Microsoft Scopre e Disattiva un Servizio di Firmatura Malware Dietro agli Attacchi Ransomware

Microsoft ha annunciato di aver interrotto un’operazione chiamata malware-signing-as-a-service (MSaaS) che sfruttava il proprio sistema di firmatura, noto come Artifact Signing, per veicolare codice malevolo. Questa azione ha avuto conseguenze su migliaia di macchine e reti in tutto il mondo, costituendo un passo significativo nella lotta contro il cybercrimine.

Un Attore Minaccioso sotto i Riflettori

L’azienda ha identificato questa minaccia con il nome di Fox Tempest, un gruppo di attaccanti che da maggio 2025 operava nel mercato nero della firmatura di malware. Questo gruppo ha offerto ai criminali informatici la possibilità di mascherare software malevolo come applicazioni legittime. Microsoft ha intrapreso una serie di azioni per smantellare l’operazione, codificando l’iniziativa come OpFauxSign. Tra le misure adottate, è stata sequestrata la piattaforma signspace[.]cloud, che ospitava centinaia di macchine virtuali utilizzate per le operazioni illecite, bloccando anche l’accesso a un sito contenente il codice sorgente di supporto.

Fox Tempest non solo facilitava l’infiltrazione di ransomware come Rhysida, ma collaborava anche con altre famiglie di malware come Oyster e Vidar, confermando l’importanza cruciale dell’operazione all’interno dell’ecosistema del cybercrimine. Gli attacchi tramite questo canale hanno colpito settori vitali come sanità, istruzione e finanza in diverse nazioni, tra cui Italia, Stati Uniti e Francia.

La Meccanica della Firmatura Fraudolenta

Uno degli aspetti più preoccupanti di questa operazione è il modo in cui Fox Tempest sfruttava il servizio di Artifact Signing per generare certificati di firmatura fraudolenti. Questi certificati, validi solo per 72 ore, consentivano ai malware di apparire come software legittimo, rendendo difficile per gli utenti e le organizzazioni italiani distinguere tra ciò che era sicuro e ciò che non lo era. Per ottenere certificati legittimi, gli attaccanti utilizzavano probabilmente identità rubate dagli Stati Uniti e dal Canada, presentandosi come entità riconosciute.

Fox Tempest ha implementato una piattaforma che permetteva ai criminali informatici di caricare file malevoli da far firmare. Una volta firmati, questi file apparivano come software legittimo, come ad esempio applicazioni di uso comune quali Microsoft Teams e Cisco Webex, contribuendo a ingannare anche gli utenti italiani più esperti. Il costo per utilizzare questo servizio oscillava tra i 5.000 e i 9.000 dollari.

Implicazioni e Risposta di Microsoft

La scoperta di Fox Tempest ha illustrato anche i legami con altri gruppi di attacco, come INC e BlackByte, i quali hanno approfittato delle vulnerabilità nel sistema per compiere attacchi mirati a istituzioni di grande rilevanza. Microsoft ha confermato che, nonostante gli sforzi di interdizione, Fox Tempest si sia rapidamente adattato alle contromisure, passando a servizi di firmatura alternativi per continuare le proprie operazioni.

L’azienda ha chiaramente sottolineato che “quando i criminali riescono a far apparire software maligno come legittimo, questo compromette la fiducia e la sicurezza di sistemi e utenti.” Disattivare questa capacità è fondamentale per incrementare i costi associati al cybercrimine.

Considerazioni Finali

La lotta di Microsoft contro Fox Tempest rappresenta un importante passo avanti nella sicurezza informatica, ma genera anche preoccupazione per gli utenti e le aziende italiane. È essenziale che gli utenti siano ben informati sui rischi legati al download di software da fonti non verificate e che le aziende adottino sempre pratiche di cybersicurezza robusta. L’educazione e la prevenzione rimangono le armi più efficaci contro le minacce informatiche emergenti in un panorama tecnologico sempre più complesso.