I Managed Service Provider (MSP) stanno diventando uno dei principali punti di ingresso per i cyberattacchi su scala globale. Grazie a accessi privilegiati e a un ruolo centrale nella supply chain digitale, la loro compromissione consente ai criminali di colpire contemporaneamente decine o centinaia di aziende. Dai casi Kaseya e MOVEit fino a Snowflake, emerge un nuovo paradigma: non si attaccano più singole organizzazioni, ma nodi di fiducia condivisi.
In questo scenario, la sicurezza si sposta dal perimetro aziendale alla gestione delle relazioni, delle identità e della filiera digitale, sempre più interconnessa e vulnerabile.
Indice degli argomenti
MSP e supply chain digitale: il nuovo perimetro degli attacchi cyber
I Managed Service Provider (MSP) occupano oggi una posizione centrale negli ecosistemi IT moderni. Gestiscono infrastrutture, sicurezza e operations per migliaia di organizzazioni e, molto spesso, operano con accessi privilegiati, cioè con permessi elevati che consentono loro di intervenire in profondità su sistemi, configurazioni e ambienti critici.
Proprio questa centralità li ha resi indispensabili per il funzionamento quotidiano di molte imprese. Ma è anche ciò che li rende particolarmente interessanti per i cyber criminali. Negli ultimi anni, infatti, gli MSP non sono più stati soltanto bersagli diretti: sono diventati sempre più spesso punti di accesso verso una pluralità di vittime, trasformandosi in veri e propri vettori di propagazione degli attacchi.
Si tratta di un cambiamento importante nella natura del rischio cyber. Se in passato molti attacchi erano concepiti per colpire una singola organizzazione, oggi cresce il numero di operazioni che prendono di mira servizi condivisi, piattaforme centralizzate e fornitori strategici, proprio per sfruttarne la natura interconnessa. La superficie d’attacco, insomma, non coincide più con il solo perimetro del singolo ente: si estende lungo tutta la supply chain digitale.
Perché gli MSP sono obiettivi così appetibili
Gli MSP rappresentano un bersaglio ideale perché combinano tre elementi chiave: fiducia, accesso e scala.
Il primo elemento è la fiducia. Un fornitore di servizi gestiti opera di norma all’interno di una relazione consolidata con i clienti: aggiorna software, modifica configurazioni, monitora reti, accede da remoto a sistemi e console di amministrazione. In questo contesto, le sue attività vengono generalmente considerate legittime e quindi sottoposte a un livello di controllo inferiore rispetto a quello riservato ad altri attori esterni.
Il secondo elemento è la centralizzazione. Gli MSP tendono a utilizzare una o poche piattaforme per erogare i propri servizi all’intera base clienti. Questo significa che, compromettendo un solo punto di accesso, un attaccante può raggiungere molte organizzazioni contemporaneamente, evitando di dover condurre attacchi separati contro ciascuna di esse.
Il terzo fattore è la scala. Un MSP può servire decine, centinaia o persino migliaia di clienti. Di conseguenza, l’impatto di una compromissione riuscita può risultare enormemente superiore rispetto al tradizionale rapporto uno-a-uno tra attaccante e vittima.
L’unione di questi tre elementi (fiducia, accesso centralizzato e scala) crea una combinazione estremamente pericolosa: una sorta di “tripla minaccia” che spiega perché gli MSP siano diventati una delle porte d’ingresso preferite dai gruppi ransomware e dagli attori più strutturati.
Il caso Kaseya: quando un solo attacco si propaga su larga scala
Un esempio emblematico di questa dinamica si è verificato nel 2021 con il caso Kaseya, divenuto uno spartiacque nella comprensione del rischio legato agli MSP.
Nel luglio di quell’anno, il gruppo ransomware REvil (noto anche come Sodinokibi) ha sfruttato una vulnerabilità zero-day nel Virtual System Administrator (VSA) di Kaseya, uno strumento ampiamente utilizzato dagli MSP per amministrare da remoto gli ambienti dei clienti, distribuire aggiornamenti software e gestire attività operative.
Gli attaccanti hanno utilizzato il meccanismo di aggiornamento della piattaforma per diffondere codice malevolo, compromettendo circa 50-60 MSP. Attraverso questi fornitori, l’infezione si è poi estesa a oltre 1.000 organizzazioni in diversi Paesi. Il caso Kaseya ha mostrato con chiarezza come un unico attacco mirato a un’infrastruttura centrale possa propagarsi rapidamente lungo una rete estesa di relazioni fiduciarie.
L’impatto è stato tale da innescare una risposta internazionale coordinata da parte delle autorità. E ha contribuito a rendere evidente una realtà ormai consolidata: il vero obiettivo non è più solo il singolo sistema vulnerabile, ma il nodo centrale che collega molti altri soggetti.
Akira e la maturazione del modello MSP-first
Negli anni successivi, questo modello operativo non solo è rimasto attivo, ma si è ulteriormente evoluto. Il gruppo ransomware Akira, emerso nel 2023, ha mostrato come il targeting degli MSP e delle organizzazioni IT sia ormai parte di una strategia deliberata per massimizzare portata e ritorno economico dell’attacco.
A differenza di operazioni precedenti basate prevalentemente sullo sfruttamento di vulnerabilità software, Akira fa spesso leva su credenziali amministrative rubate o riutilizzate, oltre che su infrastrutture VPN vulnerabili. In questo modo, gli attaccanti riescono a muoversi all’interno di ambienti considerati affidabili, utilizzando accessi legittimi e riducendo la probabilità di essere intercettati dai controlli di sicurezza.
Il passaggio è significativo: dall’exploit tecnico si passa sempre più all’abuso dell’identità e della fiducia operativa. E nel caso degli MSP questo rappresenta un rischio ancora maggiore, perché il privilegio di accesso consente di raggiungere più organizzazioni attraverso un’unica compromissione iniziale.
Non solo MSP: il modello si estende a software e piattaforme condivise
La logica alla base degli attacchi contro gli MSP si sta tuttavia estendendo ben oltre il perimetro dei service provider. Qualsiasi piattaforma condivisa che si collochi tra le organizzazioni e i loro dati può infatti assumere un ruolo analogo.
Il caso MOVEit, emerso nel 2023, è particolarmente istruttivo. Il gruppo Cl0p ha sfruttato una vulnerabilità zero-day nella piattaforma MOVEit Transfer, una soluzione molto diffusa per il trasferimento sicuro di dati riservati. Invece di compromettere singolarmente ciascuna vittima, gli attaccanti hanno colpito un singolo punto tecnologico largamente adottato, riuscendo così a esfiltrare enormi volumi di dati.
Le conseguenze hanno coinvolto migliaia di organizzazioni a livello globale, incluse grandi aziende e diversi enti pubblici. Molte di esse sono state colpite indirettamente, tramite fornitori terzi che utilizzavano MOVEit. Ancora una volta, il danno si è amplificato lungo la catena delle dipendenze digitali.
Questo dimostra che i principi che rendono gli MSP così vulnerabili — fiducia, centralizzazione e scala — valgono ormai anche per software ampiamente distribuiti, piattaforme cloud e servizi condivisi.
Il caso Snowflake: l’attacco si sposta dall’infrastruttura all’identità
Il 2024 ha segnato un’ulteriore evoluzione del fenomeno con il caso Snowflake, che sposta il focus dall’infrastruttura all’identità digitale.
In questo episodio, gli attaccanti non hanno sfruttato una vulnerabilità della piattaforma, ma hanno ottenuto accesso agli ambienti di alcuni clienti utilizzando credenziali sottratte, in molti casi raccolte tramite malware infostealer. Grazie a queste credenziali, è stato possibile autenticarsi in modo apparentemente legittimo, aggirando parte dei controlli di sicurezza che si attiverebbero in caso di tentativi di intrusione più tradizionali.
Da lì, gli attaccanti hanno esfiltrato grandi quantità di dati sensibili da più organizzazioni. L’aspetto più rilevante è che Snowflake non è stata compromessa direttamente come piattaforma: a essere sfruttata è stata la debolezza dei controlli identitari presenti presso alcuni clienti.
Il messaggio è chiaro: la fiducia e la centralizzazione non riguardano più soltanto software, reti e fornitori, ma anche le identità digitali. Oggi un singolo account compromesso può diventare la chiave di accesso a enormi volumi di dati e a una molteplicità di ambienti interconnessi.
Una trasformazione strutturale della minaccia cyber
Osservati nel loro insieme, i casi Kaseya, MOVEit e Snowflake delineano un cambiamento strutturale nel modo in cui gli attacchi cyber vengono progettati ed eseguiti. L’obiettivo non è più soltanto “entrare” in un sistema, ma colpire i punti centrali di trust che collegano organizzazioni, dati, identità e servizi.
In altre parole, la superficie d’attacco contemporanea non è definita soltanto dai singoli asset aziendali, ma dalle relazioni di dipendenza che legano tra loro fornitori, piattaforme, ambienti cloud, strumenti di amministrazione remota e modelli di accesso basati sull’identità.
Per questo le difese tradizionali, costruite intorno a un perimetro statico, non sono più sufficienti. Occorre spostare l’attenzione dalla protezione dei soli sistemi interni alla messa in sicurezza dei livelli condivisi di trust su cui si reggono le operazioni quotidiane.
Il ruolo crescente degli infostealer e dei mercati criminali
A rendere ancora più critica la situazione contribuisce la diffusione di dati raccolti da malware infostealer, sempre più spesso condivisi o commercializzati nei forum criminali. In molti casi non si tratta solo di username e password, ma anche di token di sessione attivi, cookie e altri elementi che permettono di eludere i controlli di autenticazione tradizionali.
Il risultato è un abbassamento progressivo della barriera d’ingresso per gli attaccanti: non servono sempre competenze tecniche elevate o exploit sofisticati, perché l’accesso può essere acquistato, riutilizzato o ottenuto tramite credenziali già compromesse.
Nel frattempo, le organizzazioni si trovano a fronteggiare un panorama di minacce sempre più persistente, dinamico e sistemico. E quando il riscatto non viene pagato, i dati sottratti vengono spesso pubblicati o rivenduti, alimentando ulteriormente il ciclo del rischio.
Cosa devono fare aziende e PA
Se gli attacchi si concentrano sempre di più sui nodi centrali della fiducia digitale, allora anche le strategie di difesa devono evolvere. In particolare, imprese e pubbliche amministrazioni dovrebbero:
- rafforzare la governance dei fornitori IT e degli MSP, introducendo verifiche continue e requisiti di sicurezza stringenti;
- ridurre e segmentare gli accessi privilegiati, limitandoli al minimo necessario;
- monitorare in modo costante le identità e le sessioni attive, soprattutto negli ambienti cloud;
- applicare controlli rigorosi su strumenti di amministrazione remota, VPN e console centralizzate;
- verificare la resilienza della supply chain digitale, includendo nei piani di risk management anche software terzi e piattaforme condivise;
- adottare approcci Zero Trust, che non assumano mai implicitamente la legittimità di utenti, dispositivi o fornitori.
La lezione è ormai evidente: la sicurezza non può più fermarsi al perimetro aziendale. Nelle infrastrutture digitali contemporanee, il punto più vulnerabile è spesso quello che gode di maggiore fiducia.













Partecipa alla community