L’evoluzione del cybercrime si rileva dagli attacchi informatici, che stanno aumentando in velocità, volume e complessità. Il recente Global Threat Report 2025 di Crowdstrike mette bene in evidenza questo scenario. Un primo dato riguarda il breakout time, ossia il tempo impiegato da un avversario per iniziare a spostarsi progressivamente da un punto di ingresso compromesso al resto della rete: nel 2024 si è passati a un tempo medio di 48 minuti, rispetto ai 62 minuti di appena un anno prima. Addirittura, si è registrato un breakout time di soli 51 secondi, il più rapido mai registrato per un attacco eCrime.
A risaltare, nell’analisi sono anche due l’aumento esponenziale (+442%) del phishing vocale (vishing) e degli attacchi correlati all’accesso iniziale, fase in cui il cyber criminale sfrutta le vulnerabilità identificate per entrare nei sistemi del bersaglio. In questo caso gli attacchi hanno rappresentato il 52% delle vulnerabilità osservate nel 2024.
Access broker: il fiorente mercato della vendita di accessi
Ogni violazione inizia con l’accesso iniziale e gli attacchi basati sull’identità sono tra i metodi di accesso più efficaci. Invece del tradizionale malware, gli avversari preferiscono metodi più rapidi e furtivi come vishing, social engineering, servizi di access broker e abuso di relazioni di fiducia. Un fattore importante alla base di questo cambiamento è l’ascesa degli initial access broker. Ecco, quindi, che si rileva un altro elemento caratteristico dell’evoluzione del cybercrime: il fiorire del business correlato alla fornitura di accessi. Gli initial access broker sono diventati una componente chiave del panorama delle minacce alla cybersecurity: in pratica c’è chi vende accessi agli autori delle cyber minacce, “facilitando una miriade di attività criminali”. Così, l’access as-a-service è diventato un business fiorente. Lo si nota dagli annunci di broker access, aumentati del 50% anno su anno.
Parallelamente, si nota un altro fenomeno: il 79% dei rilevamenti erano privi di malware, in aumento significativo rispetto al 40% del 2019. A questo proposito, gli analisti di Crowdstrike segnalano che:
“ciò sta a significare che i cyber criminali stanno utilizzando tecniche pratiche che si confondono con l’attività legittima degli utenti e ne impediscono il rilevamento”
Sempre nel corso del 2024, le tecniche di accesso iniziale hanno iniziato a cambiare: alcuni cyber criminali hanno iniziato ad allontanarsi dal phishing per passare a metodi di accesso alternativi. “Questo cambiamento suggerisce che gli operatori di malware di base stanno probabilmente trovando infezioni più efficaci e di successo con tecniche innovative, poiché devono affrontare difese di sicurezza rafforzate”. Una di queste tecniche, diffusa nel 2024, è il social engineering basato sulla telefonia.
Il peso crescente della Generative AI e le minacce cloud
Anche il progressivo sviluppo della Generative AI come uno strumento sempre più attraente per gli avversari è uno dei tratti caratteristici dell’evoluzione del cybercrime. I recenti progressi in questo campo hanno migliorato l’efficacia di alcune operazioni informatiche, in particolare quelle che utilizzano social engineering. Questa tendenza troverà quasi certamente spazio nelle operazioni informatiche del 2025.
I Large Language Models e le AI generative che creano immagini realistiche possono generare contenuti convincenti su larga scala anche avendo competenze minime.
Gli LLM possono generare contenuti di e-mail di phishing o siti web di raccolta di credenziali almeno quanto gli esseri umani. Uno studio del 2024 sui tassi di clic delle e-mail di phishing ha indicato che i messaggi di phishing generati dagli LLM avevano un tasso di clic significativamente più alto (54%) rispetto ai probabili messaggi di phishing scritti da esseri umani (12%).
Un altro elemento evidente riguarda le minacce in ambito cloud. Nel 2024, le intrusioni cloud nuove e non attribuite sono aumentate del 26% rispetto al 2023, il che indica che più attori delle minacce cercano di sfruttare i servizi cloud.
Cybercrime: l’ascesa dell’attività correlate alla Cina
Anche a livello geopolitico si è notata una evoluzione del cybercrime. Tra gli Stati, l’attività di collegamento con la Cina è aumentata del 150% in totale, con alcuni settori presi di mira che hanno subito attacchi dal 200% al 300% in più rispetto all’anno precedente. Come riporta Crowdstrike,
“le operazioni di spionaggio informatico della Cina hanno raggiunto nuovi livelli di maturità, con gli avversari che hanno mantenuto un ritmo operativo più elevato rispetto a quello osservato nel 2023”.
Comments are closed.