Benjamin Lim Direttore vendite aziendali

La mattina del 1° maggio 2026, ai lavoratori che arrivavano allo stabilimento della Foxconn di Mount Pleasant, nel Wisconsin, sono stati consegnati dei fogli di presenza cartacei.

Non a causa di un’interruzione di corrente. Non si trattava di un’esercitazione antincendio.

L'intera rete era fuori uso. Il Wi-Fi era saltato già alle 7:00 del mattino. L'infrastruttura centrale dello stabilimento era al buio già alle 11:00. L'intero reparto di produzione, dedicato alla realizzazione di server di intelligenza artificiale per Apple, Google, NVIDIA, Intel e Dell, era stato costretto a ricorrere a carta e penna prima ancora che la maggior parte delle persone avesse finito il proprio caffè mattutino.

L'11 maggio, il gruppo di ransomware Nitrogen aveva pubblicato i dati relativi a Foxconn sul proprio sito di divulgazione nel dark web, affermando di aver sottratto otto terabyte di dati. Oltre 11 milioni di file. Schemi di assemblaggio. Mappe topologiche dei data center di Google e Intel. Schemi hardware per l'infrastruttura di intelligenza artificiale di prossima generazione. Secondo quanto riferito, sarebbe stata colpita anche una seconda struttura a Houston, in Texas.

Non si è trattato di un’azione improvvisata e frenetica. È stato un attacco mirato, pianificato con pazienza e basato sull’identità, che ha seguito uno schema che chi si occupa della sicurezza delle identità deve conoscere alla perfezione.


Perché il ransomware prende di mira innanzitutto l’identità?

Nel “Ransomware Risk Report” di Semperis , il 78% degli intervistati ha dichiarato di essere stato vittima di un attacco ransomware negli ultimi 12 mesi. Il punto di accesso più comune? Il sistema di gestione delle identità.


L'83% degli attacchi ransomware ai danni delle aziende manifatturiere a livello globale ha compromesso l'infrastruttura delle identità.

Fonte: Semperis, Rapporto sui rischi legati al ransomware 2025


Per i professionisti esperti nel campo della sicurezza informatica e per chi si occupa della gestione degli incidenti, tali statistiche non sono una sorpresa. L’infrastruttura di gestione delle identità è fondamentale per tutte le altre applicazioni e sistemi dell’organizzazione. Quando gli aggressori si infiltrano in Active Directory (AD), Entra ID o Okta, possono stabilire una presenza persistente, muoversi lateralmente ed elevare i propri privilegi per ottenere una maggiore portata nell’intero ambiente.

L'attacco Nitrogen ha seguito uno schema ben documentato, in cui credenziali compromesse aprono la strada a privilegi elevati, all'accesso al dominio e alle chiavi di accesso ai sistemi di backup.


Come funziona la catena di attacco "identity-first"?

Negli attacchi ransomware di tipo “identity-first”, il punto di ingresso è quasi sempre lo stesso: credenziali compromesse o endpoint esposti. A volte si tratta di un’e-mail di phishing mirata specificatamente agli amministratori IT, ovvero a persone con privilegi elevati, accesso al dominio e le chiavi di accesso ai sistemi di backup. Il loro obiettivo non è il portatile di un utente comune, ma gli account che consentono di eseguire determinate operazioni.

Questo schema è in linea con quanto osservato dai ricercatori di Semperis nel corso di decine di indagini sul ransomware: Active Directory non è solo un obiettivo di questi attacchi, ma costituisce la superficie di attacco stessa.

  1. Accesso iniziale tramite abuso di credenziali. Le credenziali compromesse — ottenute tramite phishing o acquistate da broker di accesso iniziale — spesso costituiscono un punto d’appoggio iniziale. Non è necessario alcun exploit: bastano un nome utente e una password validi.
  2. Escalation dei privilegi tramite configurazioni errate di Active Directory. Una volta entrati, gli aggressori cercano le vulnerabilità più evidenti presenti in quasi tutti gli AD aziendali: account di servizio vulnerabili a Kerberoast con privilegi eccessivi, delega senza restrizioni, account amministrativi obsoleti, configurazioni errate degli ACL che consentono a un utente standard di reimpostare la password di un account privilegiato.

    Per produttori come Foxconn, una rete di produzione intelligente in espansione — integrata con l’IoT, connessa al cloud e sviluppata a ritmo sostenuto — è esattamente il tipo di ambiente in cui tali configurazioni errate si accumulano in modo invisibile.
  3. Movimento laterale e controllo del dominio. Una volta ottenuto un punto d’appoggio e un percorso di escalation, gli aggressori si dirigono verso il dominio. Cercano obiettivi con privilegi elevati, come amministratori di dominio, amministratori aziendali e account con diritti DCSync. Una volta ottenuti, assumono il controllo dell’ambiente. Ogni sistema che si affida a quell’istanza di AD è ora compromesso.
  4. Identificazione e preparazione dei backup. Prima di provocare qualsiasi interruzione visibile, l’autore dell’attacco individua e neutralizza l’infrastruttura di backup. Nella violazione subita da Foxconn nel 2020, DoppelPaymer ha cancellato 30 TB di dati di backup. Autori di attacchi come Nitrogen potrebbero adottare un approccio più mirato, preparando i dati in modo discreto e utilizzandoli come leva nelle trattative. Ma l’intento è lo stesso: rendere il ripristino il più difficile possibile.
  5. Esfiltrazione, poi estorsione. Otto terabyte di dati non si trasferiscono dall’oggi al domani. La maggior parte degli attacchi ransomware richiede settimane di esfiltrazione paziente, graduale e discreta: proprio il tipo di attività che si confonde con il normale rumore di rete se non si monitora attentamente il comportamento degli utenti.

Una volta penetrati nel sistema di gestione delle identità, gli hacker non agiscono in fretta. Trascorrono settimane a mappare l’ambiente, a identificare i controller di dominio, a individuare i server di backup e a preparare l’esfiltrazione dei dati in modo silenzioso e discreto. Quando qualcuno si accorge che qualcosa non va, i dati sono già spariti. La crittografia, quando finalmente viene applicata, è quasi una formalità. La vera leva è stata l’esfiltrazione dei dati.


Quali misure di difesa basate sull’identità possono adottare fin da subito i produttori?

Come emerge dallo studio sul ransomware condotto da Semperis, molte aziende del settore manifatturiero riconoscono che la sicurezza delle identità e la resilienza sono elementi fondamentali per la resilienza informatica e aziendale, e il 90% degli intervistati a livello globale ha implementato una strategia di rilevamento e risposta alle minacce alle identità (ITDR).

Tuttavia:

  • Solo il 65% delle aziende manifatturiere include nel proprio piano di ripristino di emergenza procedure specifiche per l'AD
  • Solo il 61% dispone di sistemi di backup dedicati e specifici per AD

Entrambi sono fondamentali per un’ITDR efficace. In che modo, quindi, la vostra organizzazione può contrastare con successo le minacce ransomware legate all’identità per rafforzare la resilienza operativa?

Vediamo insieme cosa è possibile fare per proteggere il proprio ambiente di identità — prima, durante e dopo un attacco informatico — e dove potrebbero esserci specifiche lacune in contesti produttivi complessi come quello di Foxconn.


Inizia subito: scopri cosa vede l’autore dell’attacco, prima ancora che lo veda lui stesso

Due strumenti comunitari di Semperis ti consentono di valutare immediatamente il tuo livello di sicurezza, senza alcun costo.

Un rapporto congiunto pubblicato dall’Alleanza Five Eyes— che comprende l’Australian Cyber Security Centre, la National Security Agency statunitense e altri organismi — raccomanda Purple Knight, lo strumento gratuito di valutazione della sicurezza AD di Semperis, come efficace strumento di prevenzione e rilevamento che consente di monitorare nel tempo lo stato di sicurezza delle proprie identità. Ed è completamente gratuito.

Purple Knight una scansione senza agenti sui vostri ambienti Active Directory, Entra ID e Okta e assegna un punteggio in base a oltre 218 indicatori di sicurezza appartenenti a diverse categorie:

  • Delega AD
  • Sicurezza del conto
  • Infrastruttura AD
  • ID Entra
  • Sicurezza dei criteri di gruppo
  • Sicurezza ibrida
  • Sicurezza Kerberos
  • Okta

In un tipico ambiente aziendale, lo strumento individua configurazioni errate e vulnerabilità rimaste inosservate per anni. Successivamente, fornisce indicazioni specialistiche per aiutarti a dare priorità alle minacce più rischiose e ad affrontarle in modo sistematico.

Un altro strumento gratuito, Forest Druid, amplia ulteriormente la visibilità sul livello di sicurezza delle identità mappando i percorsi di attacco di livello 0, ovvero i percorsi che un aggressore può seguire partendo da un account utente standard compromesso fino ad arrivare alla compromissione dell’amministratore di dominio o del controller di dominio. Questo strumento gratuito risponde alla domanda a cui la maggior parte delle organizzazioni non è in grado di rispondere da sola:

«Se un hacker riuscisse a entrare qui, quanti passaggi ci vorrebbero per prendere il controllo del nostro dominio?»

In un contesto in cui la rete dello stabilimento produttivo, l’infrastruttura IT aziendale e l’infrastruttura di assemblaggio dei server di intelligenza artificiale sono tutte interconnesse, il numero di percorsi Tier 0 non intenzionali è quasi certamente significativo. Forest Druid li Forest Druid visivamente, li classifica in base al rischio e fornisce ai responsabili della sicurezza una tabella di marcia per la risoluzione dei problemi, prima che un aggressore riesca a individuare autonomamente tali percorsi.


Migliorare la visibilità del sistema di identificazione per ridurre il tempo di permanenza

Le settimane o i mesi che un aggressore trascorre all’interno di una rete prima di provocare un’interruzione rappresentano una finestra di opportunità per chi si occupa della difesa. Durante quel periodo di permanenza è possibile individuarli, ma solo se si prestano attenzione ai segnali giusti.

Gli strumenti SIEM standard registrano gli eventi, ma non ne comprendono il significato nel contesto del vostro ambiente Active Directory ibrido. Un aggressore che esegue un’operazione DCSync, crea un “Golden Ticket”, modifica AdminSDHolder o aggiunge silenziosamente un utente a un gruppo con privilegi genererà dei log, ma la maggior parte dei sistemi SIEM non li segnalerà come avvisi ad alta priorità perché non dispone delle informazioni specifiche su AD necessarie per interpretare correttamente tali eventi.

Semperis Directory Services Protector DSP) monitora costantemente l’infrastruttura delle identità, mette in correlazione le modifiche con i modelli di attacco noti e, cosa fondamentale, garantisce il ripristino automatico in tempo reale delle modifiche non autorizzate.

Ciò significa che se un malintenzionato aggiunge un account non autorizzato al gruppo “Domain Admins” alle 2:00 del mattino, DSP si limita a inviare un avviso, ma annulla la modifica prima che l’account possa essere utilizzato.


Preparati alle domande a cui nessuno vuole rispondere

Ecco una domanda a cui ogni CISO dovrebbe essere in grado di rispondere prima che si verifichi un incidente, non nel corso dello stesso:

«Se i nostri controller di dominio fossero attualmente fuori servizio, quanto tempo ci vorrebbe per ripristinare Active Directory a uno stato noto come sicuro? E siamo sicuri che il backup da cui stiamo effettuando il ripristino non sia già stato compromesso?»

La maggior parte delle organizzazioni non è in grado di rispondere con certezza a questa domanda. La maggior parte non ha effettuato alcun test in merito. E in caso di attacco ransomware, il ripristino da un backup compromesso non equivale a un vero e proprio ripristino: significa semplicemente ripristinare la presenza dell’autore dell’attacco.


Siate certi di poter ripristinare la pulizia, non solo di farlo in fretta

Gli intervistati del settore manifatturiero che hanno partecipato allo studio di Semperis sul ransomware hanno riferito che, quando gli attacchi ransomware andavano a buon fine, venivano colpiti non solo una volta, ma più volte nel corso di giorni o settimane:

  • Il 39% è stato aggredito due volte.
  • Il 25% è stato aggredito tre volte.
  • L'8% è stato aggredito quattro o più volte.

Questi attacchi ripetuti evidenziano il fatto che ripristinare i backup in cui l'autore dell'attacco è ancora in agguato non serve a nulla. È necessario assicurarsi di poter ripristinare il sistema in uno stato affidabile e pulito.

Semperis Active Directory Forest Recovery ADFR) automatizza il processo di ripristino della foresta AD, eliminando le fasi manuali e soggette a errori descritte nella guida al ripristino di Microsoft, che possono richiedere giorni e comportare errori umani in situazioni di stress. Ancora più importante, ADFR la foresta in uno privo di malware. Non si limita a ripristinare l’ultimo backup, ma garantisce che l’ambiente ripristinato sia pulito.

La rete di Foxconn ha smesso di funzionare il 1° maggio. L’11 maggio — dieci giorni dopo — l’azienda continuava a descrivere la produzione come in fase di “ripristino graduale”. Tali tempi non sono insoliti per le organizzazioni che ripristinano l’AD manualmente. Con ADFR, tale finestra di ripristino si riduce da giorni a ore.


Metti alla prova il tuo sistema di ripristino prima che ti serva

Anche se disponete di backup e di un piano di ripristino, come potete essere sicuri che funzioneranno quando si verificherà il peggio?

Secondo il rapporto di Semperis "State of Enterprise Crisis Readiness" di Semperis:

  • Il 96% delle organizzazioni a livello mondiale dichiara di disporre di un piano di risposta alle crisi informatiche
  • Tuttavia, il 71% ha comunque subito incidenti informatici che hanno causato l'interruzione dell'attività

Il problema non è che a queste organizzazioni manchino l'impegno o il talento. È che non dispongono di uno strumento per garantire l'efficacia della loro risposta.

Semperis Ready1 è una piattaforma aziendale per la gestione delle crisi che funge da centro di comando e controllo prima, durante e dopo un incidente informatico. È il luogo in cui i vostri team possono elaborare i piani di risposta alle crisi informatiche, testare la prontezza al ripristino prima che se ne presenti la necessità, verificare l’integrità dei backup, individuare eventuali lacune nei runbook e garantire che, quando sarà necessario procedere al ripristino, non vi ritroverete a dover improvvisare sotto pressione alle 2:00 del mattino mentre la produzione è inattiva.


Il quadro generale: in che modo il settore manifatturiero può rafforzare la resilienza identitaria?

La violazione subita da Foxconn è significativa non solo per la sua portata, ma anche per il tipo di dati che sono stati sottratti.

Mappe topologiche dei data center per le infrastrutture di Google e Intel
Specifiche di assemblaggio per l'hardware di intelligenza artificiale
Proprietà intellettuale il cui sviluppo ha richiesto anni e centinaia di milioni di dollari

Tutti hanno lasciato l'edificio nel corso di settimane di silenziosa evasione, mentre nessuno teneva d'occhio il dominio.

Il settore manifatturiero continua a considerare Active Directory come un problema informatico piuttosto che come un rischio operativo. In un contesto di Industria 4.0 — in cui il controller di dominio rappresenta il punto di riferimento per tutto, dalla linea di produzione al cloud — questa visione è pericolosamente superata.

Gli hacker lo sanno bene: il livello dell'identità è la principale superficie di attacco.

La domanda che ogni CISO nei settori manifatturiero, delle infrastrutture critiche e della filiera tecnologica deve porsi non è solo se i propri sistemi operativi siano adeguatamente protetti. È piuttosto se, nel caso in cui un aggressore riesca a penetrare nel sistema, le difese relative all’identità saranno in grado di fermarlo o, al contrario, di fornirgli tutte le informazioni di cui ha bisogno.


Ulteriori letture