Dominio non registrato: il rischio da 10 dollari che espone 25mila endpoint

Il caso Dragon Boss Solutions: quando 10 dollari bastano

Nel giro di 24 ore, 23.565 indirizzi IP unici hanno contattato un dominio sinkholed da Huntress, dopo che i ricercatori hanno registrato un indirizzo non controllato da nessuno. Il comportamento di disabilitazione dell'antivirus è stato osservato per la prima volta a fine marzo 2025, sebbene i caricatori sottostanti fossero presenti su alcuni host dalla fine del 2024.

Tutto è iniziato in apparenza da un software apparentemente innocuo: un'applicazione di browser hijacking della Dragon Boss Solutions. Ma cosa sembrava essere semplice adware si è rivelato essere qualcosa di molto più sinistro. L'operazione utilizza Advanced Installer, uno strumento commerciale legittimo di aggiornamento, per distribuire payload basati su MSI e PowerShell, stabilendo persistenza WMI e disabilitando applicazioni di sicurezza, impedendo la reinstallazione di software protettivo.

Il vettore d'attacco: domini dimenticati come porta aperta

La configurazione di aggiornamento conteneva una "porta aperta" che chiunque avesse circa 10 dollari poteva aprire registrando il dominio completamente non registrato. Il meccanismo è tanto semplice quanto devastante: il malware era configurato per contattare un dominio specifico al fine di ricevere aggiornamenti e istruzioni. Se un attaccante avesse registrato quel dominio non registrato, avrebbe ereditato questa capacità esatta su ogni host infetto.

Non era richiesto alcuno sfruttamento tecnico sofisticato. Non serviva una catena di vulnerabilità complessa. Bastava semplicemente acquistare il dominio come farebbe qualsiasi amministratore IT legittimo e il controllo di migliaia di endpoint sarebbe passato silenziosamente all'attaccante.

Un ecosistema di infrastrutture critiche esposto

L'azienda ha identificato 324 infezioni su reti ad alto valore, incluse 221 università e college, 41 reti di tecnologia operativa (OT) legate a servizi pubblici e infrastrutture critiche, 35 enti governativi, 24 scuole primarie e secondarie, e 3 organizzazioni sanitarie. Le infezioni si sono diffuse in 124 paesi, con gli Stati Uniti che rappresentano circa il 54% delle connessioni, seguiti da Francia, Canada, Regno Unito e Germania.

Ma i numeri globali nascondono una realtà ancora più preoccupante per l'Italia e le organizzazioni italiane. Questi endpoint in reti sensibili rappresentano:

• 221 istituti universitari e college
• 41 infrastrutture OT (tecnologia operativa) — sistemi di controllo industriale per servizi pubblici
• 35 enti governativi
• 24 scuole primarie e secondarie
• 3 organizzazioni sanitarie

Questo non è un attacco casuale a consumatori. È la compromissione di infrastrutture essenziali: le università che formano i futuri tecnici, i sistemi OT che controllano fabbriche e impianti, le agenzie governative che gestiscono servizi pubblici, le scuole dove vengono educati i cittadini, le strutture sanitarie dove vengono gestiti i dati clinici.

Il payload e la disattivazione sistematica delle difese

Il payload, ClockRemoval.ps1, modifica il file hosts di Windows per reindirizzare i domini di aggiornamento dei vendor AV (come Malwarebytes e Kaspersky) a 0.0.0.0, tagliando tutte le vie di reinstallazione, e aggiunge esclusioni a Windows Defender per percorsi come DGoogle, EMicrosoft e DDapps, ritenuti directory di staging per payload futuri.

In pratica, è come avere qualcuno che entra in casa, non solo toglie l'allarme dal muro, ma ne distrugge i cavi, cambia le serrature, e lascia la porta aperta per i complici. Una volta che questo script PowerShell si attiva su un endpoint aziendale, il computer è completamente compromesso: nessun antivirus può più funzionare, nessun aggiornamento di sicurezza può essere installato, e l'attaccante ha il controllo totale.

Perché le PMI italiane sono particolarmente vulnerabili

Le piccole e medie imprese italiane affrontano una situazione critica secondo i dati di cybersecurity più recenti. L'Italia rappresenta oltre il 10% di tutti gli attacchi informatici globali, nonostante pesi solo per l'1,8% del PIL mondiale, secondo il Report Clusit 2025. Questo crea un paradosso pericoloso per le PMI: spesso non hanno neanche una lista aggiornata dei propri domini aziendali.

Molte aziende mantengono l'elenco dei dispositivi solo nei libri contabili aggiornati dal reparto amministrativo, e non in un inventario digitale dinamico. Senza una mappa precisa dell'infrastruttura è impossibile difendersi consapevolmente o riconoscere per tempo i rischi. Inoltre, con 357 incidenti gravi documentati nel 2024, il Paese registra un incremento del 15,2% rispetto all'anno precedente.

La convergenza IT/OT e le infrastrutture critiche

Il fatto che questo attacco abbia raggiunto 41 reti OT solleva una questione strutturale più ampia. La maggior parte degli attacchi OT inizia come violazioni IT, e questo caso esemplifica perfettamente come un problema di infrastruttura digitale "standard" (un dominio non registrato) possa cascata verso i sistemi industriali che controllano processi fisici critici.

Tech debt da sistemi OT decennali viene collegato a infrastruttura digitale moderna, spesso senza la maturità cyber equivalente. Molti ambienti OT sono stati progettati con focus sull'efficienza operativa, non sulla sicurezza. Nel caso di Dragon Boss Solutions, il rischio è ancora maggiore perché gli attaccanti non avevano nemmeno bisogno di sapere come funzionasse un sistema SCADA o un PLC. Avevano semplicemente bisogno di controllare il dominio per inviare comandi generici di disabilitazione dell'antivirus — e quello avrebbe fatto il resto del danno.

Come proteggere il proprio dominio aziendale: una checklist pratica

La buona notizia è che il rischio evidenziato da Huntress è completamente mitigabile con controlli semplici e poco costosi. Ecco come una PMI italiana dovrebbe procedere:

1. Audit dei domini: Compilare un inventario di tutti i domini aziendali registrati — non solo il sito principale, ma anche i subdomain, gli alias email, i domini di sviluppo e quelli storici. Molte aziende scoprono di avere domini "fantasma" registrati anni fa per progetti abbandonati.
2. Verifica delle scadenze: Impostare un sistema di reminder per il rinnovo automatico e verificare che le credenziali di accesso al registrar siano sicure e aggiornate. Perché il dominio era non registrato, chiunque potrebbe averlo acquistato e guadagnato il controllo del canale di aggiornamento per ogni endpoint colpito.
3. Monitoraggio dei DNS: Controllare regolarmente i record DNS per verificare che puntino dove dovrebbero. Un dominio compromesso avrà record NS modificati o indirizzi A che puntano a server controllati dall'attaccante.
4. Revisione della configurazione software: Chiedere ai fornitori di software: "Quali domini utilizza il vostro software per aggiornamenti e comunicazioni?" Se la risposta non è precisa e documentata, è un warning sign.
5. Segregazione della rete: Se l'azienda ha infrastrutture critiche (macchine, sistemi di controllo, reti OT), devono essere fisicamente/logicamente separate dalla rete generale.
6. Aggiornamenti automatici sicuri: Se il software aziendale utilizza aggiornamenti automatici, assicurarsi che siano firmati digitalmente e che il certificato sia valido. Un dominio compromesso non dovrebbe comunque poter servire payload malicious a causa della validazione del certificato.

Quando conviene investire in prevenzione e quando il rischio è reale

È facile liquidare questo incidente come "cosa rara". Ma i fatti suggeriscono il contrario:

Quando il rischio è ALTO per la tua azienda:

• Usi software con aggiornamenti automatici e non sai quali domini utilizza
• Hai infrastrutture OT o industriali collegate alla rete aziendale
• Hai domini registrati da anni e non li monitori attivamente
• I tuoi dipendenti accedono a sistemi critici da qualsiasi dispositivo/rete
• Sei in settori regolamentati (sanità, energia, governo) dove il downtime ha costi legali oltre che operativi

Quando il rischio è MODERATO:

• Utilizzi solo software da vendor noti e ben consolidati, che gestiscono i loro domini direttamente
• Hai una separazione chiara tra rete utenti e sistemi critici
• I tuoi sistemi critici sono aggiornati e monitorati regolarmente

Ma anche in scenario di rischio moderato, il costo di controllo è così basso (poche ore di lavoro IT, nessuna spesa hardware) che la prevenzione è sempre razionale.

Approcci diversi per la protezione dell'infrastruttura

Esistono strategie alternative per mitigare il rischio domain hijacking:

Zero Trust Architecture: Anziché assumere che tutto ciò che è "dentro la rete" è sicuro, adottare un modello dove ogni richiesta è verificata indipendentemente dal dominio da cui proviene. Questo abilita utenti e dispositivi con accesso remoto sicuro a sistemi specifici, senza esporre il sistema e la rete sottostante, riducendo effettivamente la superficie di attacco.

Certificate Pinning: Alcuni software possono essere configurati per accettare certificati SSL solo da un elenco prestabilito. Anche se il dominio fosse compromesso, senza il certificato corretto non potrebbe servire payload.

Monitoraggio comportamentale dell'endpoint: Invece di affidarsi solo a liste di domini "buoni", monitorare il comportamento del software in tempo reale. Se una applicazione tenta improvvisamente di disabilitare l'antivirus, questo è un segnale di allarme indipendentemente dal dominio da cui proviene l'ordine.

Il contesto più ampio: la realtà italiana della cybersecurity

L'Italia affida un ruolo centrale alla gestione del rischio cyber nel panorama generale della sicurezza. L'Italia rappresenta oltre il 10% di tutti gli attacchi informatici globali, nonostante pesi solo per l'1,8% del PIL mondiale. Una stima conservativa, basata sulle proporzioni del caso Dragon Boss Solutions, suggerisce che almeno alcune centinaia di aziende italiane potrebbero avere domini non registrati o monitorati in modo inadeguato.

Secondo il Rapporto Clusit più recente, l'Italia ha registrato 357 incidenti gravi nel 2024 con un incremento del 15,2% rispetto all'anno precedente. Nei primi mesi del 2025, le tendenze mostrano un'accelerazione dei cyber-incidenti con focus particolare su infrastrutture critiche.

Conclusione: la gestione del dominio è gestione del rischio

L'incidente di Huntress non è una curiosità tecnica. È una lezione sulla fragilità dell'infrastruttura digitale aziendale moderna. Un dominio costa pochi dollari all'anno. Un dominio non registrato o dimenticato è una porta aperta che nessuno sta sorvegliando.

Per le PMI italiane, la lezione è semplice ma critica: non sottovalutare la cybersecurity — è necessario includere la cybersicurezza tra le priorità aziendali e dedicare risorse economiche e formative per accrescere la resilienza informatica. Iniziare da un audit dei domini aziendali è il primo passo pratico, economico e immediatamente realizzabile.

Nel panorama attuale, dove una singola configurazione scorretta può esporre 25mila endpoint, la gestione proattiva dell'infrastruttura di dominio non è più una nicchia tecnica — è una priorità di business.