L’analisi sottolinea come il tradizionale approccio difensivo non sia più sufficiente a contrastare la rapidità e la scala degli attacchi moderni. L’impiego massivo dell’automazione ha permesso agli attaccanti di restringere i tempi nelle varie fasi dell’incursione, attraverso una mappatura globale e continua delle vulnerabilità esposte. I numeri sono allarmanti: nel solo 2024 si sono registrate miliardi di scansioni al mese, pari a circa 36.000 al secondo, dirette contro protocolli strategici in ambienti industriali, IT e IoT. Questa strategia "shift left" consente agli aggressori di agire tempestivamente, sfruttando i punti deboli prima ancora che vengano rilevati dai sistemi di difesa.
Il fenomeno è amplificato dalla forte crescita dell’ecosistema criminale strutturato, in cui le piattaforme del dark web funzionano come veri e propri hub commerciali. I kit di exploit, accessibili a basso costo, sono diventati strumenti standardizzati, alimentati da un’enorme quantità di nuove vulnerabilità: nel 2024 ne sono state registrate oltre 40.000, con un incremento del 39% rispetto all’anno precedente. La vendita di credenziali aziendali e di accessi remoti attraverso canali underground ha permesso a una platea crescente di attori non sofisticati di lanciare attacchi su larga scala.
Inoltre, i criminali sono bravissimi a sfruttare le novità e l’intelligenza artificiale è ormai pienamente integrata nelle loro strategie operative. Strumenti come FraudGPT, ElevenLabs e BlackmailerV3 vengono utilizzati per generare contenuti convincenti, eludere i controlli antiphishing e realizzare campagne personalizzate, efficaci e difficili da intercettare. In assenza di limitazioni etiche, l’IA offensiva sta superando quella difensiva per scalabilità e velocità, ponendo le aziende in una posizione di crescente vulnerabilità.
Settori strategici sotto pressione: colpiti i gangli produttivi
Il report evidenzia un'intensificazione degli attacchi mirati ai settori industriali più sensibili. Le imprese manifatturiere, i servizi finanziari e il comparto sanitario figurano tra i più bersagliati, sia da attori statali sia da operatori di ransomware-as-a-service. Le offensive sono progettate per massimizzare il danno economico e compromettere infrastrutture critiche, con un impatto diretto su continuità operativa, reputazione e compliance normativa.
Le infrastrutture cloud e le tecnologie connesse rappresentano una superficie d’attacco particolarmente esposta. La combinazione di errori di configurazione, gestione inefficace dei privilegi e monitoraggio identitario carente ha facilitato numerosi attacchi. In oltre il 70% dei casi analizzati, l’accesso iniziale è avvenuto attraverso login anomali da località geograficamente sospette, dimostrando l’urgenza di rafforzare i sistemi di controllo delle identità e dei permessi all’interno degli ambienti cloud-native.
L’economia delle credenziali rubate alimenta nuovi scenari di rischio
Le credenziali continuano a rappresentare uno degli asset più importanti del crimine digitale. Nel corso del 2024 sono stati condivisi oltre 100 miliardi di record compromessi nei forum clandestini, con un incremento del 42% rispetto all’anno precedente. L’uso diffuso di combo list ha alimentato attacchi automatizzati come il credential stuffing, abilitando furti d’identità, frodi bancarie e compromissioni aziendali. Il fenomeno si traduce in un moltiplicatore di rischio per tutte le organizzazioni che ancora non adottano strategie robuste di protezione degli account e monitoraggio degli accessi.