Ransomware Storm-1175 minaccia sicurezza informatica aziendale

La sicurezza informatica aziendale è sotto assedio da una nuova minaccia particolarmente pericolosa: la campagna ransomware Storm-1175. Questo gruppo di cybercriminali ha sviluppato un approccio devastantemente efficace, capace di paralizzare un’intera organizzazione in sole 24 ore. Con l’utilizzo di oltre 16 vulnerabilità note e tecniche di attacco sempre più sofisticate, Storm-1175 rappresenta una delle minacce più serie per le infrastrutture IT moderne.

Le caratteristiche degli attacchi Storm-1175

Ciò che rende Storm-1175 particolarmente temibile è la velocità di esecuzione dei suoi attacchi. Il gruppo ha dimostrato capacità straordinarie nel compromettere sistemi informatici attraverso vulnerabilità N-day non risolte, prendendo di mira principalmente:

• Strumenti di trasferimento file esposti su internet
• Server di posta elettronica non aggiornati
• Applicazioni web vulnerabili
• Sistemi con patch di sicurezza mancanti

Il gruppo non si limita alle vulnerabilità note, ma ha anche dimostrato capacità zero-day eccezionali. Storm-1175 ha infatti sfruttato exploit come CVE-2026-23760 e CVE-2025-10035 ancora prima della loro divulgazione pubblica, mostrando un livello di sofisticazione tecnica preoccupante.

Il playbook di attacco: una strategia ben orchestrata

Dopo la compromissione iniziale, Storm-1175 segue un playbook dettagliato e metodico che garantisce il controllo completo dei sistemi target. Questa strategia include diverse fasi critiche:

Fase di consolidamento

Una volta ottenuto l’accesso iniziale, il gruppo procede immediatamente con:

• Installazione di web shell per mantenere l’accesso persistente
• Creazione di account di backup per evitare la perdita di controllo
• Implementazione di strumenti RMM (Remote Monitoring and Management) per facilitare il movimento laterale

Elusione delle difese

Storm-1175 dimostra una conoscenza approfondita dei sistemi di sicurezza Microsoft, disabilitando efficacemente Microsoft Defender attraverso:

• Modifiche mirate al registro di sistema
• Esecuzione di comandi PowerShell specifici
• Bypass delle protezioni real-time

La fase di esfiltrazione dati

Il furto di dati rappresenta una componente cruciale della strategia Storm-1175. Il gruppo utilizza strumenti specifici per massimizzare l’efficacia dell’esfiltrazione:

• Bandizip: per la compressione e organizzazione dei dati rubati
• Rclone: per il trasferimento sicuro verso server controllati dagli attaccanti

Questa fase è particolarmente critica perché prepara il terreno per la doppia estorsione, una tattica sempre più comune nel panorama del ransomware moderno.

Il ransomware Medusa: tecnologia RaaS avanzata

La distribuzione del payload finale avviene attraverso il ransomware Medusa, una piattaforma Ransomware-as-a-Service (RaaS) estremamente sofisticata. Storm-1175 utilizza strumenti di distribuzione enterprise per massimizzare l’impatto:

• PDQ Deployer: per la distribuzione automatizzata su multiple workstation
• Group Policy: sfruttando le infrastrutture Active Directory esistenti

La strategia della doppia estorsione

Medusa implementa una strategia di doppia estorsione particolarmente efficace:

1. Crittografia dei dati: rendendo inaccessibili i file critici dell’organizzazione
2. Minaccia di pubblicazione: utilizzando i dati rubati come leva aggiuntiva per aumentare la pressione psicologica sulle vittime

Questa combinazione crea una situazione in cui anche il pagamento del riscatto non garantisce la completa risoluzione del problema, poiché i dati sensibili rimangono comunque compromessi.

Difese efficaci contro Storm-1175

La protezione contro questa minaccia richiede un approccio multi-livello e proattivo:

Gestione delle vulnerabilità

• Implementazione di un programma di patch management rigoroso
• Monitoraggio continuo delle vulnerabilità N-day
• Valutazioni di sicurezza regolari delle applicazioni esposte

Hardening dei sistemi

• Configurazione sicura di Microsoft Defender con protezioni anti-tampering
• Implementazione di controlli di accesso privilegiato
• Segmentazione della rete per limitare il movimento laterale

Monitoraggio e detection

• Implementazione di soluzioni EDR (Endpoint Detection and Response)
• Monitoraggio del traffico di rete per identificare esfiltrazione dati
• Alert per modifiche al registro e attività PowerShell sospette

La campagna ransomware Storm-1175 rappresenta un’evoluzione significativa nel panorama delle minacce informatiche. La combinazione di velocità di esecuzione, sofisticazione tecnica e strategia di doppia estorsione rende questo gruppo particolarmente pericoloso per le organizzazioni di ogni dimensione. La chiave per la protezione risiede in un approccio proattivo alla sicurezza, con particolare attenzione alla gestione tempestiva delle vulnerabilità e all’implementazione di difese multi-livello. Le organizzazioni che non mantengono i propri sistemi costantemente aggiornati si espongono a rischi concreti e devastanti, rendendo essenziale una strategia di cybersecurity moderna e ben strutturata.