Security

Microsoft Defender predictive shielding ferma ransomware GPO

3 min di lettura

Riepilogo

Microsoft ha descritto un caso reale di ransomware in cui il predictive shielding di Defender ha rilevato l’abuso dannoso di Group Policy Object prima dell’inizio della crittografia. Rafforzando la propagazione dei GPO e interrompendo gli account compromessi, Defender ha bloccato circa il 97% dei tentativi di crittografia e ha impedito che qualsiasi dispositivo venisse cifrato tramite il percorso di distribuzione GPO.

Riepilogo audio

0:00--:--
Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

L’ultimo case study di Microsoft Defender evidenzia una tattica ransomware in crescita: l’abuso dei Group Policy Objects (GPO) per disabilitare gli strumenti di sicurezza e distribuire payload su larga scala. Per i team IT e di sicurezza, questo è importante perché i GPO sono meccanismi amministrativi affidabili nella maggior parte degli ambienti Windows, il che li rende un percorso di attacco interessante per il ransomware gestito da operatori umani.

Cosa è successo

Microsoft ha indagato su un attacco contro una grande istituzione educativa con migliaia di dispositivi, 33 server, 11 domain controller e 2 server Entra Connect. L’attaccante aveva già ottenuto l’accesso Domain Admin e si era mosso attraverso diverse fasi ben note:

  • Ricognizione: enumerazione di Active Directory e attività di brute-force
  • Accesso alle credenziali: attività di Kerberoasting e dump di NTDS
  • Movimento laterale: uso di credenziali ad alto privilegio e creazione di account locali per la persistenza
  • Tentativo di impatto: manomissione basata su GPO e distribuzione del ransomware

Come ha funzionato l’attacco GPO

L’attaccante ha usato i GPO in due fasi:

  • Fase 1: Manomissione della sicurezza
    Un GPO dannoso ha tentato di disabilitare protezioni chiave di Defender, inclusa la protezione in tempo reale e il monitoraggio comportamentale.

  • Fase 2: Distribuzione del ransomware
    Circa 10 minuti dopo, l’attaccante ha creato un altro GPO che distribuiva un’attività pianificata per copiare ed eseguire file ransomware da SYSVOL.

Questo è efficace perché l’attaccante deve impostare il criterio una sola volta; i dispositivi aggiunti al dominio fanno automaticamente il resto.

Come Defender lo ha fermato

Il predictive shielding di Defender ha riconosciuto la manomissione del GPO come un probabile precursore del ransomware e ha attivato il GPO hardening prima che il GPO ransomware potesse diffondersi ampiamente.

Risultati chiave del case study:

  • Zero dispositivi cifrati tramite il percorso GPO
  • Circa il 97% dei tentativi di crittografia bloccato complessivamente
  • 700 dispositivi hanno ricevuto la protezione GPO hardening
  • Più di una dozzina di entità compromesse sono state interrotte
  • Migliaia di tentativi di autenticazione e accesso dell’attaccante sono stati bloccati

Perché è importante per gli amministratori

Questo incidente mostra che gli operatori ransomware abusano sempre più spesso degli strumenti standard di gestione IT invece di affidarsi solo ai metodi più evidenti di distribuzione del malware. GPO, attività pianificate, SMB e strumenti di amministrazione remota sono tutti meccanismi operativi legittimi, il che rende l’abuso più difficile da individuare senza capacità avanzate di rilevamento e risposta.

Per gli amministratori, la lezione è chiara: la compromissione dell’identità più l’abuso dei GPO possono trasformarsi rapidamente in un incidente esteso all’intera azienda.

Prossimi passaggi consigliati

  • Rivedere l’esposizione degli account privilegiati, in particolare l’uso di Domain Admin
  • Verificare le recenti modifiche ai GPO e le distribuzioni di attività pianificate
  • Indagare su segnali di Kerberoasting, accesso a NTDS ed esecuzione insolita basata su SMB
  • Assicurarsi che le funzionalità di attack disruption di Microsoft Defender siano abilitate
  • Verificare la tamper protection di Defender e la copertura degli endpoint su tutti i dispositivi aggiunti al dominio
  • Monitorare SYSVOL per script, eseguibili e DLL inattesi

Le organizzazioni che usano Microsoft Defender dovrebbero considerare questo caso come un promemoria per rafforzare l’identità, monitorare gli strumenti amministrativi e prepararsi a campagne ransomware che abusano dei controlli enterprise nativi.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Microsoft DefenderransomwareGPOpredictive shieldingattack disruption

Articoli correlati

Security

Compromissione supply chain Trivy: guida Defender

Microsoft ha pubblicato linee guida per il rilevamento, l’indagine e la mitigazione della compromissione della supply chain di Trivy del marzo 2026, che ha interessato il binario Trivy e le GitHub Actions correlate. L’incidente è rilevante perché ha trasformato uno strumento di sicurezza CI/CD affidabile in un mezzo per rubare credenziali da pipeline di build, ambienti cloud e sistemi di sviluppo, continuando però a sembrare operativo normalmente.

Security

{{Governance degli AI agent: allineare gli intenti}}

{{Microsoft delinea un modello di governance per gli AI agent che allinea l’intento dell’utente, dello sviluppatore, basato sul ruolo e dell’organizzazione. Il framework aiuta le aziende a mantenere gli agent utili, sicuri e conformi definendo confini comportamentali e un chiaro ordine di precedenza quando sorgono conflitti.}}

Security

Sicurezza end-to-end per l’AI agentica con Microsoft

Microsoft ha presentato al RSAC 2026 una strategia di sicurezza end-to-end per l’AI agentica, annunciando la disponibilità generale di Agent 365 dal 1° maggio come piattaforma di controllo per osservare, proteggere e governare gli agenti AI su larga scala. La novità conta perché, insieme a strumenti come Security Dashboard for AI ed Entra Internet Access Shadow AI Detection, offre alle aziende maggiore visibilità sui rischi, aiuta a limitare l’accesso e la condivisione eccessiva dei dati e rafforza la difesa contro minacce AI emergenti.

Security

Microsoft Open Source CTI-REALM per AI Detection

Microsoft has open-sourced CTI-REALM, a new benchmark designed to test whether AI agents can perform real detection engineering work from cyber threat intelligence reports, not just answer cybersecurity questions. It matters because it evaluates end-to-end operational tasks across Linux, Azure Kubernetes Service, and Azure cloud environments, giving security teams a more realistic way to measure how useful AI may be for SOC and detection workflows.

Security

Microsoft Zero Trust for AI: workshop e architettura

Microsoft ha presentato Zero Trust for AI, una guida che estende i principi di Zero Trust agli ambienti AI per aiutare le aziende a proteggere modelli, agenti, dati e decisioni automatizzate. La novità più rilevante è l’aggiunta di un pilastro dedicato all’AI nel Zero Trust Workshop, con 700 controlli di sicurezza, 116 gruppi logici e 33 swim lane funzionali: un aggiornamento importante perché offre ai team IT e sicurezza un framework pratico per valutare i rischi dell’AI e applicare controlli coerenti su processi e tecnologie.

Security

Microsoft segnala phishing fiscale contro Microsoft 365

Microsoft ha segnalato un aumento delle campagne di phishing a tema fiscale contro gli utenti Microsoft 365, con tecniche più sofisticate come codici QR, catene di reindirizzamento, file ospitati nel cloud e kit phishing-as-a-service come Energy365 e SneakyLog. La notizia è importante perché questi attacchi sfruttano la pressione della stagione fiscale e strumenti legittimi per aggirare i controlli tradizionali, aumentando il rischio di furto di credenziali e compromissione aziendale.