Lo scorso anno avevamo previsto che i modelli linguistici di grandi dimensioni (LLM) sarebbero diventati più efficaci nel favorire gli attacchi di social engineering. Le previsioni per quest’anno sono simili, ma con alcuni affinamenti.
Aumento degli attacchi BEC (Business Email Compromise) Gli attacchi BEC rimangono una minaccia significativa e spesso trascurata. Un rapporto dell’FBI del 2023 ha rivelato perdite impressionanti dovute a questa minaccia, 60 volte superiori a quelle causate dal ransomware. Sebbene questo problema sia sempre stato molto presente, l’ascesa dell’IA ne ha aumentato drasticamente il potenziale: dai deepfake alimentati dall’IA che impersonano in modo convincente i dirigenti alla capacità di apprendere e imitare gli stili di comunicazione individuali con una precisione sorprendente. Questa potente combinazione, unita all’elevato potenziale di guadagno, alla scarsa sensibilizzazione tra gli obiettivi e al fatto che l’esecuzione richiede competenze tecniche minime, rende gli attacchi BEC un’opzione sempre più interessante per i criminali informatici, soprattutto se potenziati dall’IA.
I processi aziendali che non sono “a prova di deepfake” saranno presi di mira La tecnologia deepfake, che un tempo richiedeva competenze specialistiche, è sempre più accessibile diventando un’arma contro la cybersecurity molto utilizzata. Al di là dei casi d’uso già noti (ad esempio, impersonificazione dei dirigenti, attacchi pig butchering, vishing…), la disponibilità diffusa di una sofisticata tecnologia deepfake porterà le aziende a rivalutare i propri processi e procedure. Ad esempio, la convalida visiva, comune nei mercati finanziari e delle criptovalute, è sempre più vulnerabile. In Brasile, una recente operazione delle forze dell’ordine, “DeGenerative AI,” ha portato alla luce uno schema criminale su larga scala che utilizzava i deepfake per aggirare le procedure di apertura dei conti bancari. I criminali hanno utilizzato l’intelligenza artificiale per creare video falsi di titolari di conti reali, ingannando con successo i sistemi di cybersecurity e creando conti a scopo di riciclaggio di denaro. Questo schema ha portato a oltre 550 violazioni di conti correnti e alla movimentazione di circa 18 milioni di dollari attraverso questi conti.
I modelli linguistici di grandi dimensioni (LLM, Large Language Model) saranno (erroneamente) incolpati La pressione per dimostrare il valore degli investimenti nell’IA sta determinando una pericolosa tendenza all’interno di molte aziende. Quando le aziende investono pesantemente nell’IA, spesso lottando per ottenere risultati aziendali tangibili, i team sentono un’immensa pressione per dimostrare il valore della tecnologia. Questa pressione può portare a sperimentazioni avventate, indipendentemente dai rischi, spingendo i team a prendere scorciatoie, privilegiare la velocità rispetto alla cybersecurity e ignorare le protezioni critiche. Questo non solo aumenta il rischio di violazioni dei dati e della conformità, ma mina anche lo sviluppo e l’implementazione responsabile dell’IA all’interno dell’azienda, portando all’adozione della shadow IA da parte di singoli o piccoli team.
- Infrastrutture critiche e Industryal Control Systems (ICS) Sulla base della nostra precedente analisi, avevamo previsto che l’intelligenza artificiale avrebbe abbassato la barriera d’ingresso per i criminali informatici che prendono di mira i sistemi ICS/SCADA. Tuttavia, esaminando le principali minacce informatiche per il 2024, l’emergere di gruppi di criminali pericolosi come il CARR dimostra una realtà più preoccupante. Questi gruppi stanno prendendo di mira le infrastrutture critiche in modi nuovi e inaspettati. Il successo dell’interruzione di un’azienda energetica ucraina da parte del malware FrostyGoop, il primo malware ICS noto per manipolare direttamente il protocollo ModbusTCP, sottolinea ulteriormente questa minaccia in evoluzione. La situazione diventa ancora più pericolosa se si considera l’allentamento della guida etica da parte di alcuni gruppi di ransomware e la rinascita dell’hacktivismo, entrambe tendenze di cui parleremo in seguito.
Contrariamente alla narrativa prevalente, riteniamo che nel breve termine l’IA sarà una forza più potente per chi difende la sicurcybersecurity zza informatica e non per chi la minaccia. Sebbene l’IA possa indubbiamente essere utilizzata per migliorare gli attacchi informatici, i metodi esistenti rimangono ugualmente efficaci e richiedono uno sforzo minore. Questa mancanza di incentivi immediati per i criminali a innovare in modo significativo con l’IA fornisce un vantaggio temporaneo a chi si occupa di cybersecurity.
Ironia della sorte, uno dei maggiori problemi di cybersecurity legati all’IA è l’ossessione per le minacce fittizie, trascurando le migliori pratiche di sicurezza fondamentali.
Ransomware: club d’élite, mafie di medio livello e lupi solitari
![Martin Zugec](https://static.tecnichenuove.it/01net/2025/01/Martin-Zugec-300x300.jpg)
Il 2024 si è rivelato un anno turbolento per il panorama del ransomware. Dopo il successo delle eliminazioni di criminali importanti come LockBit e ALPHV/BlackCat, il mercato dei RaaS (ransomwareasaService) ha subito un cambiamento radicale. La scomparsa di questi criminali di spicco ha creato un vuoto che ha portato a un’impennata di nuovi gruppi meno affermati.
Il nostro report Bitdefender Threat Debrief mensile, tipicamente coerente in termini di ransomware dominanti, ha mostrato un marcato aumento della volatilità, con i primi 10 gruppi ransomware che cambiano quasi mensilmente. Questi nuovi gruppi, desiderosi di affermarsi, hanno spesso abbassato le barriere di ingresso per gli affiliati, portando a un notevole aumento degli attacchi contro il settore della sanità. Inoltre, abbiamo osservato un aumento di “lupi solitari”, ovvero singoli o piccoli team che operano in modo indipendente, al di fuori del tradizionale modello RaaS, e che prendono di mira intere reti piuttosto che singole macchine (maggiori dettagli sono disponibili nella nostra ricerca su ShrinkLocker). Nel 2025, ci aspettiamo di vedere quanto segue:
L’ecosistema del ransomware diventerà più frammentato La ricetta per un’operazione RaaS di successo è diventata di uso comune, con guide operative facilmente disponibili e persino basi di codice trapelate da gruppi importanti come LockBit e Babuk. La riduzione della barriera all’ingresso consente a nuovi criminali informatici di lanciare rapidamente le proprie operazioni RaaS. Inoltre, molti gruppi RaaS non impongono l’esclusività agli affiliati, lavorando così con più gruppi contemporaneamente. Questa tendenza “multiaffiliazione” consente agli affiliati di scegliere strategicamente la variante di ransomware più efficace per ogni attacco, in base a diversi fattori, tra cuila soluzione di cybersecurity dell’endpoint adottata dall’obiettivo. Questa maggiore concorrenza e flessibilità porterà a un panorama di minacce più imprevedibile.
Situazione critica del settore sanitario Per attirare gli affiliati, molti gruppi RaaS stanno eliminando le restrizioni sui settori target, compresi quelli precedentemente considerati offlimits. Questo, unito al passaggio al targeting opportunistico, significa che i criminali informatici sono meno concentrati nel colpire aziende o settori specifici e più focalizzati sulla violazione delle reti in base al software che utilizzano. Il settore sanitario si è rivelato un obiettivo redditizio, come dimostrano i pagamenti di riscatti da record osservati nel corso dell’anno (tra cui il riscatto più alto registrato di 75 milioni di dollari). Anche se gli sforzi legislativi come l’“Health Infrastructure Security and Accountability Act” mirano a migliorare la cybersecurity nel settore sanitario, il percorso verso un cambiamento normativo significativo sarà probabilmente lungo e complesso.
Vulnerabilità, porta d’uscita dei dati L’anno scorso avevamo previsto che i criminali informatici che utilizzano il ransomware avrebbero rapidamente usato come arma le nuove vulnerabilità. L’aumento significativo delle vulnerabilità osservato nel 2024 (da 18.349 nel 2020 a 40.011 secondo il NIST NVD) conferma questa tendenza. Questa impennata, insieme alla continua attenzione allo sfruttamento delle vulnerabilità nel software aziendale, ha alimentato l’aumento degli attacchi ransomware opportunistici rivolti ai dispositivi edge. L’esfiltrazione dei dati rimane un obiettivo primario, nonostante molte aziende diano ancora priorità alla crittografia dei dati rispetto alla prevenzione dell’esfiltrazione. Prevediamo che questa tendenza del metodo di accesso iniziale opportunistico continuerà.
Il ransomware come strumento di operazioni sponsorizzate dagli Stati Le operazioni di ransomware, precedentemente appannaggio di gruppi di criminali informatici, stanno diventando più popolari delle APT (Advanced Persistent Threat). In primo luogo, i pagamenti dei ransomware generano entrate significative, finanziando iniziative sponsorizzate dagli Stati come le operazioni militari della Russia e i programmi di armamento della Corea del Nord. In secondo luogo, gli attacchi ransomware possono essere utilizzati come strumento di disturbo, causando danni economici significativi e disagi sociali nelle nazioni prese di mira. L’intersezione delle attività delle APT con le operazioni di ransomware sfuma i confini tra criminalità informatica e spionaggio sponsorizzato dagli Stati, rendendo più difficile l’attribuzione.
Hacktivismo e cybersecurity: nuova vita grazie al ransomware
Negli ultimi anni, il panorama della cybersecurity è stato dominato da attacchi a sfondo finanziario, mentre l’hacktivismo è stato un fenomeno di nicchia, pari a meno dell’1% di tutti gli attacchi informatici. Sebbene non ci aspettiamo un cambiamento radicale nel panorama generale delle minacce, diversi fattori indicano una rinascita dell’hacktivismo nel 2025.
Addio banner e DDoS a favore del ransomware Ci aspettiamo di assistere a una convergenza tra hacktivismo e criminalità informatica, con gruppi di hacktivisti che sfruttano sempre più strumenti e tecniche di criminalità informatica per finanziare le loro attività e raggiungere i loro obiettivi politici o sociali. Questa tendenza è evidente nell’ascesa di gruppi come CiberInteligenciaSV, che prendono sempre più di mira le infrastrutture critiche.
La GenZ dei criminali informatici L’emergere di gruppi come Scattered Spider o Lapsus$, composti principalmente da giovani maschi di età compresa tra i 16 e i 25 anni provenienti da Stati Uniti, Regno Unito e Canada, evidenzia una nuova tipologia di criminali informatici. Spinti da una combinazione di guadagno finanziario e desiderio di notorietà, questi gruppi hanno dimostrato di essere in grado di sferrare attacchi di alto profilo. Sebbene le forze dell’ordine abbiano arrestato diversi membri di Scattered Spider, la loro natura decentralizzata e l’ampia base di membri (oltre 1.000) rendono difficile smantellare completamente le loro operazioni.
Collaborazione tra Russia e occidente Ci aspettiamo di assistere a un aumento delle collaborazioni tra gruppi di criminali informatici di lingua inglese e russa. Queste collaborazioni, esemplificate dal successo di gruppi come Scattered Spider, sfruttano i punti di forza di entrambe le fazioni: le competenze tecniche dei gruppi di lingua russa e le funzionalità di social engineering dei gruppi di madrelingua inglese.
Sebbene le prove di questa tendenza stiano ancora emergendo, da tempo osserviamo la potenziale convergenza di hacktivismo e ransomware. Nel nostro ultimo report Bitdefender Threat Debrief, abbiamo riferito di due gruppi di hacktivisti, CyberVolk e KillSec (un gruppo che è persino entrato nella nostra classifica dei 10 RaaS), che hanno adottato un modello di RansomwareasaService. Questi primi esempi suggeriscono che le linee di demarcazione tra hacktivismo e criminalità informatica non sono così nette.
Informatica quantistica: Il salto (non) troppo lontano
Sebbene la disponibilità diffusa di potenti computer quantistici potrebbe non essere così vicina, le nostre stime indicano che sistemi commercialmente validi dovrebbero emergere verso la fine di questo decennio è tempo di pianificare e prepararsi proattivamente per l’informatica quantistica.
Raccogliere ora, decodificare poi Il potenziale impatto dell’informatica quantistica sulla cybersecurity è innegabile, in quanto rappresenta una minaccia significativa per gli attuali standard di crittografia, che si basano principalmente su problemi matematici che i computer quantistici possono risolvere con relativa facilità. Ma perché preoccuparsi ora? I criminali informatici utilizzano spesso la strategia “raccogliere ora, decodificare dopo”, rubando oggi dati crittografati con la consapevolezza di poterli decodificare con i futuri computer quantistici. Per ridurre questi rischi, il National Institute of Standards and Technology (NIST) ha guidato lo sviluppo di standard di crittografia postquantistica (PQC). Il NIST ha finalizzato tre standard PQC fondamentali: FIPS 203, FIPS 204 e FIPS 205 (con FIPS 206 previsto a breve).
Sebbene la disponibilità diffusa di potenti computer quantistici sia ancora lontana di qualche anno, i rischi sono già presenti e le aziende dovrebbero iniziare a valutarli e pianificare di conseguenza.
In sintesi, prevediamo che il 2025 sarà un altro anno in cui tutte le vie d’attacco verranno costantemente sfruttate. Tuttavia, è fondamentale rendersi conto che il modello di business del ransomware continua a evolvere in modo significativo dal 2017. Mantenersi informati sulle tendenze più recenti è fondamentale così come dare priorità alle strategie di difesa in profondità e multilivello.