VPN agli IP attendibili e blocca i login da paesi o provider di hosting con cui non fai affari.

Se pensi che ci sia la possibilità che le tue credenziali o OTP siano state compromesse, agisci rapidamente. Reimposta tutte le password, passa a un'autenticazione a più fattori resistente al phishing come le chiavi di sicurezza FIDO2 e controlla i registri VPN per attività insolite, come schemi di accesso inusuali o accessi da posizioni sconosciute.

Script Python utilizzati per eseguire strumenti dannosi sotto il radar

Cosa sta succedendo?

Gli analisti del SOC di Barracuda hanno osservato un aumento degli strumenti di hacking lanciati ed eseguiti da script Python (programmi).

Gli strumenti di hacking includono il popolare rubapassword Mimikatz, il linguaggio di scripting legittimo PowerShell e strumenti di credential stuffing/script di automazione per provare nomi utente e password rubati sui siti web.

L'uso di script Python potrebbe essere un modo per gli attaccanti di evitare il rilevamento o di velocizzare e automatizzare i loro attacchi.

Ad esempio, gli script Python possono aiutare a mascherare l'esecuzione di strumenti dannosi con programmi dall'aspetto legittimo che non destano sospetti.

Utilizzare Python per automatizzare l'esecuzione di strumenti di hacking riduce anche la necessità di intervento manuale che potrebbe attivare un allarme di sicurezza e aumenta la velocità e l'efficienza degli attacchi. Ciò consente agli attaccanti di eseguire rapidamente i loro attacchi, riducendo il tempo disponibile per il rilevamento e la risposta.

Gli script Python automatizzati possono anche eseguire più operazioni contemporaneamente, consentendo agli attaccanti di svolgere diverse azioni allo stesso tempo, come scansionare vulnerabilità mentre esfiltrano dati.

La tua organizzazione potrebbe essere a rischio se:

  • Mancanza di capacità di rilevamento robuste e integrate per individuare attività sospette o dannose.
  • Non eseguono il software più aggiornato
  • Non avere politiche forti e coerenti per le password e misure di autenticazione multifattoriale in atto
  • Mancanza di formazione regolare sulla consapevolezza della sicurezza informatica per i dipendenti

Per proteggere la tua organizzazione:

  • Installa la protezione degli endpoint, come Barracuda Managed Endpoint Security, per rilevare le minacce basate su Python
  • Correggi le vulnerabilità note e aggiorna regolarmente il tuo software e i tuoi sistemi.
  • Limita i diritti di accesso e le autorizzazioni per i dipendenti
  • Formare regolarmente i dipendenti sulle minacce più recenti, su cosa prestare attenzione e su come segnalare qualsiasi cosa sospetta.

Più account Microsoft 365 sotto attacco

Cosa sta succedendo?

Barracuda sta osservando un aumento di attività di accesso insolite negli account Microsoft 365. Questi sono accessi che non corrispondono al comportamento normale di un utente, provenienti da una posizione o dispositivo inaspettato o in un momento in cui l'utente non è normalmente online. Ciò può indicare che un hacker ha compromesso le credenziali dell'utente e sta cercando di accedere all'account.

L'aumento riflette la crescente popolarità di Microsoft 365 come strumento di produttività aziendale con applicazioni multiple e integrate.

Un account compromesso può fornire a un attaccante:

  • Accesso confermato che possono vendere ad altri cybercriminali, come i broker di accesso iniziale
  • Accesso alla rete più ampia per abilitare il movimento laterale
  • La capacità di individuare e rubare e-mail sensibili, file, dati e messaggi, che possono essere utilizzati per estorsioni o attacchi basati su furto d'identità.
  • Un canale per la distribuzione di ulteriori payload dannosi
  • E altro ancora

La tua organizzazione potrebbe essere a rischio se:

  • Pubblicare nomi e dettagli di contatto per dirigenti, finanza, risorse umane e team IT online dove sono facili da identificare per le parti esterne
  • Non hai una politica delle password forte e coerente e l'autenticazione multifattoriale attivata per tutti.
  • Stai riscontrando accessi insoliti da paesi o dispositivi sconosciuti.
  • Non esiste un training regolare per la sensibilizzazione sulla sicurezza informatica per i dipendenti

Per proteggere la tua organizzazione

  • Abilita l'autenticazione a più fattori (MFA) per tutti gli account Microsoft 365
  • Limita i diritti di accesso e le autorizzazioni per i dipendenti
  • Installa protezione per i servizi e il traffico basati su cloud, come Barracuda Managed XDR Cloud Security
  • Formare regolarmente i dipendenti sulle minacce più recenti, su cosa prestare attenzione e su come segnalare qualsiasi cosa sospetta.
  • Blocca l'accesso da posizioni o dispositivi a rischio

Come Barracuda Managed XDR può aiutare la tua organizzazione

Barracuda Managed XDR offre una protezione avanzata contro le minacce identificate in questo rapporto combinando tecnologia all'avanguardia con la supervisione esperta del SOC. Con intelligence sulle minacce in tempo reale, risposte automatizzate, un team SOC attivo 24/7/365 e

XDR Sicurezza della vulnerabilità gestita che identifica lacune e sviste nella sicurezza, Barracuda Managed XDR garantisce una protezione completa e proattiva per la tua rete, cloud, e-mail, server ed endpoint, offrendoti la fiducia per anticipare le minacce in evoluzione.

Per ulteriori informazioni su come possiamo aiutarti, ti invitiamo a contattare Barracuda Managed XDR.

Blocca le minacce con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Laila Mubashar

In qualità di analista senior della sicurezza informatica, Laila Mubashar guida le attività di rilevamento, indagine e risposta alle minacce avanzate per salvaguardare le organizzazioni dall'evoluzione dei rischi informatici. Il suo lavoro si concentra sulla difesa proattiva, sull'analisi degli incidenti e sul rafforzamento della postura di sicurezza complessiva nei diversi ambienti dei clienti.

 

Post correlati:
Barracuda named as a Visionary in the 2025 Gartner® Magic Quadrant™ for Email Security
Barracuda named as a Visionary in the 2025 Gartner® Magic Quadrant™ for Email Security
 Threat Spotlight: Introducing GhostFrame, a new super stealthy phishing kit
Threat Spotlight: Introducing GhostFrame, a new super stealthy phishing kit
SOC Threat Radar — December 2025
SOC Threat Radar — December 2025
 December webinars: Combating identity compromise and account takeover
December webinars: Combating identity compromise and account takeover
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.