Netcrook Logo
👤 TRUSTBREAKER
🗓️ 03 Mar 2026   🗂️ Cyber Warfare    

Ombre Proxy: La Massiccia Ricognizione dei Firewall SonicWall che ha fatto scattare l’allarme globale

Una scansione coordinata, durata più giorni, dei firewall SonicWall mette in luce l’evoluzione delle tattiche dei gruppi ransomware e l’urgenza della sicurezza VPN.

Alla fine di febbraio 2026, una silenziosa tempesta informatica ha attraversato internet, prendendo di mira le organizzazioni che si affidano ai firewall SonicWall. Mentre la maggior parte dei team di sicurezza era impegnata con le minacce quotidiane, un’ondata senza precedenti di ricognizione digitale stava mappando in sordina le loro difese. Gli attaccanti? Una rete nell’ombra composta da oltre 4.000 indirizzi IP unici, operativa dietro proxy commerciali e data center lontani. La loro missione: individuare i punti deboli prima di lanciare il prossimo grande blitz ransomware.

L’anatomia di una moderna campagna di ricognizione

Non si trattava del solito brusio di fondo del rumore di internet. Secondo la società di threat intelligence GreyNoise, la campagna si è sviluppata in quattro raffiche distinte, con un picco di oltre 3.200 scansioni all’ora. Gli attaccanti hanno puntato due endpoint chiave delle VPN SonicWall: l’API di controllo dello stato e il login del client NetExtender. Sono proprio questi i varchi che, se lasciati esposti o non aggiornati, possono diventare le porte spalancate che le gang ransomware bramano.

Ciò che ha distinto questa campagna è stata la sua sofisticazione. La maggior parte del traffico è stata orchestrata da due grandi hub: un cluster di scansione con base nei Paesi Bassi che ha preso di mira anche dispositivi Cisco ASA, e il servizio proxy commerciale ByteZero. Gli IP di uscita a rotazione di ByteZero hanno permesso agli attaccanti di aggirare difese di base come il rate-limiting e il blocco degli IP, rendendo molto più difficili il rilevamento e l’attribuzione.

L’analisi di GreyNoise suggerisce che si sia trattato di uno sforzo metodico per mappare i dispositivi abilitati alla VPN, probabilmente come preludio ad attacchi di credential stuffing - una mossa prediletta di gruppi ransomware come Akira e Fog. Queste gang hanno già sfruttato in passato credenziali VPN SonicWall rubate per infiltrarsi nelle reti e lanciare devastanti attacchi ransomware, talvolta cifrando i sistemi in meno di quattro ore.

La tempistica e l’intensità delle scansioni - soprattutto una finestra di 31 ore di bassa attività tra una raffica e l’altra - lasciano intuire un’operazione coordinata su scala globale. Con oltre 430.000 firewall SonicWall esposti online e un numero preoccupante ancora vulnerabile a exploit noti, la posta in gioco non potrebbe essere più alta.

Un campo di battaglia in evoluzione

Questa campagna è un campanello d’allarme per ogni organizzazione che si affida all’infrastruttura SSL VPN di SonicWall. L’uso di servizi proxy commerciali segnala una nuova fase del cybercrimine, in cui gli attaccanti possono scalare le operazioni con efficienza industriale e rischio minimo. Man mano che i gruppi ransomware diventano più agili, i difensori devono tenere il passo - non solo applicando patch alle vulnerabilità note, ma monitorando proattivamente la ricognizione e irrobustendo i punti di accesso remoto.

La prossima ondata di attacchi potrebbe essere già in movimento. Per chi è in prima linea, la lezione è chiara: quando la ricognizione bussa alla porta, è solo questione di tempo prima che arrivi la vera tempesta.

WIKICROOK

  • SSL VPN: Una SSL VPN consente agli utenti remoti di accedere in modo sicuro alla rete aziendale tramite internet, usando la crittografia per proteggere i dati durante la trasmissione.
  • Credential Stuffing: Il credential stuffing è quando gli attaccanti usano nomi utente e password rubati da un sito per tentare di accedere ad account su altri siti.
  • Servizio proxy: Un servizio proxy è un server intermediario che inoltra le richieste internet, aiutando a mascherare l’identità dell’utente e a migliorare privacy e sicurezza.
  • Sistema autonomo: Un Sistema Autonomo è una rete o un gruppo di reti gestito da un’unica entità, che prende decisioni indipendenti per instradare in modo efficiente i dati su internet.
  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
SonicWall VPN security ransomware
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news