È uno dei principali dati emersi dal nuovo Internet Security Report pubblicato da WatchGuard Technologies, realtà specializzata in soluzioni di cybersecurity unificata per fornitori di servizi gestiti (MSP). Un numero così alto non era mai stato registrato dal Threat Lab dell’azienda, che nel report analizza anche le evoluzioni delle minacce a livello di rete, endpoint ed email.
Secondo WatchGuard, gli attaccanti stanno sempre più abbandonando le tecniche tradizionali per adottare approcci più sofisticati ed evasivi, resi possibili dall’uso dell’intelligenza artificiale e da strumenti di offuscamento sempre più efficaci. È proprio il boom dell’IA ad aver modificato il panorama delle minacce, influenzando la natura, i vettori e le modalità di distribuzione dei malware.
Una delle evidenze più significative riguarda il ruolo delle tecnologie predittive. Il rilevamento proattivo basato su machine learning, integrato nella soluzione IntelligentAV (IAV) di WatchGuard, è aumentato del 323%, segnalando una crescita dei malware zero-day progettati per eludere i sistemi basati su firme. Anche i rilevamenti effettuati dal Gateway AntiVirus (GAV) hanno registrato un +30%, mentre le minacce veicolate tramite TLS sono aumentate di 11 punti percentuali, sottolineando il crescente utilizzo di canali cifrati per aggirare i controlli di sicurezza.
Questi dati confermano che gli strumenti di difesa tradizionali non sono più sufficienti. Gli attaccanti sfruttano tecniche sempre più sofisticate di cifratura, offuscamento e manipolazione del traffico, spingendo le aziende verso la necessità di soluzioni adattive e dotate di visibilità estesa sul traffico cifrato.
Crescono le minacce sugli endpoint
Preoccupante anche il dato relativo agli endpoint: nel primo trimestre dell’anno, le nuove minacce uniche rilevate sono aumentate del 712%, interrompendo una tendenza al ribasso che durava da tre trimestri consecutivi. Tra le minacce più frequenti spicca LSASS dumper, un malware specializzato nel furto di credenziali, in grado di bypassare la modalità utente ed eseguire istruzioni direttamente in kernel mode, aprendo la strada a compromissioni sistemiche.
Il ritorno aggressivo dei malware sugli endpoint è sintomatico di un rinnovato interesse da parte dei cybercriminali per il controllo diretto dei dispositivi, sfruttando tecniche di living-off-the-land e malware progettati per eludere la rilevazione in tempo reale.
Il paradosso del ransomware in calo
Il report evidenzia un dato in apparente controtendenza: il ransomware è diminuito dell’85% rispetto al trimestre precedente. Tuttavia, tra i payload più rilevati figura ancora il Termite ransomware, a testimonianza del fatto che questa categoria di malware non è scomparsa. Piuttosto, gli attaccanti stanno spostando l’attenzione dal blocco dei dati al loro furto e utilizzo per estorsioni secondarie, anche in virtù della crescente efficacia delle strategie di backup e disaster recovery adottate dalle aziende.
Altro dato interessante riguarda la modalità di veicolazione delle minacce. WatchGuard rileva che le email superano il web come vettore principale di distribuzione del malware, grazie a tecniche di phishing sempre più raffinate, spesso potenziate da strumenti di generazione automatica basati su IA. In questo contesto, emergono minacce come Trojan.Agent.FZPI, un file HTML malevolo che combina comunicazioni cifrate e contenuti legittimi per aggirare i controlli.
La pericolosità di questa minaccia risiede nella sua natura ibrida: si presenta come un semplice allegato HTML, ma in realtà è un veicolo per caricare contenuti dannosi via connessioni criptate. È il sintomo di una tendenza più ampia che spinge le organizzazioni ad adottare tecniche di ispezione TLS, analisi comportamentale e protezione avanzata degli endpoint.
Geografia, specializzazione delle minacce e AI in azione
Il malware più diffuso nel periodo analizzato è stato Application.Cashback.B.0835E4A4, una nuova variante osservata in particolare in Cile e Irlanda. Questo dimostra come le campagne malware possano essere progettate con una logica geografica o regionale, e quanto sia importante per le aziende adottare difese in grado di adattarsi a minacce localizzate.
Anche sul fronte della rete, il report mostra un calo del 16% nel numero di firme di attacco uniche rilevate, segnale che gli attaccanti si concentrano oggi su exploit selezionati e vulnerabilità legacy non ancora risolte. Questo rende fondamentale l’adozione di una strategia di patch management solida e tempestiva.
Chiudiamo con un pensiero di Secondo Corey Nachreiner, chief security officer di WatchGuard Technologies: “La guerra dell’IA è cominciata. Gli attaccanti la utilizzano per potenziare phishing, social engineering e automazione delle campagne malevole, rendendo obsolete molte delle contromisure tradizionali”. Ma allo stesso tempo, strumenti di IA e machine learning si rivelano preziosi alleati anche per chi difende: nel solo primo trimestre del 2025, hanno consentito di identificare e bloccare un numero significativamente più elevato di minacce rispetto al passato.