Image by Boitumelo, from Unsplash
Il malware BRICKSTORM colpisce le aziende tecnologiche, legali e SaaS negli Stati Uniti
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Sep 30, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Gli hacker stanno utilizzando il malware BRICKSTORM per infiltrarsi nelle aziende statunitensi, rimanendo nascosti per oltre un anno, rubando email e dati sensibili.
Sei di fretta? Ecco i fatti salienti:
- I hacker sono rimasti non rilevati nelle reti per oltre 393 giorni.
- Gli obiettivi includono studi legali statunitensi, SaaS, outsourcing e aziende tecnologiche.
- Il malware si nasconde nei server VMware e negli apparecchi di rete.
Una campagna cibernetica furtiva chiamata BRICKSTORM sta prendendo di mira le principali industrie statunitensi, secondo una nuova ricerca del Gruppo di Intelligenza sulle Minacce di Google (GTIG) e di Mandiant Consulting. Da marzo 2024, il malware ha preso di mira studi legali, aziende tecnologiche, fornitori di Software-as-a-Service (SaaS) e aziende di outsourcing aziendale.
Gli studiosi affermano che il backdoor è progettato per spionaggio a lungo termine. “Questo, unito alle modifiche al backdoor BRICKSTORM, ha permesso loro di rimanere non rilevati nelle ambienti delle vittime per una media di 393 giorni”, ha osservato Google.
Gli attacchi sono collegati a UNC5221, un gruppo di hacker sospettato di avere legami con la Cina. Il gruppo utilizza vulnerabilità zero-day, ovvero difetti di sicurezza non corretti nei sistemi software. BRICKSTORM agisce come una minaccia nascosta in quanto si infiltra nei dispositivi che il software di sicurezza standard non monitora, tra cui i server VMware e altri dispositivi di rete.
Uno dei risultati più preoccupanti è l’abilità dei hacker di rubare in silenzio e-mail sensibili. In molti casi, hanno preso di mira sviluppatori, amministratori di sistema e individui legati alla sicurezza nazionale o alle questioni commerciali degli Stati Uniti.
GTIG ha spiegato che i fornitori di SaaS possono dare agli aggressori la possibilità di raggiungere i loro clienti a valle. Possono anche attaccare le aziende tecnologiche rubando la proprietà intellettuale e potenzialmente nuovi exploit zero-day.
Per aiutare le organizzazioni a difendersi, Mandiant ha rilasciato uno strumento di scansione in grado di rilevare segnali di BRICKSTORM su sistemi Linux e BSD. Lo strumento è disponibile sulla pagina GitHub di Mandiant.
Mandiant consiglia vivamente alle aziende di aggiornare le loro pratiche di sicurezza, rivedere come proteggono i server critici e adottare un approccio di “caccia alle minacce” invece di affidarsi unicamente ai vecchi metodi di rilevamento.
“Mandiant incoraggia vivamente le organizzazioni a rivalutare il loro modello di minaccia per gli appliances e a condurre esercizi di ricerca per questo attore altamente elusivo,” ha detto la squadra.
La campagna dimostra come gli aggressori modifichino le loro tattiche per eludere le misure di sicurezza standard, cosa che, secondo i ricercatori, spinge le imprese a prendere misure attive per la protezione del sistema.
Storia precedente
Ultimi articoli 
