Gli attacchi informatici nel mondo sono aumentati sensibilmente (+28,3%) nel secondo semestre del 2024 rispetto ai sei mesi precedenti ma le “gang” criminali che li hanno scatenati sono diminuite del 5,5% grazie all’efficacia di alcune operazioni di polizia internazionali e al concentrarsi del potere su pochi gruppi strutturati come “aziende”. Il “Risk Report 2024” di Tinexta Cyber (Gruppo Tinexta), rileva come sia aumentato (+9,1%) anche il numero dei Paesi colpiti. Gli Stati Uniti rimangono al primo posto per attacchi subiti (1.561) seguiti da Canada (158) e Regno Unito (118); l’India entra al quarto posto (90) spingendo l’Italia al quinto (80).
In Italia, in particolare, è stato osservato un incremento di attacchi informatici del 14,3% rispetto al semestre precedente, e un crescente coinvolgimento di alcune gang: RansomHub, ad esempio, è responsabile del 12,5% degli attacchi (10) nel nostro Paese, mentre DragonForce in soli sei mesi ha quintuplicato la sua attività (da 1 a 5 attacchi). Si fanno notare anche Argonauts (6 attacchi) e BlackBasta (5).
I trend degli attacchi informatici del 2024
Il 2024 è stato caratterizzato da una escalation senza precedenti degli attacchi informatici di tipo ransomware (furti di dati sensibili con richiesta di riscatto), con dinamiche che hanno ridefinito il panorama della cybersecurity a livello globale. Nella seconda metà dell’anno, il numero di Paesi colpiti è passato da 99 a 108 e le vittime sono state 3.081 contro le 2.401 del primo semestre. Questo trend, apparentemente in contraddizione con i dati sulla diminuzione del numero di gang attive, suggerisce la concentrazione del potere criminale in mano a gruppi molto più organizzati, capaci di progettare e portare a termine degli attacchi su larga scala ottimizzando al massimo le risorse: le gang operano come vere e proprie imprese, con membri che ricoprono ruoli specifici per ottimizzare l’efficacia e massimizzare i profitti.
Le operazioni di cyber polizia dell’ultimo anno hanno colpito infrastrutture chiave del ransomware, bloccato fondi illeciti e arrestato membri di spicco delle gang cybercriminali, principalmente dall’Est Europa. Gruppi storici, come LockBit, sono stati duramente colpiti al punto da abbassarne sensibilmente le attività in alcuni periodi dell’anno. A maggio, 2024, ad esempio, è stata chiusa l’operazione “Endgame” definita dall’Europol “la più grande operazione mai condotta contro le botnet”, che ha colpito le infrastrutture usate per distribuire ransomware.
I nuovi gruppi, come RansomHub (+25%), Argonauts e Saarcoma, hanno adottato strategie più aggressive, combinando attacchi informatici che utilizzano più di un metodo di acceso e tecniche di evasione avanzate, come il ricorso a strutture decentralizzate per evitare il tracciamento.
L’integrazione dell’intelligenza artificiale nelle campagne di phishing, inoltre, ha reso gli attacchi informatici più realistici e difficoltosi da individuare, con e-mail e messaggi personalizzati che simulano con accuratezza il linguaggio di istituzioni e aziende. In parallelo, il settore delle criptovalute è stato bersaglio di strategie come l’address poisoning che induce le vittime a trasferire fondi a indirizzi corrotti, sfruttando l’interesse crescente per queste tecnologie. Inoltre è stato osservata una crescita esponenziale e continua del modello Malware-as-a-Service (MaaS), in cui sviluppatori di malware – software e programmi capaci di apportare danni a un sistema informatico – creano e vendono l’accesso ai propri codici dannosi tramite vere e proprie piattaforme su abbonamento. Questo modello, sempre più diffuso, ha reso strumenti avanzati come FormBook, AgentTesla o RedLine Stealer accessibili anche ad attori meno specializzati, abbassando la barriera d’ingresso per le attività cybercriminali. Gruppi come Lumma, stanno dominando la scena, proponendo malware facili da utilizzare seguiti da campagne massive come clickfix. In aggiunta il malware viene abusato anche da ransomware gang per la parte di initial access.
Come funziona una gang ransomware
I criminali hacker specializzati nella creazione di questo tipo di software malevolo, finalizzato a rubare informazioni per chiedere un riscatto, sono solitamente molto organizzati con ruoli specializzati che variano in base alle dimensioni del gruppo e competenze dei singoli individui. Idealmente, al vertice ci sono gli sviluppatori, che creano e aggiornano il malware. Gli operatori eseguono gli attacchi informatici tramite phishing mirato e sfruttamento di vulnerabilità, mentre gli access broker vendono accessi a sistemi compromessi, agevolando la diffusione del ransomware. I negoziatori trattano i pagamenti dei riscatti, i riciclatori convertono i proventi illeciti in valuta legale e gli amministratori coordinano strategie e obiettivi. Altri ruoli includono analisti di vulnerabilità, specialisti in ingegneria sociale, gestori di infrastrutture, esperti di anonimato e analisti finanziari.
Dichiarazioni
“Il panorama delle minacce informatiche si sta trasformando rapidamente, spinto anche dall’integrazione massiccia dell’intelligenza artificiale nelle tecniche di attacco”, commenta Andrea Monti, direttore generale di Tinexta Cyber. “Le nuove normative europee, come NIS 2 e Cyber Resilience Act, impongono standard di sicurezza più elevati, ma i cybercriminali evolvono ancora più in fretta. Oggi vediamo gang che incorporano l’IA nel loro modus operandi non solo per creare attacchi mirati e deepfake ultra-realistici, ma anche per negoziare autonomamente i riscatti con le vittime o aggirare le difese. In questo contesto, la cybersecurity non può più essere considerata una semplice componente IT: è diventata una priorità strategica per ogni organizzazione”.
