Irina Artioli è Cyber Protection Evangelist e ricercatrice nella Acronis Threat Research Unit, un’unità dedicata composta da esperti di cybersecurity, il cui team comprende esperti interfunzionali in cybersecurity, AI e threat intelligence. Nel corso di un incontro a cui ha partecipato insieme a Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis, ha tratteggiato lo scenario – non particolarmente rassicurante – delle minacce informatiche che dall’osservatorio privilegiato di Acronis viene previsto per il 2025.
Avvicinandosi la fine dell’anno, è essenziale riflettere su tendenze, tattiche e tecniche che hanno dominato lo scenario delle minacce informatiche nel corso di tutto il 2024. Questa analisi retrospettiva non solo evidenzia le strategie in evoluzione impiegate dai criminali informatici, ma fornisce spunti per anticipare le sfide che attendono il settore nel nuovo anno.
Un trend su tutti è quanto mai evidente: i criminali informatici stanno diventando sempre più abili nel perfezionare i propri vettori di attacco, guidati da una combinazione di progressi tecnologici e una comprensione più profonda delle vulnerabilità. Questo processo evolutivo si manifesta in particolare nel furto di dati dove gli hacker non si limitano più a semplici truffe di phishing o attacchi malware, ma agiscono invece attraverso un’ampia gamma di tattiche sofisticate che sfruttano l’intelligenza artificiale, l’ingegneria sociale e l’automazione.
Tecniche emergenti per il furto di dati
Alla luce di questo scenario, è prevedibile che nel corso del 2025 si dovrà prestare attenzione in particolare ad alcune tecniche di data breach:
- Tramite codici QR: seguendo la tendenza di quest’anno, le truffe di phishing tramite codici QR diventeranno più allettanti, inducendo le vittime a condividere dati su pagamenti e altre informazioni personali e sensibili. Una maggiore consapevolezza e cautela da parte degli utenti saranno cruciali, unitamente alla vigilanza delle aziende.
- Formjacking: l’aumento dell’e-commerce e la dipendenza da strumenti di terze parti renderanno il formjacking una grave minaccia, poiché cresce il numero di aggressori che inseriscono codici dannosi nei moduli web per rubare dati sensibili. Il formjacking è una tecnica di attacco informatico utilizzata per sottrarre informazioni personali e sensibili inserite dagli utenti nei moduli online, come quelli per il pagamento su siti di e-commerce. Questo attacco sfrutta il codice JavaScript dannoso iniettato nel sito web bersaglio per intercettare i dati inseriti dagli utenti, come numeri di carte di credito, password e altre informazioni sensibili, prima che vengano inviati al server legittimo del sito. Gli hacker sfruttano vulnerabilità nei siti web o nei plugin utilizzati, oppure compromettono i server di terze parti che forniscono servizi o script (ad esempio, analisi di traffico o pubblicità); viene aggiunto uno script dannoso al modulo del sito web, spesso senza che il proprietario del sito se ne accorga. Quando un utente compila il modulo (come quello per i pagamenti) e invia i dati, il codice iniettato copia queste informazioni e le invia al server dell’attaccante, oltre a permettere la normale trasmissione al sito legittimo.
- Estensioni dannose del browser: gli utenti possono installare inconsapevolmente estensioni che in realtà raccolgono dati personali, di conseguenza sarà necessario vigilare su quali strumenti e funzionalità vengono aggiunti.
- Sostituzione delle credenziali: i criminali informatici utilizzeranno i nomi utente e password rubati per accedere a più account, a conferma del pericolo dell’abitudine tuttora diffusa di abbinare sempre lo stesso nome utente alla medesima password e dunque dell’importanza di utilizzare password univoche e complesse.
- Attacchi di tipo Man-in-the-Middle (MitM): anche questi attacchi che intercettano le comunicazioni si intensificheranno e potrebbero persino catturare i token 2FA, consentendo l’accesso non autorizzato agli account.
- Exploit dei dispositivi IoT: le vulnerabilità dei dispositivi connessi creeranno nuove strade per il furto di dati, poiché il numero di oggetti “intelligenti” continua a crescere ma non di pari passo la loro sicurezza.
Tecniche di attacco in sviluppo
Il 2025 vedrà inoltre l’evoluzione di alcune strategie di attacco, in particolare si assisterà a:
Attacchi Living-off-the-Land (LOL)
Si prevede un aumento degli attacchi LOL, in cui i criminali informatici utilizzano invece che malware esterni, strumenti di sistemi nativi come PowerShell per aggirare le difese tradizionali, rendendo il rilevamento sempre più difficile. Gli attaccanti si avvalgono di programmi o funzionalità legittime del sistema operativo (ad esempio, PowerShell su Windows o bash su Linux). Questi strumenti sono spesso considerati sicuri dai software di sicurezza. In molti casi, gli attacchi LotL non richiedono il download di file eseguibili esterni il che riduce il rischio di rilevamento da parte degli strumenti di analisi basati su firma. Questa minaccia può fungere da gateway per sistemi più sensibili, in particolare negli ambienti OT (Operational Technology).
Escalation degli attacchi alla supply chain
Si tratta di attacchi che vedranno un incremento, con gli aggressori che prenderanno di mira i fornitori di terze parti per infiltrarsi nelle organizzazioni più grandi. La disponibilità delle tecnologie di AI renderà questi attacchi accessibili anche agli hacker meno esperti e a costi inferiori. In particolare, riteniamo che i malware infostealer prenderanno di mira le identità digitali e i dati di autenticazione, soprattutto là dove non è tuttora prevista l’autenticazione a più fattori (MFA). Le vulnerabilità della supply chain saranno sfruttate anche per attacchi State-sponsored ovvero sostenuti da uno stato-nazione contro un altro governo o un’organizzazione per colpire obiettivi di alto profilo, dimostrando la natura permanente e pervasiva di queste minacce.
Campagne di disinformazione supportate dall’AI
I criminali informatici utilizzeranno sempre più l’intelligenza artificiale per creare contenuti deepfake iper-realistici, rendendo ancora più insidiosa la disinformazione. Le organizzazioni devono quindi potenziare i processi di verifica dell’autenticità di messaggi e contenuti.
Guerra informatica basata sull’AI
L’utilizzo dell’intelligenza artificiale accelererà velocità e portata degli attacchi soprattutto alle infrastrutture critiche. Tuttavia, l’AI può essere utilizzata anche dai difensori per potenziare i propri strumenti di monitoraggio e risposta e, le imprese dovranno adottare soluzioni di sicurezza più avanzate basate su queste tecnologie per rimanere al passo con le minacce.
In un 2025 in cui le sfide per la cybersecurity saranno ancora più complesse, vigilanza e misure proattive saranno essenziali per proteggersi dalle tecniche sempre più sofisticate utilizzate dai criminali informatici. L’anno che si sta per chiudere ha già dimostrato che le minacce aumentano e diventano sempre più subdole e che gli aggressori già sfruttano tecnologie e tattiche avanzate che sfidano i protocolli di sicurezza convenzionali. Tutto ciò, unitamente ai nuovi requisiti normativi, richiede pertanto un approccio più profondo alla sicurezza informatica che vada oltre le tradizionali misure reattive per anticipare la possibilità di una violazione prima che accada.
