Trellix sotto attacco: RansomHouse rivendica, allarme su VMware e Dell EMC

Trellix sotto attacco: RansomHouse rivendica, allarme su VMware e Dell EMC

Trellix ha confermato un accesso non autorizzato al proprio repository di codice sorgente e il gruppo RansomHouse ha rivendicato l'attacco il 7 maggio 2026. Nella sua dichiarazione l'azienda ha precisato: «Based on our investigation to date, we have found no evidence that our source code release or distribution process was affected, or that our source code has been exploited».

Ha avviato indagini interne, coinvolto esperti forensi esterni e notificato le forze dell'ordine, sollevando interrogativi sulla sicurezza interna di un vendor che protegge oltre 200 milioni di endpoint. Ricercatori indipendenti avvertono che la compromissione, se estesa oltre il repository a infrastrutture interne, potrebbe esporre a rischi a cascata le oltre 50.000 aziende e istituzioni governative clienti. Chi vende sicurezza deve ora dimostrare di saperla applicare anche a se stesso.

Il codice sorgente e le console interne: cosa mostrano gli screenshot di RansomHouse

Nella dichiarazione diffusa alle testate specializzate, Trellix ammette di aver identificato un compromissione del repository che ospita il codice sorgente. L'azienda sottolinea che, sulla base delle indagini condotte finora, non risulta alterato il processo di rilascio né risulta che il codice sia stato sfruttato attivamente. Un portavoce ha confermato che le forze dell'ordine sono state informate e che esperti forensi esterni stanno supportando l'indagine interna.

La rivendicazione di RansomHouse è datata 7 maggio 2026. Sul proprio data leak site, il gruppo ha elencato Trellix tra le vittime pubblicando screenshot che, secondo quanto documentato da SecurityWeek, sembrano mostrare l'accesso a dashboard di gestione e servizi aziendali interni. Non è tuttavia possibile verificare in modo indipendente se le immagini riflettano uno stato attuale dei sistemi o siano state manipolate prima della pubblicazione.

La scelta di RansomHouse di pubblicare screenshot anziché campioni di codice suggerisce una tattica mirata alla pressione psicologica. Il gruppo non è un tradizionale operatore ransomware che cifra i dati, ma una piattaforma di estorsione che sfrutta la minaccia di divulgazione. Questo modus operandi rende più difficile per Trellix valutare l'entità effettiva della fuoriuscita senza un confronto diretto con i materiali in mano agli attaccanti.

Mentre Trellix circoscrive l'incidente al repository, l'analisi indipendente spinge il perimetro ben oltre. Tra la versione ufficiale, che nega impatti sui processi di rilascio, e la ricostruzione dei ricercatori, che legge negli screenshot un possibile accesso a infrastrutture critiche, si apre una frattura interpretativa: ciò che l'azienda definisce un perimetro controllato, i ricercatori lo interpretano come potenziale esposizione di console interne.

Cybernews ha esaminato sette screenshot diffusi dagli attaccanti, rilevando all'interno delle immagini possibili riferimenti a interfacce di piattaforme enterprise. I ricercatori segnalano che le dashboard mostrate potrebbero appartenere a sistemi di virtualizzazione, storage e backup, ma non dispongono di elementi per confermare se l'accesso si sia tradotto in effettiva esfiltrazione di dati o in capacità di controllo remoto.

Dalle rivendicazioni all'analisi: potenziale allarme su VMware, Rubrik e Dell EMC

La natura dei sistemi individuati nelle immagini solleva interrogativi sulla segmentazione della rete interna. Se una console di backup o una dashboard di storage fossero raggiungibili dalla stessa porzione di rete che ospita il repository, verrebbe meno un principio fondamentale della difesa in profondità. Trellix non ha rilasciato alcuna precisazione sulla topologia di rete né sulla presenza di architecture isolate per i dati critici.

Secondo l'analisi di Cybernews, le console interne visibili negli screenshot gestiscono ben più del semplice codice di prodotto. I sistemi di virtualizzazione e storage, quali quelli potenzialmente riconducibili a VMware, Rubrik e Dell EMC, ospitano di routine backup, credenziali amministrative, configurazioni e dati operativi che potrebbero riguardare anche l'ecosistema cliente.

"These earlier-mentioned internal systems handle way more than just the source code of a launched product" — Cybernews researchers

Scenario ipotetico secondo i ricercatori: se i sette screenshot riflettessero effettivamente un accesso reale, la topologia esposta potrebbe seguire una logica di core infrastructure. Le console VMware orchestrano tipicamente l'intera flotta di server virtuali; le istanze Rubrik centralizzano i backup e, pertanto, le credenziali storiche; i sistemi Dell EMC ospitano lo storage primario dei dati operativi. Un eventuale movimento laterale da una di queste console alle altre potrebbe teoricamente amplificare l'impatto ben oltre il singolo repository, creando un ponte potenzialmente esposto verso gli ambienti cliente.

I ricercatori mettono in guardia sul rischio teorico di ricaduta verso le aziende che utilizzano le soluzioni Trellix. Nelle loro parole: «Regardless, the impact of this incident can extend to companies that use Trellix products, because these product databases could've been affected as well». Trellix non ha però confermato questa ipotesi e al momento non esistono prove pubbliche di accesso a tali database di produzione.

Tra le raccomandazioni avanzate dagli stessi analisti figura la rotazione immediata delle credenziali compromesse, il ripristino da backup verificati e una comunicazione trasparente su quali sistemi siano effettivamente coinvolti. Senza questi passaggi, la comunità dei clienti non può calibrare correttamente il proprio livello di esposizione.

La catena di fiducia: quando il vendor di sicurezza diventa il weak link

Per il mercato enterprise, il caso Trellix rappresenta uno stress test sulla resilienza della supply chain di sicurezza. Le aziende non acquistano solo un prodotto, ma affidano a un vendor l'integrità del proprio perimetro difensivo. Quando quel vendor mostra crepe nel proprio ciclo di sviluppo sicuro e, potenzialmente, nella gestione della propria infrastruttura, il contratto implicito di fiducia si incrina a livello sistemico.

Trellix protegge una base installata che supera le 50.000 organizzazioni business e governative e una flotta di oltre 200 milioni di endpoint sotto monitoraggio. Un breach che tocca il cuore del suo sviluppo software e, potenzialmente, le console della sua infrastruttura interna, genera un effetto domino che travalica i confini della singola azienda.

RansomHouse opera almeno dal 2022 e il suo leak site elenca più di 170 vittime. Un advisory congiunto di autorità statunitensi risalente al 2024 ha incluso il gruppo tra gli attori che cooperavano con elementi legati all'Iran per operazioni ransomware, evidenziando un modello di minaccia ibrido che mescola estorsione e intelligence a fini strategici.

Il punto critico è proprio qui: un vendor che vende protezione su scala globale deve ora dimostrare che la propria architettura di sicurezza interna resista alle stesse minacce che combatte quotidianamente. La differenza tra un incidente gestito e una crisi di fiducia significativa sta nella velocità con cui Trellix renderà pubblici i dettagli tecnici dell'intrusione, a partire dal vettore iniziale e dalla durata effettiva dell'accesso non autorizzato.

Cosa fare adesso

• Monitorare le advisory ufficiali di Trellix e le indicazioni del Computer Emergency Response Team (CERT) per verificare eventuali aggiornamenti su prodotti e configurazioni esposte.
• Verificare la segmentazione delle reti e l'isolamento delle console di gestione che utilizzano componenti VMware, Rubrik o Dell EMC, evitando che credenziali amministrative siano riutilizzate tra ambienti.
• Rivedere i log di autenticazione e le politiche di accesso privilegiato sui sistemi che integrano prodotti Trellix, alla ricerca di anomalie che potrebbero eventualmente derivare da configurazioni o credenziali trapelate.
• Esigere dal vendor una dichiarazione puntuale su quali sistemi sono stati effettivamente toccati, sui tempi di retention dei backup sicuri e sullo stato del ciclo di rotazione delle credenziali compromesse.

L'incidente Trellix non si limita a un data breach interno, ma solleva questioni strutturali per l'intera industria della cybersecurity. Se il codice sorgente e, potenzialmente, le console interne di un vendor di questa scala finiscono nelle mani di un gruppo di estorsione, il problema non è più la tecnologia mancante, ma l'architettura del controllo interno.

Le prossime settimane diranno se l'azienda saprà convertire la crisi in trasparenza, o se il silenzio sui dettagli alimenterà il sospetto che la superficie di attacco fosse più vasta di quanto ammesso.

Cosa non è ancora chiaro

Trellix ha confermato la compromissione dei sistemi VMware, Rubrik o Dell EMC?
No. Trellix ha confermato solo il breach del repository di codice. L'accesso alle console di infrastruttura è una deduzione dei ricercatori basata su screenshot non verificati indipendentemente.

I prodotti Trellix sono stati exploitati o modificati a seguito del breach?
Secondo la dichiarazione ufficiale dell'azienda non ci sono evidenze che il codice sia stato alterato o che i processi di rilascio siano stati compromessi.

Qual è il legame tra RansomHouse e il gruppo Lapsus$ menzionato in alcune analisi?
SecurityWeek riporta che un collegamento è stato ipotizzato ma non confermato; al momento non esistono prove definitive di tale associazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/trellix-confirms-source-code-breach.html
• https://www.securityweek.com/ransomware-group-takes-credit-for-trellix-hack/
• https://cybernews.com/security/trellix-ransom-house-breach-infrastructure-leak/