L’85% degli attacchi sfrutta l’RDP per i movimenti laterali
Il ransomware si sta evolvendo verso modelli di estorsione dati più rapidi e mirati, in cui la crittografia non rappresenta più l’obiettivo principale. Secondo le previsioni cybersecurity 2026 di WatchGuard, il crypto-ransomware perderà terreno a favore di modelli basati su esfiltrazione dei dati e leva reputazionale, abbassando la barriera tecnica per gli attaccanti e aumentando la velocità degli attacchi.
Questo cambiamento ha una conseguenza diretta: il focus si è spostato dalla compromissione iniziale ai movimenti laterali all’interno della rete. In questo scenario, strumenti interni e affidabili come il Remote Desktop Protocol (RDP) sono diventati una delle tecniche più efficaci per muoversi lateralmente.
I dati di Google Threat Intelligence (GTIG) mostrano che l’RDP è presente nell’85% di questi attacchi, evidenziando una tendenza chiara: gli attaccanti stanno abbandonando malware complessi per adottare tecniche di “living off the land”, sfruttando strumenti legittimi per restare invisibili.
Non si tratta più solo di come gli attaccanti entrano, ma di ciò che fanno una volta all’interno.
L’RDP: il vettore di minaccia invisibile
L’RDP è uno strumento affidabile, ampiamente utilizzato da amministratori e MSP per la gestione remota dei dispositivi. Ed è proprio per questo che è diventato uno dei vettori preferiti dagli attaccanti: consente di confondersi con il traffico legittimo, spesso passando inosservati per lunghi periodi durante i quali possono causare danni significativi. I cybercriminali sfruttano l’RDP per:
- aumentare i privilegi utilizzando credenziali compromesse
- muoversi tra i sistemi senza essere rilevati
- preparare furti di dati o attacchi senza generare alert evidenti
Per gli MSP la sfida è ancora più complessa. Devono distinguere le sessioni legittime dalle attività malevole in ambienti molto diversi tra loro, dove l’RDP rappresenta spesso uno strumento operativo quotidiano.
La vera sfida: individuare il pericolo nella normalità
Per gli MSP che gestiscono innumerevoli endpoint e clienti, molte attività quotidiane appaiono normali: accessi remoti, trasferimenti dati e modifiche di configurazione. Ed è proprio questa “normalità” che i cybercriminali cercano di sfruttare, rendendo il rilevamento molto più difficile. Se riescono a nascondersi all’interno dei processi legittimi, possono muoversi indisturbati nelle reti e causare danni importanti.
Questo crea una nuova difficoltà: separare le sessioni autorizzate dai comportamenti malevoli in un contesto in cui entrambe sembrano identiche. Un’attività complessa, soprattutto per gli MSP già sommersi dagli alert, che limitano l’efficienza operativa e rallentano i tempi di risposta.
Risolvere questo problema richiede una strategia più strutturata basata su:
- monitoraggio continuo degli endpoint con rilevamento comportamentale delle minacce e visibilità chiara sugli incidenti
- correlazione degli eventi, trasformando dati isolati in alert realmente utilizzabili
- prioritizzazione degli incidenti in base al rischio reale, permettendo ai team di concentrarsi su ciò che conta davvero
Adottando questo approccio, i team possono individuare anomalie nascoste dietro attività apparentemente normali, riducendo il rumore operativo e migliorando significativamente la capacità di risposta.
Come rilevare e bloccare i movimenti laterali nella pratica
Le soluzioni EDR basate sull’intelligenza artificiale affrontano direttamente questa sfida, consolidando prevenzione, rilevamento e risposta in un’unica piattaforma. Ma il vero elemento distintivo non è solo la capacità di rilevare le minacce: è la visibilità continua e il contesto comportamentale che offrono agli MSP, consentendo di proteggere meglio i clienti e scalare il business. In pratica questo significa:
- visibilità completa sugli endpoint, unificando telemetria di processi, connessioni e utenti, insieme all’analisi della root cause per comprendere origine e impatto delle minacce
- rilevamento dei movimenti laterali, identificando login RDP anomali, manipolazioni delle credenziali e schemi di connessione sospetti, con mapping degli alert sul framework MITRE ATT&CK
- correlazione automatica degli incidenti, collegando eventi multipli per ricostruire l’intera dinamica dell’attacco, aiutando i team a focalizzarsi e riducendo l’alert fatigue
- isolamento e risposta sugli endpoint, mettendo in quarantena i dispositivi e terminando processi sospetti, con attività di analisi e mitigazione eseguite tramite accesso remoto o remote shell
- console multi-tenant per aumentare l’efficienza operativa, consentendo agli MSP di gestire più clienti senza aumentare overhead o complessità
Visibilità e contesto: la nuova linea di difesa
Non è un caso che l’85% degli attacchi informatici sfrutti RDP. È la dimostrazione di come operano oggi i cybercriminali: utilizzano strumenti affidabili e legittimi per restare invisibili. Più un attacco assomiglia a un’attività normale, più è difficile da individuare e maggiori sono le probabilità di successo.
Ed è qui che si concentra la vera sfida per gli MSP. La sicurezza endpoint non riguarda più soltanto la prevenzione, ma richiede visibilità chiara e contesto comportamentale per ottenere rilevamenti più rapidi e accurati, accompagnati da una risposta immediata.
Passare a questo modello non significa solo bloccare i movimenti laterali, ma costruire operation di sicurezza più efficienti, scalabili e resilienti rispetto alle minacce moderne in continua evoluzione.
Per approfondire perché tutte le organizzazioni hanno bisogno di endpoint detection and response, consulta anche questi articoli del nostro blog: