Il panorama informatico si fa sempre più minaccioso. Con l’evoluzione della tecnologia, evolvono anche le tecniche di attacco, che spesso, diventano imprevedibili. Unit 42, il threat intelligence team di Palo Alto Networks, ha pubblicato il Global Incident Response Report 2025, rivelando come l’86% dei principali cyberattacchi nel 2024 abbia causato tempi di inattività operativa, danni alla reputazione o perdite finanziarie. Il report, che analizza 500 incidenti informatici gravi, in tutti i principali settori, a cui Unit 42 ha risposto in 38 Paesi, evidenzia una nuova tendenza: gli attaccanti, spinti da motivazioni finanziarie, hanno modificato il proprio obiettivo, focalizzandosi sulle interruzioni deliberate delle operazioni, dando priorità al sabotaggio – distruggendo i sistemi, bloccando i clienti e causando tempi di inattività prolungati – per massimizzarne l’impatto e fare pressione sulle aziende affinché paghino il riscatto richiesto.
Cyberattacchi sempre più rapidi e pericolosi
Mentre gli attaccanti riscrivono le regole di ingaggio, i difensori si affannano per mantenere il passo. Il nuovo playbook dei cybercriminali è multiforme, focalizzato sul cloud e guidato dall’intelligenza artificiale. Questi alcuni dei principali trend che il Global Incident Response Report 2025 mette in luce:
- I cyberattacchi si muovono più rapidamente che mai: i malintenzionati hanno esfiltrato dati in meno di 5 ore nel 25% degli incidenti, ovvero tre volte più velocemente rispetto al 2021. Ancora più allarmante è che in un caso su cinque il furto di dati sia avvenuto in meno di un’ora.
- L’ascesa delle minacce interne: nel 2024 sono triplicati gli incidenti di matrice insider legati alla Corea del Nord. Attori sponsorizzati dallo Stato nordcoreano si sono infiltrati nelle organizzazioni spacciandosi per professionisti IT, assicurandosi un impiego per poi introdurre metodicamente backdoor, sottrarre dati e persino alterare codice sorgente.
- Gli attacchi su più fronti sono la nuova norma: il 70% degli incidenti ha visto cybercriminali sfruttare tre o più superfici di attacco, costringendo i team di sicurezza a destreggiarsi tra endpoint, reti, ambienti cloud e fattore umano.
- Torna in auge il phishing: dopo le vulnerabilità, che nel 2023 avevano conquistato il primo posto tra i vettori di accesso iniziale, nel corso dello scorso anno il phishing è tornato a essere il punto di ingresso più comune per i cyberattacchi, responsabile del 23% di tutti gli accessi iniziali. Alimentate da intelligenza artificiale generativa, le campagne di phishing sono ora più sofisticate, convincenti e scalabili che mai.
- Aumento degli attacchi cloud: quasi il 29% degli incidenti informatici ha coinvolto ambienti cloud, con il 21% che ha causato danni operativi ad ambienti o risorse cloud, con gli attori di minacce che si sono inseriti in ambienti mal configurati per analizzare estese reti alla ricerca di dati preziosi.
- L’intelligenza artificiale sta accelerando il ciclo di vita dei cyberattacchi: i cybercriminali utilizzano metodi basati su intelligenza artificiale per rendere le campagne di phishing più convincenti, automatizzare lo sviluppo di malware e accelerare la progressione attraverso la catena di attacco, rendendo gli attacchi più difficili da rilevare e veloci da eseguire. In un esperimento controllato, i ricercatori di Unit 42 hanno scoperto che quelli assistiti da intelligenza artificiale possono ridurre il tempo di esfiltrazione a soli 25 minuti.
Perché i cyberattacchi hanno successo
Il report sottolinea tre fattori principali che consentono agli attaccanti di avere successo:
- La complessità mette a dura prova l’efficacia della sicurezza: il 75% degli incidenti aveva evidenze nei log, ma i silos ne impedivano la rilevazione.
- La mancanza di visibilità consente agli attacchi di passare inosservati: il 40% degli incidenti cloud derivava da risorse cloud non monitorate e da shadow IT, rendendo più facile il movimento laterale per i malintenzionati.
- L’eccessiva fiducia rende i cyberattacchi più devastanti: il 41% ha sfruttato privilegi eccessivi, consentendo movimenti laterali ed escalation dei privilegi.
Gli attaccanti hanno riscritto i loro playbook sfruttando intelligenza artificiale, automazione e strategie di attacco su più fronti per aggirare le difese tradizionali. Il tempo che intercorre tra la compromissione iniziale e l’impatto su larga scala si sta riducendo, rendendo ancor più fondamentale la rapidità nelle attività di rilevamento, risposta e remediation.
Oggi più che mai, la chiave per una difesa efficace contro i cyberattacchi è proteggere in modo proattivo reti, applicazioni e cloud, oltre a potenziare le security operations con rilevamento e risposta guidati dall’intelligenza artificiale per una visibilità completa e una mitigazione più rapida delle minacce.
Dichiarazioni
“Velocità, sofisticazione e portata dei cyberattacchi hanno raggiunto livelli senza precedenti, con la crescente presenza di minacce assistite da intelligenza artificiale e intrusioni su più fronti, sottolineando come nel 2024 le organizzazioni si siano trovate ad affrontare un panorama di minacce sempre più dinamico”, sottolinea Sam Rubin, SVP, Consulting and Threat Intelligence di Unit 42.
