Attacco informatico a ConnectWise: compromessi i sistemi dei clienti ScreenConnect
Nel giugno 2025, ConnectWise ha confermato di essere stata vittima di un sofisticato attacco informatico che ha coinvolto la piattaforma ScreenConnect, una delle soluzioni di accesso remoto e assistenza più diffuse tra le aziende di tutto il mondo. L’incidente, collegato a un gruppo di hacker operanti probabilmente per conto di uno Stato, ha messo in evidenza vulnerabilità importanti (CVE-2025-3935), compromettendo la sicurezza di numerosi clienti e aprendo nuovi scenari di rischio per l’intero settore IT.
Il contesto dell’attacco
ScreenConnect, oggi conosciuta anche come ConnectWise Control, è una piattaforma cloud che consente il controllo remoto dei dispositivi, il supporto tecnico a distanza e la gestione di infrastrutture IT. Data la natura critica del servizio e il livello di accesso garantito, questa soluzione è un obiettivo privilegiato per i cybercriminali.
L’attacco è stato possibile grazie allo sfruttamento di una vulnerabilità ad alta gravità (CVE-2025-3935) che permetteva agli aggressori di bypassare i controlli di autenticazione, ottenendo così privilegi amministrativi e il pieno controllo degli ambienti colpiti. Una volta all’interno delle reti compromesse, gli hacker hanno potuto accedere a dati sensibili appartenenti sia alle aziende clienti sia ai loro utenti finali.
Cosa è stato esposto
Secondo le analisi degli esperti di cybersicurezza, tra i dati potenzialmente esposti figurano:
- Credenziali di accesso degli utenti
- Informazioni di contatto e dati personali
- Dettagli su dispositivi e sistemi collegati
- Log di attività e sessioni remote
- Eventuali file condivisi o trasferiti durante le sessioni di assistenza
Questi dati, se utilizzati da attori malevoli, possono essere sfruttati per fare escalation di privilegi, compiere attacchi di phishing mirati, compromettere ulteriori sistemi e realizzare frodi a catena.
La risposta di ConnectWise
ConnectWise ha risposto prontamente all’incidente, collaborando con esperti di cybersecurity di livello internazionale e le autorità competenti per contenere le conseguenze dell’attacco e avviare le necessarie indagini forensi. L’azienda ha rilasciato patch di sicurezza per risolvere la vulnerabilità e ha rafforzato i sistemi di monitoraggio e le misure di difesa interna.
Tutti i clienti impattati sono stati contattati direttamente e invitati a seguire una serie di azioni correttive, tra cui il cambio delle password, la revisione dei log e la verifica delle impostazioni di sicurezza.
Come proteggersi: consigli pratici per aziende e MSP
L’attacco a ConnectWise ScreenConnect rappresenta un monito per tutte le realtà che affidano servizi critici a fornitori esterni e piattaforme cloud. Ecco alcune buone pratiche e raccomandazioni per aumentare la resilienza dei propri sistemi:
1. Aggiorna subito tutte le istanze
- Installa immediatamente le patch di sicurezza rilasciate dal fornitore.
- Verifica che tutte le versioni di ScreenConnect, sia cloud che on-premise, siano aggiornate all’ultima release disponibile.
2. Cambia tutte le credenziali compromesse
- Resetta le password di tutti gli account amministrativi e utente.
- Attiva l’autenticazione a più fattori (MFA) ove possibile, riducendo così il rischio di accessi non autorizzati anche in caso di furto delle credenziali.
3. Audita accessi e log di sistema
- Esamina accuratamente i log di accesso e le attività svolte nelle settimane precedenti e successive all’incidente.
- Identifica eventuali comportamenti sospetti, accessi anomali, sessioni non autorizzate o trasferimenti insoliti di dati.
4. Segnala le anomalie alle autorità competenti
- In caso di conferma di accessi illeciti, notifica prontamente l’incidente al Garante per la protezione dei dati personali e alle forze dell’ordine, in conformità alle normative GDPR e locali.
5. Forma il personale
- Sensibilizza utenti e tecnici sull’importanza delle best practice in materia di sicurezza informatica.
- Organizza corsi periodici su riconoscimento di tentativi di phishing, gestione sicura delle credenziali e risposta agli incidenti.
6. Limita i privilegi di accesso
- Segui la regola del minimo privilegio, concedendo solo i permessi strettamente necessari agli operatori.
- Revoca gli accessi amministrativi non più necessari e disabilita rapidamente gli account non utilizzati.
7. Prepara un piano di risposta agli incidenti
- Stabilisci e testa procedure di risposta alle emergenze per ridurre i tempi di intervento in caso di nuove violazioni.
- Prevedi canali di comunicazione rapidi e riservati tra i team coinvolti nella gestione della crisi.
Implicazioni più ampie per il settore IT
Questo episodio sottolinea come le minacce informatiche siano in continua evoluzione: le vulnerabilità zero-day, soprattutto in applicazioni di gestione remota, rappresentano un rischio concreto per aziende di ogni dimensione. Anche fornitori consolidati e prodotti largamente utilizzati possono diventare vittime di attacchi sofisticati, specialmente quelli orchestrati da attori sponsorizzati da Stati nazionali.
Le aziende devono quindi investire non solo in tecnologie di protezione, ma anche in processi di patch management tempestivi, monitoraggio attivo delle minacce e formazione costante di tutte le risorse umane coinvolte.
La gestione della fiducia nel cloud
Affidarsi a fornitori cloud implica delegare una parte significativa della sicurezza dei dati. È quindi fondamentale selezionare partner trasparenti e affidabili che dimostrino una governance robusta e una risposta rapida agli incidenti.
Ecco alcune domande da porsi prima di adottare una soluzione cloud:
- Il fornitore pubblica regolarmente bollettini di sicurezza e lavora con team di risposta agli incidenti riconosciuti?
- Sono disponibili audit di sicurezza, report di vulnerabilità e storici degli incidenti?
- Esistono SLA chiari per la gestione delle emergenze e il supporto tecnico in casi critici?
La violazione di ConnectWise ScreenConnect dimostra che la sicurezza informatica è una responsabilità condivisa tra fornitori di servizi, aziende clienti e utenti finali. Solo con una collaborazione attiva, l’adozione di best practice e una costante attenzione alle evoluzioni del panorama delle minacce è possibile difendersi da attacchi sempre più complessi.
Per chi utilizza ScreenConnect o servizi simili, è oggi più che mai vitale non abbassare la guardia, aggiornare costantemente i sistemi, formare il personale e implementare strategie di difesa multilivello per proteggere dati e continuità operativa.
Suggerimenti finali:
- Pianifica audit di sicurezza periodici su tutte le soluzioni di accesso remoto.
- Valuta l’adozione di soluzioni EDR (Endpoint Detection and Response) e SIEM (Security Information and Event Management) per un monitoraggio proattivo.
- Mantieni relazioni costanti con il supporto tecnico del fornitore e partecipa alle iniziative di formazione e aggiornamento proposte.
Solo così sarà possibile affrontare con successo le nuove sfide della cybersicurezza e garantire la protezione delle informazioni più sensibili.
