Immagine generata con l'AI
Nel secondo semestre del 2024, l’Italia ha registrato un incremento del 14,3% negli attacchi informatici rispetto ai sei mesi precedenti, scendendo però al quinto esimo posto nella classifica delle nazioni più colpite, grazie all’ascesa dell’India. Il dato emerge dal Risk Report 2024 di Tinexta Cyber, società del gruppo Tinexta, che sottolinea come il nostro Paese sia finito nel mirino di gang sempre più strutturate, capaci di intensificare le attività offensive pur in un contesto globale in cui il numero dei gruppi criminali attivi è in lieve calo.
In Italia, RansomHub è responsabile del 12,5% degli attacchi rilevati (10 casi su 80), mentre DragonForce ha quintuplicato la sua attività in sei mesi, passando da uno a cinque attacchi. Attivi anche i gruppi Argonauts (sei attacchi) e BlackBasta (cinque). L’attività criminale è divenuta più sofisticata, con un utilizzo sempre più mirato di intelligenza artificiale sia nella pianificazione sia nell’esecuzione delle azioni, che comprendono phishing personalizzato, uso di deepfake e tecniche avanzate per eludere i controlli.
A livello globale, il numero complessivo di attacchi è aumentato del 28,3% rispetto al primo semestre dell’anno, con 3.081 incidenti registrati contro i 2.401 dei sei mesi precedenti. I Paesi colpiti sono passati da 99 a 108, con gli Stati Uniti ancora al primo posto (1.561 attacchi), seguiti da Canada (158), Regno Unito (118), India (90) e, appunto, Italia (80).
Il paradosso che emerge dal report è che, a fronte dell’aumento degli attacchi e della diffusione geografica delle minacce, il numero delle gang è diminuito del 5,5%. Questa apparente contraddizione si spiega con il consolidamento del potere tra un numero più ristretto di gruppi, capaci di operare con modalità imprenditoriali. Le gang ransomware più attive sono ormai organizzate in maniera gerarchica e con ruoli ben definiti: sviluppatori, operatori di attacco, broker di accesso, negoziatori di riscatto, riciclatori di denaro e responsabili delle infrastrutture.
Le attività delle forze di polizia internazionali hanno contribuito alla riduzione del numero complessivo di attori, colpendo alcune delle infrastrutture principali utilizzate per distribuire ransomware. Operazioni come “Endgame”, coordinata da Europol nel maggio 2024, hanno preso di mira le botnet usate per lanciare attacchi su larga scala e sono state definite tra le più efficaci mai condotte nel settore.
Gruppi storici come LockBit hanno subito un rallentamento, mentre nuove sigle come RansomHub (+25% di attività), Argonauts e Saarcoma hanno adottato strategie più aggressive. Queste organizzazioni combinano diversi vettori di accesso e usano architetture decentralizzate per sfuggire al monitoraggio, aumentando l’efficacia degli attacchi e riducendo la loro rintracciabilità.
Andrea Monti, direttore generale di Tinexta Cyber
L’intelligenza artificiale gioca un ruolo sempre più centrale nelle nuove campagne di attacco. È impiegata per generare messaggi di phishing verosimili, creare deepfake, negoziare riscatti in modo automatizzato e aggirare i sistemi di difesa. Secondo Andrea Monti, direttore generale di Tinexta Cyber, “le nuove normative europee, come Nis2 e il Cyber Resilience Act, innalzano i requisiti di sicurezza, ma i cybercriminali si muovono con rapidità maggiore. La cybersecurity oggi è una priorità strategica, non solo una funzione tecnica”.
Un’altra tendenza in crescita è l’adozione del modello Malware-as-a-Service (MaaS), che consente anche a soggetti meno esperti di lanciare attacchi complessi grazie alla disponibilità di software dannoso in abbonamento. Strumenti come FormBook, AgentTesla e RedLine Stealer sono venduti attraverso piattaforme gestite da gruppi come Lumma, e sono spesso impiegati nelle fasi iniziali di attacchi ransomware.
Le criptovalute rappresentano un ulteriore terreno fertile per i cybercriminali. Tecniche come l’address poisoning, che indirizzano le vittime verso wallet falsi, si diffondono sfruttando l’interesse crescente verso gli asset digitali. Le gang utilizzano questi strumenti per il riciclaggio dei proventi e per rendere più difficile il tracciamento dei flussi finanziari.