▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

L’uso improprio degli strumenti RMM: una nuova arma per i cybercriminali

Gli strumenti RMM, essenziali per la gestione IT remota, sono sempre più sfruttati dai cybercriminali per attacchi mirati. Scopri le minacce e le contromisure.

Tecnologie/Scenari

Gli strumenti di Remote Monitoring and Management (RMM) sono fondamentali per i service provider, poiché consentono la gestione remota delle infrastrutture IT, l’aggiornamento dei sistemi e l’assistenza tecnica in tempo reale. Tuttavia, la loro diffusione li ha resi un obiettivo privilegiato per i cybercriminali, che ne sfruttano le vulnerabilità per ottenere accesso non autorizzato alle reti aziendali e diffondere malware senza destare sospetti.

Negli ultimi anni, diversi gruppi ransomware hanno adottato tecniche sempre più sofisticate per abusare degli strumenti RMM. Invece di introdurre direttamente codice malevolo, questi attori delle minacce preferiscono sfruttare software legittimi già presenti negli ambienti IT delle vittime. Questo approccio consente loro di muoversi indisturbati all’interno delle reti, eludendo i sistemi di protezione e riducendo significativamente le probabilità di essere rilevati. Attraverso l’uso di strumenti amministrativi legittimi, come PowerShell o Task Scheduler, gli attaccanti riescono a eseguire operazioni malevole senza sollevare allarmi, un metodo noto come “Living-off-the-Land” (LotL).

Inoltre, è sempre più comune il ricorso a tecniche di privilege escalation, che consentono agli attaccanti di ottenere livelli di accesso superiori sfruttando configurazioni errate o vulnerabilità presenti nei sistemi di autenticazione. Una volta acquisiti i privilegi amministrativi, gli attaccanti possono disabilitare i sistemi di sicurezza, installare ulteriori strumenti di monitoraggio e persino persistere nel sistema per lunghi periodi senza essere rilevati.

Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis

Un altro elemento critico è lo sfruttamento delle vulnerabilità zero-day negli RMM, che permette di bypassare le autenticazioni e infiltrarsi nei sistemi senza alcuna interazione da parte della vittima. Questo tipo di attacco, spesso orchestrato da gruppi APT (Advanced Persistent Threat), si distingue per la capacità di rimanere latente all'interno delle reti, raccogliendo informazioni sensibili prima di eseguire attacchi su larga scala.

Uno degli strumenti RMM più spesso sfruttati dai cybercriminali è ConnectWise ScreenConnect, che è stato oggetto di attacchi in cui sono state sfruttate vulnerabilità zero-day per ottenere accessi non autorizzati. In molti casi, gli attaccanti utilizzano credenziali compromesse per infiltrarsi nei sistemi aziendali e distribuire ransomware attraverso le connessioni remote legittime. L'abuso degli RMM non si limita alla diffusione di malware, ma può anche essere utilizzato per esfiltrare dati sensibili, creare utenti backdoor e monitorare le attività aziendali a scopo di spionaggio.

L’impatto di questi attacchi è particolarmente grave per i Managed Service Provider (MSP) e i Managed Security Service Provider (MSSP), i quali gestiscono le infrastrutture IT di numerose aziende e organizzazioni. Una singola compromissione di un MSP può tradursi in un effetto a catena devastante, esponendo al rischio decine, se non centinaia, di clienti connessi alla rete dell’MSP o MSSP. Proprio per questo motivo, gli strumenti RMM rappresentano un bersaglio privilegiato per i cybercriminali, che mirano a ottenere il massimo impatto con il minimo sforzo.

Per mitigare il rischio legato all’abuso degli RMM, è essenziale adottare un approccio di sicurezza più rigoroso. Le organizzazioni dovrebbero implementare controlli di accesso più severi, limitando l’uso degli strumenti di gestione remota solo agli utenti autorizzati e monitorando costantemente le attività sospette. L’autenticazione a più fattori (MFA) e l’analisi comportamentale delle connessioni remote possono aiutare a identificare tempestivamente eventuali anomalie, riducendo la finestra di opportunità per gli attaccanti. Inoltre, è fondamentale sensibilizzare gli operatori IT sui rischi connessi all’uso di strumenti RMM e sulla necessità di mantenere aggiornati i software per correggere eventuali vulnerabilità sfruttabili dagli hacker.

Acronis, con la sua piattaforma di Cyber Protection, offre soluzioni specifiche per mitigare questi rischi, fornendo agli MSP e MSSP strumenti avanzati per il monitoraggio e la protezione delle connessioni remote. Grazie all’integrazione dell’intelligenza artificiale, la piattaforma è in grado di identificare comportamenti sospetti e bloccare automaticamente accessi non autorizzati agli strumenti RMM. Inoltre, l’uso di Threat Intelligence permette di individuare potenziali minacce prima che possano causare danni significativi, offrendo un ulteriore livello di protezione contro attacchi mirati. La piattaforma include anche funzionalità avanzate di rilevamento delle anomalie, che consentono di identificare rapidamente tentativi di abuso degli RMM e impedire movimenti laterali non autorizzati all’interno della rete.

La crescente sofisticazione degli attacchi informatici richiede un cambio di mentalità nell’approccio alla cybersecurity. Non basta più limitarsi a implementare misure di difesa tradizionali: è necessario anticipare le mosse degli avversari, adottando strategie di protezione più avanzate e dinamiche. Un monitoraggio continuo delle attività di rete, combinato con una gestione attenta delle credenziali di accesso e una segmentazione efficace delle infrastrutture IT, può contribuire a ridurre il rischio di compromissione e a proteggere meglio le aziende da minacce sempre più insidiose. In un contesto in cui gli strumenti RMM sono sia una risorsa essenziale sia una potenziale vulnerabilità, il loro utilizzo sicuro deve diventare una priorità assoluta per tutte le organizzazioni. Un approfondimento su queste tematiche è disponibile nel rapporto Clusit 2025.

Irina Artioli è Cyber Protection Evangelist e TRU Researcher di Acronis

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1