Dall’inizio del 2026 ad oggi si sono registrati nel contesto nazionale, un numero significativo di attacchi ransomware attribuibili al gruppo Qilin, prevalentemente rivolti a PMI, tra cui figurano tuttavia anche importanti fornitori di servizi cloud.
Le analisi degli incidenti evidenziano che l’accesso iniziale alle infrastrutture compromesse avviene prevalentemente attraverso due vettori: lo sfruttamento sistematico di vulnerabilità note su apparati perimetrali esposti a Internet (appliance MDM Ivanti e sistemi Fortinet) e la compromissione di credenziali di accesso ai servizi VPN, ottenute mediante attacchi di brute force o tramite Initial Access Broker (IAB).
Le fasi di post-compromissione prevedono, infine, l’impiego di ransomware custom sviluppati in Rust, specificamente progettati per compromettere infrastrutture di virtualizzazione VMware ESXi, in combinazione con l’uso di strumenti legittimi, malware commodity, tool open source e componenti personalizzati.
Per approfondire, consulta il sito: acn.gov.it