Milano, 2 luglio 2025 – Come si ferma un attacco informatico che, partendo da una semplice email di phishing, può mettere in ginocchio un’intera azienda in pochi minuti?

Non l’abbiamo solo raccontato: l’abbiamo fatto. Dal vivo!

Questo è stato “Hack the System”, l’evento esclusivo organizzato da Omnia Srl in collaborazione con la testata Red Hot Cyber ed HackerHood e il vendor di cybersecurity WithSecure, ospitato nell’avveniristico datacenter di STACK EMEA. Una giornata formativa, per un pubblico selezionato di addetti ai lavori, che ha trasformato la teoria del rischio in una realtà tangibile.

Dalla mail di phishing al disastro (sventato)

Il cuore dell’evento è stato un’impressionante simulazione di attacco in diretta. Davanti agli occhi dei partecipanti, un hacker etico ha dimostrato come, sfruttando una singola email, sia possibile penetrare una rete aziendale, scalare i privilegi e lanciare un attacco ransomware devastante.

La platea ha assistito a due scenari:

1. L’attacco senza difese adeguate: i file vengono criptati, i sistemi bloccati. Il business si ferma.

1. Lo stesso attacco, ma contro le tecnologie WithSecure: la soluzione di sicurezza ha intercettato e neutralizzato la minaccia in tempo reale, dimostrando come la velocità di risposta sia tutto.

Ma l’evento è stato anche un’occasione per approfondire temi normativi cruciali come NIS2 e DORA, e discutere di come i servizi gestiti di MDR (Managed Detection and Response) siano ormai essenziali per garantire resilienza e conformità.
Tratta dalla presentazione che ha guidato la demo live dell’attacco ransomware in diretta svolta dal team di HackerHood di Red Hot Cyber composto da Antonio Montillo e Alessandro Moccia di Framework Security.

Le voci dei protagonisti: “Un’esperienza che fa riflettere”

Il vero successo dell’evento, però, è nelle parole di chi c’era. I commenti sui social media e i commenti che abbiamo richiesto parlano chiaro:

Diego Sarnataro, CEO di 10punto10 ed esperto del settore, ha condiviso una riflessione potente:

“Vedere gli attacchi in azione dal vivo è sempre un’esperienza che ti fa riflettere. L’evoluzione è impressionante: quello che mi richiedeva settimane di preparazione ora si fa in minuti. La velocità di risposta è tutto.”

Gli fa eco Davide Rogai, CSMO & Co-fondatore di Comm.it s.r.l.:

“Una giornata veramente formativa… in un contesto tecnologico (a tratti fantascientifico) e veramente per addetti ai lavori!”

Federico Mariotti amministratore di Wi-Fi Communication S.r.l.:

“Un’esperienza davvero formativa e ricca di spunti concreti. Assistere a una simulazione così realistica ha reso ancora più evidente quanto siano tangibili le minacce informatiche e quanto sia fondamentale adottare un approccio di sicurezza attivo. Un plauso a Omnia e Red Hot Cyber per l’eccellente organizzazione.”

Stefano Torracca, IT Tarros SPA:

“Giornata estremamente formativa e concreta. La simulazione d’attacco ha mostrato senza filtri cosa significhi affrontare un incidente ransomware. Un’iniziativa di alto livello da parte di Omnia e Red Hot Cyber.”

Alessio Civita, IT – Network, Security & Support – Supervisor:

“Complimenti a Jacopo, Filippo e a tutta Omnia per l’idea e per essere riusciti a metterla in pratica! Vedere “il lato oscuro” in azione dal vivo e avere anche solo una minima dimostrazione di ciò a cui siamo esposti vale più di mille slide o video. Ci fa capire che il rischio cyber è reale, imminente, e non possiamo più permetterci di ignorarlo.

Ho apprezzato in particolar modo la scelta coraggiosa di affrontare in diretta gli eventuali – e immancabili – imprevisti: un esperimento riuscitissimo e assolutamente da ripetere.

Complimenti!

Simone Peroncini – WiFi Communication S.r.l.:

“Un evento di altissimo livello, capace di coniugare concretezza e impatto formativo in modo impeccabile. La simulazione dell’attacco hacker presentata durante la sessione è stata non solo tecnicamente ben costruita, ma anche estremamente realistica: vedere come attacco hacker basato su un classico ma ancora troppo efficace schema di phishing possa insinuarsi nei processi aziendali fino a compromettere interi sistemi è stato un vero campanello d’allarme.

A rendere ancora più interessante l’incontro è stata la presentazione, da parte di Omnia, del software, pensato per offrire una difesa proattiva contro questo tipo di attacchi. Un approccio moderno e intelligente alla cybersecurity, che punta non solo a rilevare e bloccare l’intrusione, ma anche a prevenirla agendo sui comportamenti, sulle configurazioni e sull’educazione continua degli utenti.

Complimenti anche a Red Hot Cyber, che insieme a Omnia ha saputo costruire un format di grande impatto, capace di coinvolgere e far riflettere anche i meno tecnici. Esperienze come questa dovrebbero essere la norma nelle strategie di aggiornamento delle aziende: concrete, attuali e orientate all’azione.”

La collaborazione vince sempre

“Hack the System” ha dimostrato un principio fondamentale, riassunto perfettamente da Diego Sarnataro: “La cybersecurity è un settore dove la collaborazione vince sempre sulla competizione.”

La partnership tra un system integrator come Omnia, un leader tecnologico come WithSecure e un punto di riferimento per l’informazione come Red Hot Cyber è la formula vincente per alzare il livello di consapevolezza e di difesa delle aziende italiane.

La tua azienda è pronta a reagire con la stessa velocità? Se la visione di questo live hacking ti ha fatto sorgere dei dubbi, è il momento giusto per agire.

Contatta Omnia Srl per un’analisi della tua postura di sicurezza e scopri come possiamo aiutarti a non diventare la prossima vittima.

L'articolo Hack the System: L’evento di OMNIA e WithSecure dove RHC ha mostrato un attacco ransomware in diretta proviene da il blog della sicurezza informatica.

Dopo estremo oriente e Iran, continuiamo la nostra serie di articoli su attori di tipo IAB con un attore che si pensa sia di base in Europa, in un paese NATO.

Origine e attribuzione

Secondo i ricercatori di KelaCyber (vendor di servizi di Cyber Threat Intelligence di Tel Aviv, Israele), l’attore Drumrlu, è uno IAB che presumibilmente ha base in Turchia.

Drumrlu è anche noto con il nome/moniker “3LV4N”.

Come visto nel primo articolo sull’access broker miyako, lo ricerca delle entrate delle vittime da parte dello IAB, è una pratica molto comune per questi attori, i cui post tendono appunto a menzionare le entrate delle vittime per invogliare i potenziali acquirenti. Si parte dal presupposto che organizzazioni con entrate più elevate abbiano il potenziale di garantire un riscatto multimilionario.

–

“drumrlu” (alias 3lv4n) è un broker di accesso iniziale e un venditore di database di credenziali attivo nei forum clandestini almeno dal maggio 2020. drumrlu ha venduto accessi a domini di varie organizzazioni in molti paesi del mondo (EMEA, APAC e AMER) nei settori dell’istruzione, dei servizi pubblici, delle assicurazioni, della sanità, delle criptovalute, dei giochi e del governo. Nell’ ottobre del 2020, l’attore ha iniziato a vendere accessi root al software VMware ESXi con prezzi compresi tra 250 e 500 dollari.

Gli analisti di Outpost24 hanno osservato che “Nosophoros”, l’attore dietro il Ransomware as a Service (RaaS) Thanos, probabilmente collabora con (è cliente di) drumrlu. Il 18 luglio 2020, Nosophoros ha postato sul forum “Exploit” il messaggio: “drumrlu è un buon fornitore, ho garantito per lui in passato e continuo a farlo. Sono contento che sia tornato”.

“drumrlu is a good vendor, I vouched for him before and I still do. Glad you are back”.

Simon Roe, ricercatore e product manager presso Outpost24, in un suo report evidenza come drumrlu/3LV4N abbia operato nella operazione RaaS Thanos.

drumrlu ha anche lasciato una recensione nel profilo di Nosophoros dicendo di lui: “Best RaaS, Best Programmer”. Un altro commento dell’attore “peterveliki” conferma la potenziale partnership tra drumrlu e Nosophoros: “Ho acquistato un accesso da questo venditore (drumrlu) – è andato tutto liscio. Un tipo molto disponibile. Mi ha anche consigliato di usare Thanos di Nosphorus, che si è rivelato essere molto utile in questo caso. Ottimo venditore, lo consiglio”.

“I bought access from this seller – everything went smoothly. A very helpful dude. He also recommended using Thanos from Nosphorus; which turned out to be very helpful in this case. Good seller, I recommend”

Ciclo di attacco

Secondo ProofPoint una catena di attacco su RaaS Thanos con accessi iniziali forniti dallo IAB drumrlu potrebbe essere questa:

1. Invio di e-mail contenenti un documento Office dannoso

2. Un utente vittima scarica il documento e attiva le macro che rilasciano un payload (un RAT e/o InfoStealer)

3. L’attore sfrutta l’accesso backdoor per esfiltrare informazioni di sistema/accessi

4. A questo punto, il broker di accesso iniziale può vendere l’accesso ad altri attori

5. Inoltre può distribuire Cobalt Strike tramite l’accesso backdoor del malware che consente il movimento laterale all’interno della rete

6. Ottiene quindi compromissione completa del dominio tramite Active Directory

7. L’attore affiliato al RaaS distribuisce il ransomware a tutte le stazioni di lavoro collegate al dominio.

Esempio di credential stealers tramite phish e-mail

Possibile phishing email per furto di credenziali con allegato documento Office dannoso da indirizzo email free GMX.COM.

File EXCEL XSLM con malware GuLoader (aka CloudEyE o vbdropper).

Fonte ProofPoint

Alcuni scenari in cui l’attore ha operato

• Compagnia energia elettrica ad Amman in Giordania.
• Ospedale tedesco in Arabia Saudita.
• Gruppo assicurativo in Tailandia.
• Gruppo assicurativo in Arabia Saudita.
• Entità governativa in Kuwait.

Paesi target

Australia, Stati Uniti, Thailandia, Pakistan, Francia, Italia, Svizzera, Emirati Arabi Uniti, Giordania, Israele, Egitto, Kuwait e Arabia Saudita.

Settori target

Istruzione, servizi pubblici, assicurazioni, sanità, criptovalute, giochi e entità governative.

NotaBene su Thanos: presunto creatore del RaaS … Un medico venezuelano!?!?

Il DoJ USA presume che un cardiologo sia lo sviluppatore che ha creato il ransomware Thanos: Moises Luis Zagala Gonzalez, 55 anni, cittadino francese e venezuelano residente a Ciudad Bolivar, Venezuela, è accurato di aver commesso tentativi di intrusione informatica e di associazione a delinquere finalizzata al commettere intrusioni informatiche, secondo una denuncia penale statunitense resa pubblica lunedì 16 maggio 2022.

Zagala avrebbe venduto e affittato pacchetti ransomware da lui sviluppati a criminali informatici. È inoltre accusato di aver addestrato gli aspiranti aggressori/gli affiliati sul come utilizzare i suoi prodotti per estorcere le vittime e di essersi successivamente vantato degli attacchi riusciti.

Una serie di errori di Zagala, avrebbe permesso agli investigatori di identificarlo come sospetto, ha dichiarato il DoJ. Nel settembre 2020, un agente dell’FBI sotto copertura avrebbe acquistato una licenza per Thanos da Zagala e scaricato il software. Inoltre, un informatore dell’FBI ha parlato con Zagala della possibilità di istituire un programma di affiliazione utilizzando Thanos, sempre secondo il documento del DoJ.

Zagala si sarebbe vantato pubblicamente nel DarkWeb del fatto che il RaaS Thanos, la sua creatura, era stato usato da parte di un gruppo di threat actors sponsorizzato dallo Stato iraniano per attaccare aziende israeliane.

Fonte: portswigger.net/daily-swig/med…

Fonte PDF (FBI.GOV)

fbi.gov/wanted/cyber/moises-lu…

Conclusione

In questo articolo della serie sugli initial access broker abbia visto come il furto di credenziali avvenga attraverso campagne di phishing con allegati Office contenenti malware/infostealer… Quindi ricordiamo alcune delle best practice menzionate in precedenza per essere pronti ad ogni evenienza

• Controlli di Accesso Forti/uso di Multi Factor Authentication
• Formazione e Consapevolezza dei Dipendenti
• Segmentazione/micro segmentazione della rete
• Monitoraggio Continuo e Rilevamento delle Minacce

–

Bibliografica

KelaCyber

kelacyber.com/blog/uncovering-…

kelacyber.com/blog/the-secret-…

Report di Outpost24

slideshare.net/slideshow/outpo…

RaaS THANOS su RecordedFuture

recordedfuture.com/research/th…

Bleeping Computer su Thanos

bleepingcomputer.com/news/secu…

PortSwigger su Thanos

portswigger.net/daily-swig/med…

ProffPoint su Thanos

proofpoint.com/us/blog/threat-…

Malpedia Fraunhofer su GuLoader/CluodEyE

malpedia.caad.fkie.fraunhofer.…

FBI

fbi.gov/wanted/cyber/moises-lu…

L'articolo Alla scoperta di Drumrlu. L’IaB che fa grossi affari tra Turchia e Venezuela proviene da il blog della sicurezza informatica.