Gli strumenti di Remote Monitoring and Management (RMM) sono fondamentali per i service provider, poiché consentono la gestione remota delle infrastrutture IT, l’aggiornamento dei sistemi e l’assistenza tecnica in tempo reale. Tuttavia, la loro diffusione li ha resi un obiettivo privilegiato per i cybercriminali, che ne sfruttano le vulnerabilità per ottenere accesso non autorizzato alle reti aziendali e diffondere malware senza destare sospetti.

Negli ultimi anni, diversi gruppi ransomware hanno adottato tecniche sempre più sofisticate per abusare degli strumenti RMM. Invece di introdurre direttamente codice malevolo, questi attori delle minacce preferiscono sfruttare software legittimi già presenti negli ambienti IT delle vittime. Questo approccio consente loro di muoversi indisturbati all’interno delle reti, eludendo i sistemi di protezione e riducendo significativamente le probabilità di essere rilevati. Attraverso l’uso di strumenti amministrativi legittimi, come PowerShell o Task Scheduler, gli attaccanti riescono a eseguire operazioni malevole senza sollevare allarmi, un metodo noto come “Living-off-the-Land” (LotL).

Inoltre, è sempre più comune il ricorso a tecniche di privilege escalation, che consentono agli attaccanti di ottenere livelli di accesso superiori sfruttando configurazioni errate o vulnerabilità presenti nei sistemi di autenticazione. Una volta acquisiti i privilegi amministrativi, gli attaccanti possono disabilitare i sistemi di sicurezza, installare ulteriori strumenti di monitoraggio e persino persistere nel sistema per lunghi periodi senza essere rilevati.

Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis

Un altro elemento critico è lo sfruttamento delle vulnerabilità zero-day negli RMM, che permette di bypassare le autenticazioni e infiltrarsi nei sistemi senza alcuna interazione da parte della vittima. Questo tipo di attacco, spesso orchestrato da gruppi APT (Advanced Persistent Threat), si distingue per la capacità di rimanere latente all'interno delle reti, raccogliendo informazioni sensibili prima di eseguire attacchi su larga scala.

Uno degli strumenti RMM più spesso sfruttati dai cybercriminali è ConnectWise ScreenConnect, che è stato oggetto di attacchi in cui sono state sfruttate vulnerabilità zero-day per ottenere accessi non autorizzati. In molti casi, gli attaccanti utilizzano credenziali compromesse per infiltrarsi nei sistemi aziendali e distribuire ransomware attraverso le connessioni remote legittime. L'abuso degli RMM non si limita alla diffusione di malware, ma può anche essere utilizzato per esfiltrare dati sensibili, creare utenti backdoor e monitorare le attività aziendali a scopo di spionaggio.

L’impatto di questi attacchi è particolarmente grave per i Managed Service Provider (MSP) e i Managed Security Service Provider (MSSP), i quali gestiscono le infrastrutture IT di numerose aziende e organizzazioni. Una singola compromissione di un MSP può tradursi in un effetto a catena devastante, esponendo al rischio decine, se non centinaia, di clienti connessi alla rete dell’MSP o MSSP. Proprio per questo motivo, gli strumenti RMM rappresentano un bersaglio privilegiato per i cybercriminali, che mirano a ottenere il massimo impatto con il minimo sforzo.

Per mitigare il rischio legato all’abuso degli RMM, è essenziale adottare un approccio di sicurezza più rigoroso. Le organizzazioni dovrebbero implementare controlli di accesso più severi, limitando l’uso degli strumenti di gestione remota solo agli utenti autorizzati e monitorando costantemente le attività sospette. L’autenticazione a più fattori (MFA) e l’analisi comportamentale delle connessioni remote possono aiutare a identificare tempestivamente eventuali anomalie, riducendo la finestra di opportunità per gli attaccanti. Inoltre, è fondamentale sensibilizzare gli operatori IT sui rischi connessi all’uso di strumenti RMM e sulla necessità di mantenere aggiornati i software per correggere eventuali vulnerabilità sfruttabili dagli hacker.

Acronis, con la sua piattaforma di Cyber Protection, offre soluzioni specifiche per mitigare questi rischi, fornendo agli MSP e MSSP strumenti avanzati per il monitoraggio e la protezione delle connessioni remote. Grazie all’integrazione dell’intelligenza artificiale, la piattaforma è in grado di identificare comportamenti sospetti e bloccare automaticamente accessi non autorizzati agli strumenti RMM. Inoltre, l’uso di Threat Intelligence permette di individuare potenziali minacce prima che possano causare danni significativi, offrendo un ulteriore livello di protezione contro attacchi mirati. La piattaforma include anche funzionalità avanzate di rilevamento delle anomalie, che consentono di identificare rapidamente tentativi di abuso degli RMM e impedire movimenti laterali non autorizzati all’interno della rete.

La crescente sofisticazione degli attacchi informatici richiede un cambio di mentalità nell’approccio alla cybersecurity. Non basta più limitarsi a implementare misure di difesa tradizionali: è necessario anticipare le mosse degli avversari, adottando strategie di protezione più avanzate e dinamiche. Un monitoraggio continuo delle attività di rete, combinato con una gestione attenta delle credenziali di accesso e una segmentazione efficace delle infrastrutture IT, può contribuire a ridurre il rischio di compromissione e a proteggere meglio le aziende da minacce sempre più insidiose. In un contesto in cui gli strumenti RMM sono sia una risorsa essenziale sia una potenziale vulnerabilità, il loro utilizzo sicuro deve diventare una priorità assoluta per tutte le organizzazioni. Un approfondimento su queste tematiche è disponibile nel rapporto Clusit 2025.

Irina Artioli è Cyber Protection Evangelist e TRU Researcher di Acronis