Sono aumentati esponenzialmente gli attacchi cibernetici a imprese e associazioni
Roma, 28 maggio 2025 – I numeri in costante crescita degli attacchi informatici, sembrano ormai qualcosa di inevitabile. L’arrivo dell’Intelligenza Artificiale sembra peggiorare la situazione, con oltre 485mila eventi di sicurezza (+56%) registrati negli ultimi 12 mesi dal Soc (Security Operation Center) della Yarix. A presentare il report la Var Group, che nell’ottava edizione del suo Y-Report ha sottolineato alcune criticità riscontrate nell’ultimo anno.
I dati del Report
Quasi uno su tre di questi eventi (141 mila, +70% sul 2023) è evoluto in incidente, violazione che ha impattato la sicurezza di dati o sistemi. In questo scenario, gli incidenti di gravità critica sono più che triplicati (+269% su base annua), trend favorito dalla presenza di vulnerabilità in componenti chiave dell’infrastruttura, come firewall e altri dispositivi di sicurezza. I due settori più colpiti sono il Manifatturiero (12,5%), particolarmente esposto a causa della presenza di ambienti produttivi con dispositivi obsoleti e infrastrutture delocalizzate, spesso caratterizzate da una governance limitata, e l’It (11,8%), per via dell’elevato numero di servizi esposti, soggetti a diverse tipologie di vulnerabilità, e per la natura sensibile dei dati trattati. Durante il 2024 sono stati mappati 4.721 eventi ransomware a livello mondiale (+5,5% di rivendicazioni rispetto al 2023), in prevalenza contro Pmi (54%), condotti da 92 gruppi ransomware. Tra questi, RansomHub si conferma quello più attivo, contribuendo da solo al 9,80% degli attacchi totali. L’Italia sale di una posizione e diventa il quarto paese più interessato dai ransomware, dopo Stati Uniti, Regno Unito, Canada e prima della Germania. A livello italiano, gli attacchi ransomware hanno colpito aziende nei settori Manifatturiero (32,5%), Consulenza (9%), It (7,5%), Trasporti (7,5%) e Costruzioni (6,5%), distribuite maggiormente in Lombardia (30,90%), Emilia-Romagna (15,40%) e Veneto (8,80%).
Contesto geopolitico e ‘hacktivismo’
L’Italia è stato il 5° Paese più colpito dai gruppi hacktivisti durante il 2024, sia da collettivi filo-russi con motivazioni principalmente legate alla posizione italiana a supporto del governo di Kiev nel conflitto Russia-Ucraina, come in occasione del primo incontro del 2024 del G7 da Kiev, che da collettivi appartenenti all’area Asia-Pacifico, volti al sostegno della popolazione palestinese e dunque contrari al sostegno italiano ad Israele. I picchi maggiori sono stati registrati in corrispondenza del primo e quarto trimestre del 2024
Ai primi posti dei Paesi più attaccati l’Ucraina, Israele e la Romania, quest’ultima per il valore strategico e militare nel conflitto tra Russia e Ucraina. Al quarto posto l’India, a causa di dispute territoriali o politiche con i Paesi vicini, per cui è stato identificato un picco di attività da parte di collettivi dell’area Asia-Pacifico. Il team di Cyber Intelligence ha registrato 97 gruppi hacktivisti a livello globale, di cui il più attivo è stato il collettivo filorusso NoName057, che ha totalizzato più del 55% degli attacchi per i settori Energia & Utility, Sanità, Banca & Finanza e Trasporti & Logistica.
I collettivi allineati con la Russia hanno concentrato i loro attacchi verso obiettivi ucraini, alleati del governo di Kiev e membri della Nato, giustificando le loro azioni come una risposta al coinvolgimento occidentale nella regione. In altri casi, è stato osservato che gruppi sostenitori del governo di Mosca hanno esteso la loro influenza oltre il conflitto Russia-Ucraina, mostrando sostegno a movimenti interni di alcuni Paesi che hanno causato disagi a livello nazionale. In modo simile, gli attori pro-Palestina e quelli legati ad Anonymous hanno indirizzato i loro attacchi verso paesi che consideravano responsabili delle sofferenze dei civili, con particolare attenzione alla situazione di Gaza; gli hacktivisti dell’area Asia-Pacifico sono stati coinvolti in azioni relat relative a dispute tra India e paesi confinanti, come Bangladesh e Pakistan, e nella causa umanitaria scaturita dal conflitto tra Israele e Hamas.
Intelligenza Artificiale nell’attacco e nella difesa nel 2024
Nel 2024, il team di Incident Response ha gestito 146 compromissioni di sicurezza, (+75,9% rispetto al 2023). Dalle analisi è emerso che l’Ia Generativa è stata impiegata per sviluppare script malevoli, istruzioni automatizzate per eseguire azioni dannose su un sistema informatico; ciò ha permesso di velocizzare la creazione di malware, permettendo anche ad attori meno esperti di lanciare attacchi, e contribuito a una crescente sofisticazione degli stessi. Gli attaccanti sono inoltre sempre più abili a cancellare le loro tracce nei sistemi compromessi, rendendo sempre più complesso ricostruire le loro attività e identificare il punto d’ingresso. Ma l’Ia è uno strumento fondamentale anche per la difesa: a un anno dalla nascita di Egyda, piattaforma di Yarix che integra automazione avanzata, machine learning e intelligenza artificiale all’interno del Soc, il tempo medio di risposta agli eventi è stato ridotto di oltre il 50% grazie a un’elaborazione più rapida e precisa degli alert. Tra le altre principali tendenze osservate dal team: l’adozione di strumenti personalizzati per la compromissione dei sistemi e l’impiego di diversi metodi per criptare i dati, rendendo più difficile il recupero; l’abbassamento della soglia di selezione nei processi di affiliazione. Questo approccio punta ad aumentare il volume degli attacchi e massimizzare i profitti derivanti dai riscatti.