La CISA segnala il flusso veloce come minaccia nazionale: siete coperti?

29 aprile 2025

La CISA segnala il flusso veloce come minaccia nazionale: siete coperti?

Il fast flux è una tecnica utilizzata dagli aggressori informatici per cambiare rapidamente gli indirizzi IP associati a un dominio dannoso, a volte ogni pochi minuti. Questa rotazione costante rende incredibilmente difficile per gli strumenti di sicurezza tradizionali bloccare le minacce utilizzando indicatori statici come IP o domini noti.

Sebbene il flusso veloce sia stato per anni un punto fermo nelle operazioni di ransomware, phishing e botnet, continua a eludere il rilevamento. La sua natura dinamica consente agli aggressori di mantenere un'infrastruttura resiliente che rimane nascosta in bella vista.

Ora il CISA, l'NSA e le agenzie internazionali di difesa informatica stanno lanciando l'allarme: il flusso rapido non è più un caso limite, ma una minaccia crescente per la sicurezza nazionale, e la maggior parte delle organizzazioni non è attrezzata per rilevarlo. Per i difensori, questo significa una cosa: è ora di andare oltre il rilevamento statico e iniziare a concentrarsi sui comportamenti. È qui che le analisi comportamentali, come quelle integrate nella Vectra AI Platform, fanno la differenza.

Come gli aggressori usano il flusso veloce per rimanere nascosti

Il flusso veloce si presenta in due forme principali:flusso singolo e flusso doppio, entrambiprogettati per aiutare gli aggressori a stare un passo avanti ai team di sicurezza.

Flusso unico significa che un sito web o un dominio è collegato a molti indirizzi IP diversi che cambiano costantemente. Se uno viene bloccato, l'aggressore ne utilizza un altro. In questo modo, le loro operazioni dannose rimangono attive e funzionanti anche se una parte della loro configurazione viene scoperta.
Il doppio flusso va oltre. Non solo gli indirizzi IP cambiano, ma anche i sistemi che indirizzano il traffico verso tali indirizzi (chiamati name server) cambiano frequentemente. Questo rende ancora più difficile per i difensori capire da dove proviene il traffico dannoso o bloccarlo.

Gli aggressori informatici utilizzano il flusso veloce per supportare un'ampia gamma di attività pericolose. L'advisory del CISA mette in evidenza gruppi di ransomware come Hive e Nefilim, che hanno utilizzato questa tecnica per nascondere i loro sistemi e mantenere i loro attacchi più a lungo.

Il flusso veloce viene utilizzato anche nelle truffe phishing per mantenere online i siti web fasulli, anche quando i team di sicurezza cercano di eliminarli. Un gruppo APT legato alla Russia, chiamato Gamaredon, ha utilizzato il flusso veloce per rendere quasi impossibile il blocco dei propri server tramite indirizzi IP. Questa stessa configurazione è spesso utilizzata dai fornitori di hosting a prova di proiettile, aziende che proteggono i criminali informatici nascondendo i server reali dietro a quelli falsi che cambiano continuamente. Questi server falsi subiscono i colpi, mentre i veri sistemi dannosi rimangono attivi e non vengono individuati.

Perché gli strumenti di sicurezza tradizionali non riescono a tenere il passo

La maggior parte dei vecchi strumenti di sicurezza si basa su informazioni fisse, come i siti Web noti come dannosi o gli indirizzi IP inseriti nella lista nera, per bloccare le minacce. Ma il flusso veloce cambia queste informazioni così rapidamente che questi strumenti non riescono a tenere il passo.

Perché il blocco IP non funziona

Negli attacchi fast flux, il sistema dietro un sito Web dannoso cambia costantemente il proprio indirizzo IP, a volte ogni pochi minuti. Quando un indirizzo viene bloccato, l'aggressore ne sta già utilizzando uno nuovo. Si tratta di un gioco di briscola, che fa perdere tempo senza bloccare effettivamente la minaccia.

Perché il filtraggio DNS è difficile

Alcuni strumenti di sicurezza cercano di bloccare i siti Web dannosi osservando l'attività del dominio. Ma i flussi veloci possono essere molto simili a servizi legittimi, come quelli utilizzati per velocizzare i siti web (chiamati content delivery network). Senza comprendere il quadro generale, questi strumenti potrebbero bloccare il traffico sicuro o lasciar passare siti dannosi.

Il risultato: lacune di rilevamento

Il CISA ha evidenziato chiaramente questo problema. Gli aggressori sfruttano il flusso veloce per mantenere i loro sistemi di controllo online, ospitare siti web falsi ed evitare i takedown, pur rimanendo per lo più invisibili alle difese tradizionali. Il problema principale non è solo la velocità con cui le cose cambiano. È che gli strumenti più vecchi non sono in grado di distinguere tra un comportamento sospetto e un'attività normale. È qui che entra in gioco un rilevamento più intelligente e basato sul comportamento.

La prospettiva di Vectra AI: il comportamento, non le firme, blocca il flusso veloce

Rilevare un flusso rapido non significa raccogliere più informazioni sulle minacce, ma capire cosa sta facendo l'aggressore. L'infrastruttura più pericolosa oggi non si basa su indicatori fissi. Si adatta, elude e si nasconde in bella vista. Ecco perché il rilevamento comportamentale è l'unico modo affidabile per stare davanti alle minacce che utilizzano un flusso veloce.

IA che comprende il comportamento degli aggressori

La Vectra AI Platform è progettata per individuare comportamenti sospetti che spesso sfuggono agli strumenti tradizionali. Invece di cercare di tenere il passo con gli indirizzi web e gli IP in continua evoluzione, analizza il comportamento dei dispositivi sulla rete. Ad esempio: Un dispositivo sta facendo molte richieste DNS strane? Sta improvvisamente inviando dati o si sta muovendo nella rete in modo insolito subito dopo che qualcuno si è collegato? Questi comportamenti possono sembrare piccoli da soli, ma insieme formano uno schema. E questi schemi sono spesso i primi segnali di qualcosa di molto più serio, come un sistema di controllo nascosto, un sito web phishing o l'inizio di un attacco ransomware.

Rilevamento precoce dell'intera progressione dell'attacco

Il flusso veloce è solo una parte di un più ampio playbook degli aggressori. La Vectra AI Platform non si limita a segnalare l'uso di comportamenti DNS evasivi, ma vi aiuta a capire cosa succede dopo:

Ricognizione: Identificazione delle risorse da colpire dopo l'accesso iniziale.
Movimento laterale: Saltare attraverso i sistemi interni per ampliare il controllo.
Comunicazioni C2: Uso del flusso veloce per nascondere i canali di chiamata a casa.

Poiché Vectra AI si concentra sui comportamenti, queste minacce possono essere individuate precocemente, anche se l'attaccante utilizza un'infrastruttura mai vista prima. Ciò consente al team SOC di intraprendere azioni significative e proattive prima che il ransomware venga distribuito o che inizi l'esfiltrazione dei dati. In breve: non vediamo solo ciò che l'aggressore usa, ma anche ciò che l'aggressore fa. È così che si riesce ad anticipare il flusso veloce.

*Rilevamenti di Vectra AI durante un attacco Gamaredon*

Come Vectra AI supporta una strategia di difesa a più livelli

Capacità di difesa a livelli (per CISA)	Come Vectra AI aggiunge valore
Rilevamento delle anomalie in tempo reale nelle query DNS	Vectra AI analizza continuamente il traffico DNS alla ricerca di anomalie, come bassi valori di TTL, ricerche eccessive di domini e un elevato numero di cicli IP, che sono segni distintivi di un'attività di flusso veloce.
Analisi comportamentale per identificare modelli di comunicazione insoliti	La piattaforma mette in relazione i comportamenti DNS sospetti con schemi più ampi come il beaconing, il movimento laterale e l'uso improprio delle credenziali, consentendo di individuare tempestivamente le minacce attive.
Collaborazione e condivisione delle informazioni sulle minacce per migliorare i tempi di risposta	Vectra AI si integra con piattaforme di threat intelligence, SOAR e strumenti SIEM per condividere avvisi ricchi di contesto e automatizzare i flussi di risposta, riducendo i tempi di contenimento.

Colmare il gap del flusso veloce con il rilevamento guidato dall'intelligenza artificiale Il flusso veloce non è solo un trucco avanzato degli attaccanti, ma una sfida diretta ai modelli di sicurezza tradizionali. Come chiarisce il parere della CISA, molte organizzazioni hanno ancora dei punti ciechi quando si tratta di rilevare e mitigare questa tattica. La piattaformaVectra AI aiuta a colmare questa lacuna. Analizzando i comportamenti invece di affidarsi a indicatori statici, le nostre analisi basate sull'AI riducono drasticamente i falsi positivi, consentendo ai team SOC di concentrarsi sulle minacce reali e di agire rapidamente.

È il momento di valutare se le vostre difese attuali sono davvero in grado di rilevare le attività a flusso rapido. Se la vostra strategia di rilevamento si basa ancora solo sulle blocklist e sulla reputazione dell'IP, è probabile che vi sfuggano i primi segnali di ransomware, phishing o comunicazioni C2 che utilizzano il fast flux per eludere il rilevamento.

Volete vedere come funziona nella pratica? Partecipate a un tour autoguidato della Vectra AI Platform ed esplorate come rileviamo i comportamenti di flusso rapido negli scenari di attacco del mondo reale, senza affidarci alle firme. Prima riuscite a vedere gli aggressori, prima riuscite a fermarli.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci