mitigare gli attacchi non convenzionali

L’Anti-ransomware Day 2025, giunto alla sesta edizione, è stato istituito il 12 maggio 2020 da Interpol, in collaborazione con Kaspersky, per tenere memoria dell’anniversario del famigerato attacco ransomware WannaCry, risalente al 12 maggio 2017.

In Italia, dal 2023 al 2024, gli utenti vittime di attacchi ransomware sono saliti dello 0,48%, con un aumento dello 0,10%. Ma “siamo ancora qui a rassicurarci con percentuali risicate, come se un attacco ransomware fosse solo una questione statistica. Il ransomware non è più una grandinata: è un cecchino. Non spara a caso, colpisce dove fa più male e se ne va prima che te ne accorga”, denuncia Sandro Sana, Cyber security division manager.

“Un calo delle rilevazioni a livello globale, non deve rassicurare perché le rilevazioni vengono fatte su ciò che è noto, tutta la parte innovativa del settore ransomware continua a riuscire nell’intento, come notiamo dall’osservatorio Ransomfeed che registra un costante aumento invece delle rivendicazioni“, avverte Dario Fadda, Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

Queste percentuali, apparentemente basse, non devono infatti trarre in inganno, perché il nostro Paese è tra quelli maggiormente esposti per motivi geostrategici, e perché i cyber criminali non sfruttano questo tipo di malware su larga scala, ma attaccano in maniera mirata obiettivi di alto profilo. Minimizzano il numero complessivo di incidenti, massimizzando i profitti.

“Il rapporto conferma un quadro preoccupante per quanto concerne le dinamiche dietro la minaccia ransomware”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus: dinamiche “che seguono l’evoluzione tecnologica (come l’AI, ndr), a dimostrazione dell’efficacia delle operazioni criminali dietro questa minaccia”.

Infatti, il “game changer” è il “connubio dell’uso dell’AI con il modello Ransomware-as-a-service“, mette in guardia Enrico Morisi, Ict Security manager.

Inoltre, “è opportuno ricordare che questa tipologia di minaccia non viene dal nulla, ma prospera in uno scenario di incertezza e frammentazione geopolitica globale“, sottolinea Federico Savastano, Cyber Threat Intelligence Analyst di Maticmind.

Ecco quali lezioni si possono trarre da questa giornata mondiale, nata per rafforzare la consapevolezza globale sui ransomware e promuovere le best pratice per mitigare i rischi legati a questa temibile minaccia.

Le dinamiche che si celano dietro la minaccia ransomware

Gli strumenti di intelligenza artificiale aiutano sempre più gli attaccanti nello sviluppo di ransomware.

“Tra le tendenze emergenti spicca l’uso crescente dell’intelligenza artificiale, come nel caso del gruppo FunkSec, comparso a fine 2024. Questo gruppo utilizza codice generato da AI e commentato probabilmente con LLM per migliorare efficacia e occultamento”, mette in guardia Paganini.

La cyber criminalità sta sviluppando LLM (Large Language Model) su misura per estendere la portata e l’effetto del ransomware. LLM, in vendita sul dark web, abbassano infatti la barriera tecnica per creare codice malevolo, campagne di phishing e attacchi di social engineering, consentendo anche ad attori privi di esperienza di realizzare esche più personalizzate e persuasive o di automatizzare la distribuzione del ransomware.

“Il dato vero è che gli attacchi sono sempre più invisibili, chirurgici, automatizzati. I nuovi gruppi – come FunkSec – usano AI, LLM e attacchi low-cost ad alto impatto. Colpiscono il fornitore che ha la VPN bucata, il server obsoleto dimenticato in magazzino, il NAS senza patch”, avvisa Sandro Sana: “Svegliamoci. Le PMI sono l’anello debole e lo sanno tutti… tranne loro”, rimaste a illudersi “che basti un antivirus aggiornato e un backup su NAS per stare tranquilli”.

RPA (Robotic Process Automation) e LowCode, con un’interfaccia mmediata, visiva e assistita dall’AI per sviluppare software in pochi passaggi, aiutano gli sviluppatori di software.

Dunque, si prevede che anche i developer di ransomware si avvaleranno di questi tool per l’automatizzazione dei loro attacchi e per sviluppare nuovo codice, rendendo ancora più “democratica” e popolare la minaccia del ransomware.

La ricetta a base di AI di FunkSec

“Gli aspetti, emersi dal report di Kaspersky, che caratterizzerebbero il fenomeno ransomware sullo scacchiere geopolitico mondiale, sono molto interessanti ed allineati a quelli di altre fonti autorevoli del settore”, sottolinea Enrico Morisi.

Infatti, il gruppo ransomware FunkSec, apparso a fine 2024, ha compiuto presto il sorpasso sui già affermati Cl0p e RansomHub, mietendo vittime nel solo mese di dicembre. Deve il suo rapido successo al modello Ransomware-as-a-Service (RaaS) di FunkSec sfrutta strategie di doppia estorsione, abbinando la crittografia dei dati alle operazioni di esfiltrazione.

I settori più colpiti dal gruppo ransomware sono quello governativo, tecnologico, finanziario e dell’istruzione in Europa e Asia.

Ma il suo tratto distintivo è sopprattutto l’utilizzo di strumenti fondati sull’AI: il suo ransomware vanta infatti un codice generato dall’intelligenza artificiale, accompagnato da commenti perfetti, frutto dell’uso di LLM per ottimizzare lo sviluppo ed impedire il rilevamento.

FunkSec si distingue per l’elevato volume a basso costo (senza risarcimenti non milionari) e lo sfruttamento dell’intelligenza artificiale per facilitare le operazioni. Infatti “diversamente da altri gruppi, adotta una strategia di attacchi su larga scala con riscatti bassi, sfruttando l’AI per automatizzare e ottimizzare le sue operazioni”, conferma Paganini.

“L’intelligenza artificiale, incidendo su velocità, costi e capacità di automazione, e abbassando notevolmente le barriere tecniche di accesso, per esempio, allo sviluppo di codice e alla preparazione di sempre più sofisticati attacchi di social engineering, rappresenta un autentico game changer anche in questo ambito, in connubio con il modello Ransomware as a service, che potremmo definire esplosivo, sia in termini di numero di attori coinvolti, e quindi di organizzazioni target, sia in termini di volume d’affari”, mette in guardia Morisi.

Il modello RaaS

Per ridurre la soglia della barriera tecnica per il cyber crime, il modello Ransomware-as-a-Service (RaaS) domina lo schema degli attacchi ransomware.

Questo approccio democratizza gli attacchi, consentendo anche ad attaccanti meno competenti di sferrare attacchi sofisticati, contribuendo così alla creazione di nuovi gruppi emergenti di ransomware solo l’anno scorso.

Nel 2024, infatti, le piattaforme RaaS come RansomHub hanno registrato promettenti risultati grazie a malware, assistenza tecnica e iniziative di affiliazione che permettono di suddividere gli importi dei riscatti. Ma quest’anno si prevede l’evoluzione dei ransomware pronti a sfruttare vulnerabilità non convenzionali.

L’evoluzione dei ransomware: attenti agli attacchi non convenzionali

La banda Akira ha usato le webcam per bypassare i sistemi di rilevamento e risposta degli endpoint, infiltrandosi nelle reti interne. Si stima che saranno sempre più bersaglio di attacchi i punti di accesso come dispositivi IoT, gli smart device o hardware non configurati ad hoc sui luoghi di lavoro.

L’ampliamento della superficie d’attacco, a causa dei sistemi interconnessi, consente ai cyber criminali di perfezionare le loro tattiche, focalizzandosi sulla ricognizione furtiva e sul movimento laterale dentro le reti.

Bisogna ascoltare “il monito lanciato dal rapporto”, concorda Paganini; infatti “ci si attende che il ransomware evolverà sfruttando vulnerabilità non convenzionali, come webcam e dispositivi IoT. Gli attaccanti punteranno su accessi trascurati e poco presidiati, e useranno tecniche furtive per eludere le difese tradizionali e colpire con precisione chirurgica“.

Mentre le imprese si limitano a potenziare le difese classiche. i criminali informatici sono impegnati nella distribuzione di ransomware pià mirati e precisi, impedendo il rilevamento e le risposte tempestive dei difensori.

Infatti, l’Anti-ransomware day, anche nel 2025, “è l’occasione per sottolineare l’importanza dell’ethical hacking nella prevenzione. Il ransomware nasce da catene di compromissione evitabili: vulnerabilità note, errori di configurazione e fattore umano”, evidenzia Gianfranco Cipriani, Penetration Tester di Maticmind.

Il fattore geopolitico

“La presenza di gruppi ransomware supportati o tollerati dagli Stati di appartenenza rende difficoltosi i tentativi di law enforcement internazionali. Se un gruppo ransomware è ‘armato’ dallo Stato di appartenenza, o da esso tollerato a fronte della promessa di colpire solo entità di Stati rivali, ecco che il confine tra cyber crime e cyber-warfare diventa impalpabile. Sono diverse, infatti, le gang con una vittimologia ben precisa, che fa propendere per un uso politico di questo strumento“, mette un guardia Federico Savastano.

Le aree più colpite a livello globale

Le regioni del Medio Oriente, dell’Apac (Asia-Pacifico) e dell’Africa svettano nella classifica di utenti colpiti da attacchi di tipo ransomware. Invece l’America Latina, la Csi (comunità degli stati indipendenti) e l’Europa sono in posizioni più arretrate.

La veloce trasformazione digitale, l’ampliamento delle superfici di attacco e i differenti livelli di maturità della cyber security sono i fattori che fanno la differenza.

Maggiormente nel mirino sono le imprese dell’Apac, appartenenti a Paesi con economie più crescita e nuove normative sulla privacy.

“Trattandosi di cyber crime e di massimizzazione del risultato col minimo sforzo, è evidente che lo sviluppo economico e la trasformazione digitale di un Paese, essendo correlati con la dimensione e la complessità delle superfici di attacco delle organizzazioni, incidono significativamente sull’interesse dei threat actor, e dovrebbero quindi essere sempre accompagnati anche dallo sviluppo di opportuni programmi di information security, supportati da investimenti adeguati e, possibilmente, da quadri normativi equilibrati ed efficaci, senza mai dimenticare che è sempre la promozione della cultura della sicurezza ad essere vincente”, avverte Enrico Morisi.

Il panorama italiano

“Sebbene i dati relativi all’Italia mostrino solo un lieve incremento di casi (+0,48%), il nostro Paese rientra tra i Paesi maggiormente esposti, soprattutto per l’interesse strategico che alcuni settori rappresentano per i gruppi di cybercriminali”, spiega Paganini.

“I gruppi ransomware prediligono aziende con infrastrutture critiche, dati sensibili e capacità di pagamento elevate“, avverte Paganini: “L’adozione dello smart working, l’espansione dell’IoT e la diffusione di dispositivi non gestiti ampliano la superficie d’attacco”.

“Questo calo è infatti accompagnato da un aumento degli attacchi mirati verso obiettivi ad alto valore, come ospedali, istituzioni finanziarie e infrastrutture critiche“, conferma Dario Fadda: “Interessante è la crescente endenza verso attacchi cross-platform e l’uso di tecniche sofisticate come il Byovd, che sfrutta driver vulnerabili per eludere le difese di sistema”.

Anti-Ransomware Day 2025: come mitigare il rischio

Il ransomware paralizza imprese, governi e privati, erodendo fiducia ed attaccando le attività commerciali. Ma “prospera grazie all’inerzia: la prevenzione è la migliore difesa”, secondo Paolo Cecchi, Sales Director della Mediterranean Region di SentinelOne, che suggerisce che “un grammo di prevenzione è meglio di un chilo di cura”: “il ransomware è prevenibile con le giuste strategie, perché quando ci difendiamo insieme, realizziamo un mondo digitale più resiliente”, spiega Cecchi.

“Per le aziende italiane, la chiave di difesa risiede in una strategia multilivello che includa patching tempestivo, segmentazione di rete, backup sicuri e ormazione continua del personale. Inoltre per l’Anti-Ransomware day abbiamo lanciato CERT-Ransomfeed, che permette a tutte le PMI che non ne sono dotate di installare gratuitamente un agent di monitoraggio sulle proprie macchine, capace di rilevare software vulnerabile non aggiornato, tentativi di attacco e attività malevole con alert tempestivi“, consiglia Dario Fadda.

Una governance cyber resiliente

In occasione dell’anti-ransomware Day 2025, occorre proteggere tutti gli endpoint da ransomware, aggiornare i sistemi, segmentare a rete, monitorare in tempo reale, effettuare backup (crittografati) e formazione continua degli utenti.

“Per difendersi, serve un approccio integrato: segmentazione di rete, patching continuo, monitoraggio in tempo reale, backup resilienti e una forte cultura della sicurezza a tutti i livelli aziendali”, mette in guardia Paganini.

Infatti serve “una governance cyber resiliente. Il ransomware è una minaccia sistemica che impone un approccio integrato tra gestione del rischio, compliance normativa e misure tecniche efficaci“, avverte Tullia Mauro, GRC Consultant Maticmind: “Normative europee come NIS2, CER e DORA richiedono prevenzione, rilevazione e risposta agli incidenti. Servono cultura del rischio, formazione mirata, piani di risposta, segmentazione di rete, backup sicuri e monitoraggio continuo. La compliance è solo l’inizio: la vera sfida è costruire resilienza operativa con processi solidi e difese proattive“.

“Creare consapevolezza informatica a tutti i livelli è importante quanto investire nella giusta tecnologia”, conferma Marc Rivero, Lead Security Researcher at Kaspersky’s GReAT.

Un approccio integrato

Dal Global Threat Report 2025 di CrowdStrike emerge che il 79% degli attacchi iniziali avviene ormai senza impiego di malware, mentre l’attività degli access broker cresce del 50% rispetto all’anno precedente. “Questo evidenzia un chiaro spostamento verso attacchi furtivi basati su credenziali, rendendo obsolete le difese tradizionali”, dichiara Fabio Fratucello, Field CTO World Wide di CrowdStrike.

“Serve una piattaforma unificata, nativamente basata sull’intelligenza artificiale, in grado di offrire protezione e visibilità su endpoint, identità e cloud. Questo approccio integrato non solo colma le lacune di protezione lungo l’intero ciclo di vita degli attacchi, ma riduce anche i costi e la complessità operativa: un vantaggio per i CISO e per i consigli di amministrazione, impegnati a rafforzare la resilienza senza sacrificare l’agilità”, aggiunge Fabio Fratucello.

Inoltre attività come “penetration test e red teaming sono essenziali per testare la resilienza reale dei sistemi, oltre le policy dichiarate”, conclude Gianfranco Cipriani: “In un contesto operativo in continua evoluzione servono verifiche tecniche efficaci, non solo formali. Simulare gli attaccanti consente di anticiparli. La vera resilienza è sapersi mettere alla prova prima che lo facciano altri”.

Basta farsi trovare con le difese abbassate: “Segmentazione, threat intelligence, monitoraggio continuo e formazione vera – non il solito webinar da 20 minuti in pausa caffè. Il ransomware non aspetta. E non perdona”, conclude Sandro Sana.

Infine, in un panorama di questo tipo, “è decisivo dotarsi di una linea di difesa, in particolare di un servizio di Security operation center (Soc), supportata da un paniere di soluzioni tecnologiche che consentano di avere completa o comunque massima visibilità sui dati, gli asset, le applicazioni e i servizi dell’organizzazione, avendo svolto preventivamente opportune attività di risk assessment, applicando con rigore i principi di base dell’information security, e ricorrendo a strategie estremamente efficaci come la Defense in Depth e lo Zero Trust: in definitiva, puntando sulle persone, sui processi e sulle tecnologie”, conclude Enrico Morisi.

La cyber difesa nei dettagli

Occorre “ribadire l’importanza di un monitoraggio continuo e di una correlazione efficace degli eventi. Solo così è possibile intercettare i segnali e fermare i comportamenti sospetti. La threat intelligence gioca un ruolo chiave permettendo di anticipare le TTP degli attaccanti e potenziare le difese in modo mirato e proattivo”, conclude Andrea Mariucci, Head of Cyber Defence Center di Maticmind.

Nello specifico, “aldilà dell’incessante e instancabile promozione dell’ABC dell’Information Security (Awareness, Behaviour and Culture) è fondamentale aderire a servizi di Threat Intelligence, implementare processi adeguati di vulnerability management, Threat Hunting e Data Loss Prevention, monitorare il traffico ‘egress’, segmentare e segregare le reti, sia internamente sia verso l’esterno, prestare estrema attenzione ai movimenti laterali, ricorrere ad attività avanzate di security testing e red teaming, introdurre sistemi e politiche di backup che siano in grado di rispondere efficacemente alla mutevole natura delle minacce incombenti,. Backup che, nei casi peggiori, potrebbero rappresentare l’unica ancora di salvezza per la resilienza delle organizzazioni”, avverte Morisi.