Quando un attaccante riesce a entrare in una rete aziendale, il danno vero spesso non avviene nel punto di ingresso, ma nella fase successiva.

Infatti, è dopo l’accesso che entra in gioco il movimento laterale (lateral movement), una tecnica silenziosa ma devastante che consente ai cyber criminali di estendere il proprio controllo all’interno dell’infrastruttura, passando da un sistema compromesso agli asset più sensibili.

Cos’è il movimento laterale

Il movimento laterale è una fase dell’attacco in cui l’aggressore, già presente nella rete, cerca di espandere la propria presenza per accedere a risorse privilegiate.

Di solito, una volta dentro, il cyber criminale non attacca subito l’obiettivo finale, ma si “muove” lateralmente tra i sistemi per:

• evitare il rilevamento;
• ottenere credenziali più potenti;
• identificare e raggiungere asset critici, come server, database o backup.

A differenza di attacchi più diretti, il movimento laterale è spesso invisibile ai controlli superficiali, proprio perché sfrutta canali legittimi (come RDP, SMB, WMI o PowerShell) con credenziali compromesse.

Esempi di attacchi basati sul movimento laterale

Emerso nel 2017, NotPetya è stato un attacco informatico che ha segnato una svolta nella cyberwarfare, evidenziando le gravi conseguenze del movimento laterale nelle reti aziendali.

Anche l’attacco alla supply chain di SolarWinds, scoperto nel 2020, ha evidenziato la pericolosità del movimento laterale nelle reti compromesse.

Altro caso di spostamenti laterali è Hafnium nel 2021.

Ecco i singoli casi nei dettagli.

NotPetya (2017)

Il malware, inizialmente scambiato per un ransomware, sfruttava l’exploit EternalBlue delle vulnerabilità nel protocollo SMBv1 per propagarsi rapidamente da un computer all’altro all’interno delle stesse infrastrutture, compromettendo sistemi apparentemente sicuri.

Questo tipo di propagazione laterale ha mostrato quanto sia cruciale segmentare le reti e limitare i privilegi tra dispositivi e utenti. NotPetya non mirava al riscatto, ma alla distruzione dei dati, dimostrando che l’obiettivo può essere puramente distruttivo.

L’attacco ha causato miliardi di danni a livello globale e ha colpito anche aziende che non erano obiettivi primari.

La lezione appresa è che un singolo punto d’accesso vulnerabile può compromettere un’intera rete. La capacità del malware di muoversi lateralmente ha amplificato l’impatto.

Da allora, il movimento laterale è diventato un aspetto centrale nella valutazione delle minacce. Difendersi richiede visibilità, segmentazione e una gestione rigorosa degli accessi.

SolarWinds (2020)

Alcuni cybercriminali, hanno inserito una backdoor negli aggiornamenti legittimi della piattaforma Orion, utilizzata per il monitoraggio IT.

Una volta installata, la backdoor ha permesso agli attaccanti di eseguire codice da remoto, eludendo l’autenticazione dell’API server, e di muoversi lateralmente all’interno delle reti delle vittime.

Questo ha consentito l’accesso a sistemi sensibili di agenzie governative e aziende di alto profilo. Le autorità statunitensi hanno ordinato la disconnessione immediata delle versioni compromesse di Orion per contenere la minaccia.

L’incidente sottolinea l’importanza di implementare misure di sicurezza come la segmentazione delle reti e il monitoraggio continuo per prevenire movimenti laterali non autorizzati.

Inoltre, evidenzia la necessità di una gestione rigorosa delle vulnerabilità anche non esposte e di controlli approfonditi sugli aggiornamenti software per proteggere le infrastrutture critiche.

Hafnium (Microsoft Exchange, 2021)

Dopo l’exploit iniziale su server Exchange, gli attaccanti hanno utilizzato PowerShell e strumenti Windows nativi per spostarsi lateralmente, creare backdoor persistenti e accedere a caselle di posta sensibili.

Le vulnerabilità ProxyLogon, identificate nei server Microsoft Exchange, hanno rappresentato una minaccia significativa per la sicurezza delle reti aziendali.

Queste falle, sfruttate da gruppi di cybercriminali, hanno permesso l’accesso non autorizzato ai server di posta elettronica, facilitando l’installazione di malware e il movimento laterale all’interno delle infrastrutture compromesse.

Nonostante Microsoft abbia rilasciato patch correttive, con il 92% dei server aggiornati, molte organizzazioni hanno subito compromissioni prima dell’applicazione delle correzioni.

L’attacco ha evidenziato l’importanza di una gestione tempestiva delle vulnerabilità e di strategie di difesa in profondità, come la segmentazione delle reti e il monitoraggio continuo, per prevenire movimenti laterali non autorizzati.

Inoltre, ha sottolineato la necessità di una collaborazione internazionale e di una maggiore consapevolezza delle minacce emergenti nel panorama della cyber security.

Come si muovono lateralmente gli attaccanti

Le tecniche più comuni includono:

• Pass-the-Hash / Pass-the-Ticket: dopo aver ottenuto un accesso iniziale ad una macchina poco protetta, con tecniche di phishing, brute force, exploit ecctera, è possibile estrarre le credenziali salvate in memoria inclusi gli hash delle password, ed è proprio tramite queste ultime che sarà possibile muoversi lateralmente su altri sistemi dello stesso dominio.
• Remote desktop protocol (Rdp): una volta compromessi gli accessi è possibile muoversi lateralmente sui server che hanno esposto internamente alla rete RDP, ricordate che la segmentazione unita alle opportune regole di accesso (ACL) ci vengono d’aiuto in questi casi.
• Windows management instrumentation (WMI) e PowerShell Remoting: da una macchina compromessa, usando strumenti amministrativi legittimi (WMI, PowerShell), sarà possibile muoversi lateralmente. Per difendersi anche qui la segmentazione ci viene in aiuto, dal momento che si potrebbe concedere l’accesso alle porte (solitamente La porta 5985 o 5986) solo alle reti di management, quindi anche se viene compromesso un pc dove è stato fatto un accesso con credenziali di admin, l’accesso alle reti sensibili può essere protetto dal gateway che blocca quel tipo di connessioni dalle reti non trusted.
• accesso a condivisioni Smb: per diffondere malware o esfiltrare dati, uno degli attacchi più semplici che si può sfruttare, può essere effettuato per esempio copiando un malware sulla cartella di startup di un utente. Per proteggersi è sicuramente necessario disabilitare il protocollo poco sicure SMBv1, segmentare la rete e consentire SMB solo da dove necessario e per tutto il resto bloccare la porta 445, non esporre mai SMB su internet, abilitare l’autiding sugli eventi “Event ID 5140: accesso a oggetti di rete” utilizzare i permessi di scrittura solo se necessario e preferire quelli di lettura sempre secondo il criterio del least privilege.

Ogni strumento che consente la gestione remota può essere usato come “mezzo di trasporto” per l’attaccante.

Perché il movimento laterale è così pericoloso

Il movimento laterale è temibile perché trasforma una violazione contenuta in un attacco sistemico.

Molte aziende scoprono l’attacco solo quando è troppo tardi, e la portata del danno è ormai di dimensioni gigantesche se non irrecuperabili, ovvero quando trovano:

• backup criptati o cancellati;
• file sensibili già esfiltrati;
• controller di dominio sotto il controllo dell’attaccante.

Il movimento laterale è il passaggio che trasforma una minaccia in una crisi.
Possiamo anche entrare nel dettaglio degli scenari apocalittici che potrebbero verificarsi, ricordando che il verificarsi di certe situazioni necessita di più concause, ma tutte riconducibili a una mancata o carente manutenzione / progettazione spesso perché si tende a proteggere molto il perimetro e poco l’interno.

La cifratura o cancellazione dei backup

L’attaccante, dopo aver ottenuto l’accesso alla rete, tramite movimento laterale, individua e compromette i sistemi di backup (on-premise o cloud).

Questo impedisce all’azienda di ripristinare i dati dopo l’attacco, lasciandola completamente priva di dati.

Come avviene tecnicamente:

• gli attaccanti eseguono una ricognizione interna per individuare i sistemi di backup (per esempio, server Veeam, NAS, repository cloud come AWS S3, Azure Blob eccetera).
• usano credenziali privilegiate (spesso ottenute tramite pass-the-hash, Kerberoasting o token hijacking) per accedere ai sistemi di backup;
• disabilitano o compromettono i job automatici di backup, oppure criptano i dati di backup usando ransomware;
• in alcuni casi, dopo aver preso il controllo degli storage cancellano anche le snapshot o le repliche off-site, rendendo inutilizzabile anche la strategia di “backup off-line o air- gapped” usando la tecnica della persistenza;
• creano accessi persistenti negli stessi backup, in modo tale che una volta ripristinati i dati o le macchine compromesse, vengano ripristinati anche i malware.

Il backup, che dovrebbe essere il piano B, diventa inservibile. L’azienda è messa all’angolo: o paga il riscatto o perde tutto e, se paga, può comunque perdere tutto.

Esfiltrazione di dati sensbili/aziendali

L’esfiltrazione di dati è un termine che indica il furto e il trasferimento non autorizzato di informazioni da un sistema informatico a un soggetto esterno. In pratica, significa che un attaccante riesce a penetrare nei sistemi di un’azienda, ad accedere a file sensibili, a copiarli e inviarli all’esterno per scopi malevoli, come la vendita, l’estorsione, o la pubblicazione.

Il cybercriminale si muove tra i sistemi della rete, individuando i dati di valore: database, cartelle condivise, server interni, storage NAS.

Successivamente i dati vengono copiati e spesso compressi e cifrati per non farsi notare nella fase di trasporto.

Gli aggressori cercano di evitare i sistemi di rilevamento (antivirus, firewall, sistemi di monitoraggio).

L’estrazione vera e propria avviene attraverso canali cifrati, con quantità di dati non troppo elevate simulando un normale comportamento umano solitamente, via protocollo Http/Https (come se si stesse navigando normalmente), tramite cloud storage privati temporanei, usando botnet o server di comand & control per mascherare la vera origine dei file, via email criptate o VPN per eludere il monitoraggio.

Le conseguenze dell’esfiltrazione di dati possono essere gravissime:

• perdita di informazioni riservate, come brevetti, codici sorgente o progetti strategici;
• violazione dei dati personali, con possibili multe per non aver rispettato normative come il GDPR;
• danno reputazionale, soprattutto se la notizia diventa pubblica o coinvolge clienti importanti;
• perdita economica, diretta (ransom, fermi operativi) e indiretta (clienti persi, costi legali e di comunicazione);
• ricatti e doppia estorsione, dove gli attaccanti chiedono un riscatto per non pubblicare o vendere i dati rubati;
• effetti a catena sulla supply chain, se i dati riguardano partner, fornitori o clienti.

In sintesi, l’esfiltrazione è una delle forme più dannose di attacco informatico perché va oltre il semplice blocco dei sistemi. Infatti implica la diffusione e perdita definitiva del controllo sui dati, con ripercussioni potenzialmente devastanti.

I controller di dominio

Se un attaccante riesce a ottenere il controllo dei controller di dominio (Domain Controller, DC) dopo un movimento laterale all’interno di una rete, si tratta di una delle situazioni più gravi che possano verificarsi in un’infrastruttura Windows.

Il Domain controller è un server all’interno di un’infrastruttura Active Directory (AD) che gestisce, l’autenticazione (login degli utenti), l’autorizzazione (accesso a risorse e servizi), le policy di sicurezza (Group Policy), la gestione degli oggetti account gruppi di sicurezza, utenti e computer.

Se un cybercriminale dovesse prenderne il controllo, avrebbe il controllo totale del dominio Active Directory e di conseguenza può creare, modificare o eliminare utenti, gruppi, policy.

Può impersonare qualsiasi utente, incluso gli amministratori semplicemente resettando la loro password avrebbe accesso a tutti i loro dati. Può distribuire malware in modo invisibile e automatico.

Un attacco al domain controller è abbastanza complesso, ma in compenso è molto pericoloso, deve essere eseguito con più passaggi, come per le tecniche quali Pass-the-Hash / Pass-the-Ticket si possono ottenere accessi privilegiati.

Se l’attaccante riesce ad estrarre la password dell’utente di sistema KRBTGT da un DC, può creare ticket Kerberos validi per qualsiasi utente, infatti l’attaccante potrebbe costruire un TGT falso, valido per qualsiasi utente (per esempio, domain admin), anche non esistente, questa tecnica è nota come Golden Ticket.

Il golden ticket è molto difficile da debellare in quanto, pur modificando la password dell’utente KRBTGT, i ticket restano validi perché I DC mantengono in memoria due versioni della chiave e il secondo reset deve essere fatto una volta che i Dc si sono replicati.

Oppure più “semplicemente” l’attaccante, registrando un falso Dc, invia modifiche malevole all’Ad, per esempio creando un nuovo account admin.

A causa di un DC compromesso, il cybercriminale può accedere a qualsiasi macchina, servizio o risorsa.

Avrà una persistenza sul lungo periodo in quanto potrà creare utenti backdoor, modificare Gpo, schedulare script PowerShell e di conseguenza potrà diffondere malware semplicemente sull’intera infrastruttura e potrà alterare i log di sicurezza, disabilitare antivirus o EDR tramite GPO.

Come ostacolare il movimento laterale

Una singola misura non basta, ma alcuni approcci chiave, per ostacolare il movimento laterale, sono i seguenti:

• limitare i privilegi: ogni account deve avere accesso solo a ciò che serve (principio del minimo privilegio noto come Least Privilege);
• dividere le credenziali di accesso tra gli amministratori dei vari server ed usare password dedicate per l’amministrazione dei domain controllers;
• segmentare la rete: separare le reti logiche riduce la libertà di movimento dell’attaccante;
• attivare soluzioni di rilevamento comportamentale (UEBA/NDR): monitorare gli spostamenti sospetti tra host, UEBA guarda “chi fa cosa” e cerca comportamenti anomali, NDR guarda “cosa succede sulla rete” per trovare attività malevole nascoste;
• isolamento dei sistemi critici: i sistemi come Active Directory o server backup non dovrebbero essere raggiungibili direttamente da ogni postazione, se non per i servizi essenziali al suo funzionamento, questa opzione è attivabile dopo aver segmentato la rete e creato le dovute ACL;
• autenticazione forte (MFA): dotare gli accessi, soprattutto quelli esterni con autenticazione a più fattori, in modo tale da scoraggiare gli attaccanti a spostarsi da un servizio all’altro anche se già all’interno dell’infrastruttura;
• monitoraggio continuo di PowerShell, RDP, WMI e accessi fuori orario, tramite per esempio l’attivazione di auditing degli event id di windows oppure affidarsi a SIEM e SOC;
• backup 3-2-1: la strategia di backup 3-2-1 prevede di mantenere 3 copie dei dati (1 primaria + 2 backup), su 2 supporti diversi (es. disco esterno + nas), con 1 copia offsite (nastro o cloud). Serve a garantire ridondanza e resilienza contro guasti, ransomware o disastri. È semplice, efficace e ampiamente adottata in ambito aziendale. L’obiettivo è minimizzare il rischio di perdita totale dei dati;
• predisporre un piano di Disaster Recovery (DR) ben strutturato definisce procedure e risorse per ripristinare sistemi e dati in caso di guasti gravi o disastri;
• include un’analisi di business impact (BIA), con obiettivi chiari di RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Stabilisce ruoli, responsabilità, flussi di comunicazione e processi di escalation. Prevede test periodici e aggiornamenti regolari per garantirne l’efficacia. Integra copie offsite, infrastrutture di backup e piani alternativi per la continuità operativa.

Un’ipotesi verosimile: “Il giorno in cui la rete non crollò”

Possiamo fare una sintesi sui rischi dei movimenti laterali con una storia inventata ma probabile, a lieto fine.

Era un lunedì qualunque per DiGiSPMI (Nome di fantasia), una PMI altamente digitalizzata innovativa nel settor manifatturiero. I reparti operativi erano in piena attività, e il team IT affrontava le solite richieste quotidiane.

Alle 9:42, però, qualcosa cambiò. L’antivirus segnalò un’attività sospetta su un laptop commerciale: un file eseguibile non riconosciuto stava cercando di avviarsi.

Il tecnico IT, Simone, isolò subito il dispositivo e avviò un’analisi. Pochi minuti dopo, il sospetto divenne certezza: un ransomware stava tentando di propagarsi nella rete.
La fortuna di DiGiSPMI non fu casuale, ma frutto di una strategia precisa: la rete era segmentata in base a uffici, dispositivi e funzioni. I dispositivi del reparto commerciale non potevano comunicare direttamente con tutti server ma, solo con il CRM in Https, né con i PC dell’ufficio tecnico o dell’amministrazione.

Il next generation Firewall interno filtrava tutto il traffico tra i segmenti.

Il malware cercò di spostarsi lateralmente, ma venne bloccato. Tentò di accedere a cartelle condivise e al file server, ma trovò le porte chiuse. Nessuna regola lo permetteva e i permessi erano ben configurati.

In meno di mezz’ora, l’infezione fu contenuta. Un solo laptop fu colpito. I dati erano salvi. Anche i file del commerciale erano salvi e dopo la formattazione del Pc ci fu un bel restore dal backup che era protetto su un altro segmento di rete.

Il giorno dopo, il Ceo ringraziò il reparto IT per la risposta rapida, ma soprattutto per le scelte intelligenti fatte mesi prima: segmentazione della rete, regole firewall interne, gestione dei privilegi e backup.

La rete di DiGiSPMI non era solo funzionale, era resiliente.

I movimenti laterali in una rete non segmentata

Ecco invece cosa sarebbe accaduto sfruttando i movimenti laterali in una rete non segmentata.

In una rete piatta, priva di segmentazione:

• il malware avrebbe usato tecniche di lateral movement (es. SMB, WMI, RDP) per propagarsi da host a host.
• avrebbe trovato cartelle condivise accessibili senza restrizioni, cifrando dati cruciali.
• sarebbe arrivato ai server di produzione e ai database, compromettendo ERP, documentazione tecnica e dati sensibili.
• avrebbe colpito anche i backup collegati in rete, impedendo un ripristino immediato;
• tutto il traffico, privo di controlli interni, sarebbe sembrato “normale” agli occhi della rete, fino al disastro.

Il risultato sarebbe stato una paralisi totale della rete aziendale, fermo produzione, costi elevati, danni reputazionali e possibile perdita di dati critici.
Ma la rete era pronta. E DiGiSPMI non è crollata.

In cyber security, non conta solo cosa entra, ma dove può arrivare… E in DiGiSPMI, il ransomware non è potuto andare da nessuna parte.

Il ruolo delle barriere contro il movimento laterale

Il movimento laterale è il vero gioco dell’attaccante. Non è la porta d’ingresso a causare il danno peggiore, ma la libertà di muoversi una volta dentro.

Ogni misura che limita, rallenta o dà visibilità agli spostamenti (segmentazione, controllo degli accessi, monitoraggio intelligente eccetera) sono barriere in più tra l’attaccante e i dati critici.
Bloccare il movimento laterale non ferma l’intrusione, ma può salvare l’intera infrastruttura.