Netcrook Logo
👤 AUDITWOLF
🗓️ 17 Dec 2025   🗂️ Cyber Warfare    

Ransomware in Sessanta Secondi: Come React2Shell Ha Aperto le Porte al Diluvio

Sottotitolo: Una grave vulnerabilità di React sta alimentando una nuova ondata di attacchi ransomware fulminei, cogliendo di sorpresa i difensori.

È bastato meno di un minuto. Questo è tutto il tempo che i cybercriminali hanno impiegato per sfruttare una vulnerabilità appena divulgata nel popolare framework React e scatenare un devastante attacco ransomware su una rete aziendale. Nella frenetica corsa tra hacker e difensori, la falla React2Shell (CVE-2025-55182) è diventata la più recente arma zero-day - già utilizzata sia da bande opportuniste che da attori statali.

Anatomia di una Violazione Istantanea

La divulgazione di React2Shell ha scosso il mondo della cybersecurity. La falla, individuata nel cuore di React - una delle librerie JavaScript più diffuse - e nel framework Next.js, permette agli aggressori di eseguire codice da remoto sui server senza bisogno di autenticazione. Nel giro di poche ore, sia hacker statali che cybercriminali hanno iniziato a sfruttare il bug, usandolo per spiare, minare criptovalute e, sempre più spesso, lanciare attacchi ransomware.

In un caso recente documentato dalla società di sicurezza S-RM, gli aggressori hanno sfruttato la vulnerabilità con precisione chirurgica. Dopo aver violato un server tramite React2Shell, il criminale ha eseguito immediatamente un comando PowerShell offuscato, impiantando un beacon Cobalt Strike per il controllo remoto. Successivamente, ha disabilitato la protezione in tempo reale di Windows Defender, rilasciato il payload ransomware Weaxor e iniziato a cifrare i file - tutto in meno di un minuto.

Chi c’è dietro Weaxor?

Weaxor non è un cartello cyber sofisticato. Piuttosto, sembra essere una ribrandizzazione di un gruppo più vecchio noto come Mallox o FARGO, famoso per aver preso di mira server Microsoft SQL con tattiche brutali. La nuova operazione Weaxor è altrettanto opportunista: non si preoccupa del furto di dati o di tattiche di “doppia estorsione”. Si limita a cifrare ciò che può e lascia una nota di riscatto, chiedendo somme relativamente modeste. In questo attacco, i file sono stati contrassegnati con l’estensione “.WEAX” e sono state lasciate istruzioni per il recupero.

Dopo la cifratura, gli aggressori hanno cancellato le copie shadow - rendendo il recupero più difficile - e svuotato i log degli eventi per coprire le tracce. La macchina compromessa è stata presto colpita da altri criminali, ognuno dei quali ha distribuito il proprio payload, un chiaro segnale che la falla React2Shell ha trasformato i server vulnerabili in prede facili.

Difensori: Non Basta Patchare e Sperare

Gli esperti di S-RM avvertono che applicare la patch per React2Shell è fondamentale, ma non sufficiente. Gli amministratori di sistema dovrebbero analizzare i log degli eventi di Windows e i dati dei sistemi di rilevamento degli endpoint alla ricerca di esecuzioni di processi sospetti - soprattutto quando i binari di Node.js o React avviano shell di comando o PowerShell. Segnali d’allarme includono connessioni in uscita inaspettate, strumenti di sicurezza disabilitati e improvvisi picchi nell’uso delle risorse.

Conclusione: La Nuova Normalità?

La vicenda React2Shell è un chiaro promemoria: nell’era degli exploit istantanei, il tempo tra la divulgazione di una vulnerabilità e l’attacco può essere misurato in minuti. Poiché le gang ransomware abbassano la soglia d’ingresso e automatizzano le loro tattiche, i difensori devono muoversi più velocemente - e scavare più a fondo - che mai. La prossima violazione potrebbe essere già in corso.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, senza una correzione disponibile, che la rende estremamente preziosa e pericolosa per gli aggressori.
  • Deserializzazione: La deserializzazione converte dati in oggetti utilizzabili da un programma. Se non è sicura, può permettere agli aggressori di iniettare istruzioni dannose nelle applicazioni.
  • PowerShell: PowerShell è uno strumento di scripting per Windows usato per l’automazione, ma spesso sfruttato dagli aggressori per compiere azioni malevole in modo furtivo.
  • Cobalt Strike: Cobalt Strike è uno strumento di test di sicurezza spesso abusato dagli hacker per lanciare veri attacchi informatici, diventando una grande preoccupazione nella cybersecurity.
  • Endpoint Detection and Response (EDR): Gli Endpoint Detection and Response (EDR) sono strumenti di sicurezza che monitorano i computer per attività sospette, ma possono non rilevare attacchi basati su browser che non lasciano file.
Ransomware React2Shell Cybersecurity
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news