Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Il CISA segnala Fast Flux come minaccia nazionale: siete protetti?

29 aprile 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Il CISA segnala Fast Flux come minaccia nazionale: siete protetti?

Il fast flux è una tecnica utilizzata dai cybercriminali per cambiare rapidamente gli indirizzi IP associati a un dominio dannoso, talvolta ogni pochi minuti. Questa rotazione costante rende incredibilmente difficile per gli strumenti di sicurezza tradizionali bloccare le minacce utilizzando indicatori statici come IP o domini noti.

Sebbene il fast flux sia stato per anni un elemento fondamentale nelle operazioni di ransomware, phishing e botnet, continua a sfuggire al rilevamento. La sua natura dinamica consente agli aggressori di mantenere un'infrastruttura resiliente che rimane nascosta alla vista.

Ora, la CISA, la NSA e le agenzie internazionali di difesa informatica stanno lanciando l'allarme: il fast flux non è più un caso isolato, ma una minaccia crescente per la sicurezza nazionale, e la maggior parte delle organizzazioni non è attrezzata per rilevarlo. Per i difensori, questo significa una cosa sola: è ora di andare oltre il rilevamento statico e iniziare a concentrarsi sui comportamenti. È qui che l'analisi comportamentale (come quella integrata nella Vectra AI ) fa la differenza.

Come gli hacker usano il fast flux per rimanere nascosti

Il fast flux si presenta in due forme principali, single flux e double flux, entrambe progettate per aiutare gli aggressori a stare un passo avanti rispetto ai team di sicurezza.

  • Il flusso singolo significa che un sito web o un dominio è collegato a molti indirizzi IP diversi che cambiano continuamente. Se uno viene bloccato, l'autore dell'attacco ne usa semplicemente un altro. In questo modo, le loro operazioni dannose continuano a funzionare anche se parte della loro configurazione viene scoperta.
  • Il doppio flusso fa un ulteriore passo avanti. Non solo gli indirizzi IP cambiano, ma anche i sistemi che indirizzano il traffico verso tali indirizzi (chiamati server dei nomi) cambiano frequentemente. Ciò rende ancora più difficile per i difensori capire da dove proviene il traffico dannoso o bloccarlo.

Gli autori degli attacchi informatici utilizzano il fast flux per supportare una vasta gamma di attività pericolose. L'avviso della CISA mette in evidenza gruppi di ransomware come Hive e Nefilim, che hanno utilizzato questa tecnica per nascondere i propri sistemi e prolungare la durata dei propri attacchi.

Il fast flux viene utilizzato anche nelle phishing per mantenere online i siti web falsi, anche quando i team di sicurezza cercano di eliminarli. Un gruppo APT legato alla Russia chiamato Gamaredon ha utilizzato il fast flux per rendere quasi impossibile bloccare i propri server utilizzando indirizzi IP. La stessa configurazione viene spesso utilizzata dai provider di hosting bulletproof, aziende che proteggono i criminali informatici nascondendo i server reali dietro server falsi in costante cambiamento. Questi server falsi subiscono gli attacchi, mentre i sistemi dannosi reali rimangono attivi e non vengono rilevati.

Perché gli strumenti di sicurezza tradizionali non riescono a stare al passo

La maggior parte dei vecchi strumenti di sicurezza si basa su informazioni fisse (come siti web noti come dannosi o indirizzi IP inseriti nella lista nera) per bloccare le minacce. Ma il fast flux modifica tali informazioni così rapidamente che questi strumenti non riescono a stare al passo.

Perché il blocco degli indirizzi IP non funziona

Negli attacchi fast flux, il sistema dietro un sito web dannoso cambia continuamente il proprio indirizzo IP, a volte ogni pochi minuti. Quando un indirizzo viene bloccato, l'autore dell'attacco ne sta già utilizzando uno nuovo. Si trasforma in un gioco al massacro, che fa perdere tempo senza riuscire a fermare la minaccia.

Perché il filtraggio DNS è così difficile

Alcuni strumenti di sicurezza cercano di bloccare i siti web dannosi analizzando l'attività dei domini. Tuttavia, il fast flux può apparire molto simile a servizi legittimi, come quelli utilizzati per velocizzare i siti web (chiamati reti di distribuzione dei contenuti). Senza comprendere il quadro generale, questi strumenti potrebbero bloccare il traffico sicuro o lasciar passare siti dannosi.

Il risultato: lacune nella rilevazione

Il CISA ha evidenziato chiaramente questo problema. Gli hacker utilizzano il fast flux per mantenere online i propri sistemi di controllo, ospitare siti web falsi ed evitare la rimozione, rimanendo per lo più invisibili alle difese tradizionali. Il problema principale non è solo la rapidità con cui le cose cambiano, ma anche il fatto che gli strumenti più datati non sono in grado di distinguere tra comportamenti sospetti e attività normali. È qui che entra in gioco un sistema di rilevamento più intelligente, basato sul comportamento.

Il punto di vista Vectra AI: è il comportamento, non le firme, a bloccare il fast flux

Rilevare il fast flux non significa raccogliere più informazioni sulle minacce, ma capire cosa sta facendo l'autore dell'attacco. L'infrastruttura più pericolosa oggi non si basa su indicatori fissi. Si adatta, elude e si nasconde alla vista di tutti. Ecco perché il rilevamento comportamentale è l'unico modo affidabile per stare al passo con le minacce che utilizzano il fast flux.

AI che comprende il comportamento degli aggressori

Vectra AI è progettata per individuare comportamenti sospetti che spesso sfuggono agli strumenti tradizionali. Anziché cercare di stare al passo con gli indirizzi dei siti web e gli IP in continua evoluzione, essa osserva il comportamento dei dispositivi presenti nella rete. Ad esempio: un dispositivo sta effettuando molte richieste DNS strane? Sta improvvisamente inviando dati o muovendosi nella rete in modo insolito subito dopo che qualcuno ha effettuato l'accesso? Questi comportamenti possono sembrare insignificanti se considerati singolarmente, ma insieme formano uno schema. E questi schemi sono spesso i primi segni di qualcosa di molto più grave, come un sistema di controllo nascosto, un phishing o l'inizio di un attacco ransomware.

Rilevamento precoce dell'intera progressione dell'attacco

Il fast flux è solo una parte di una strategia più ampia utilizzata dagli hacker. La Vectra AI non si limita a segnalare l'uso di comportamenti DNS evasivi, ma ti aiuta a individuare ciò che accade dopo:

  • Ricognizione: identificazione delle risorse da prendere di mira dopo l'accesso iniziale.
  • Movimento laterale: saltare da un sistema interno all'altro per espandere il controllo.
  • Comunicazioni C2: utilizzo del fast flux per nascondere i canali call-home.

Poiché Vectra AI sui comportamenti, queste minacce possono essere individuate tempestivamente, anche se l'autore dell'attacco utilizza infrastrutture mai viste prima. Ciò consente al team SOC di intraprendere azioni significative e proattive prima che il ransomware venga distribuito o che inizi l'esfiltrazione dei dati. In breve: non vediamo solo ciò che l'autore dell'attacco utilizza, ma anche ciò che fa. È così che si riesce a stare al passo con il fast flux.

Vectra AI durante un attacco Gamaredon

Come Vectra AI una strategia di difesa multilivello

Capacità di difesa a più livelli (secondo CISA) Come Vectra AI valore
Rilevamento delle anomalie in tempo reale nelle query DNS Vectra AI analizza Vectra AI il traffico DNS alla ricerca di anomalie, quali valori TTL bassi, ricerche di domini eccessive e elevato turnover degli IP, che sono segni distintivi dell'attività fast flux.
Analisi comportamentale per identificare modelli di comunicazione insoliti La piattaforma mette in relazione comportamenti DNS sospetti con modelli più ampi quali beaconing, movimenti laterali e uso improprio delle credenziali, consentendo il rilevamento tempestivo delle minacce attive.
Collaborazione e condivisione delle informazioni sulle minacce per migliorare i tempi di risposta Vectra AI con piattaforme di intelligence sulle minacce, SOAR e strumenti SIEM per condividere avvisi ricchi di contesto e automatizzare i flussi di lavoro di risposta, riducendo il tempo necessario per il contenimento.

Colmare il divario del fast flux con il rilevamento basato sull'intelligenza artificiale Il fast flux non è solo un trucco avanzato degli hacker, ma una sfida diretta ai modelli di sicurezza tradizionali. Come chiarisce l'avviso della CISA, molte organizzazioni hanno ancora dei punti ciechi quando si tratta di rilevare e mitigare questa tattica. Vectra AI aiuta a colmare questa lacuna. Analizzando i comportamenti invece di affidarsi a indicatori statici, la nostra analisi basata sull'intelligenza artificiale riduce drasticamente i falsi positivi, consentendo ai team SOC di concentrarsi sulle minacce reali e agire rapidamente.

È giunto il momento di valutare se le vostre attuali difese sono realmente in grado di rilevare le attività fast flux. Se la vostra strategia di rilevamento si basa ancora esclusivamente su blocklist e reputazione IP, probabilmente state trascurando i primi segnali di ransomware, phishing o comunicazioni C2 che utilizzano il fast flux per eludere il rilevamento.

Vuoi vedere come funziona nella pratica? Fai un tour autoguidato della Vectra AI ed esplora come rileviamo i comportamenti fast flux in scenari di attacco reali, senza fare affidamento sulle firme. Prima riesci a individuare gli aggressori, più velocemente puoi fermarli.

Domande frequenti