Qualche settimana fa, Crowdstrike ha pubblicato il suo “Crowdstrike Scurity Report“, il report annuale sulle minacce globali.
Conoscere il nemico
La prima cosa interessante da rilevare è come l’attenzione sia non tanto sugli attacchi in sé, quanto sull’analisi degli attori del cybercrime. Crowdstrike definisce infatti il 2025 come “l’anno degli avversari intraprendenti“, capaci di ideare e mettere in pratica tecniche e tattiche di attacco sempre nuove. Da 13 anni Crowdstrike coltiva un approccio proattivo alla sicurezza informatica: analizza il panorama, cercando, anche grazie all’uso di sistemi di AI, di identificare dei tratti comuni tra gli attaccanti, per riuscire così a prevedere le loro mosse e a ridurre quindi il numero e la gravità degli attacchi.
Si tratta di 257 attori di cui 26 apparsi per la prima volta nel corso del 2024. Gli obiettivi sono diversi: dai Nation-state che puntano ad attività di spionaggio e/o sabotaggio – La maggior parte degli attaccanti provengono da Cina, Iran, Corea del nord e Russia – al e-crime che operano invece a scopo di estorsione. Ci sono poi 140 cluster di attività malevole, che ancora non sono stati ricondotti a specifici agenti.
Una lotta contro il tempo
Un’altra indicazione rilevante è il tempo di Breakout: se fino a pochi anni fa si ragionava in termini di ore, oggi il tempo medio è 48 minuti, mentre il minor tempo registrato dai sistemi di sicurezza dall’inizio dell’attacco al break out è stati 51 secondi. Per i responsabili della sicurezza questo significa essere costantemente impegnati in una lotta contro il tempo, in una caccia alla minaccia che deve saper sfruttare al meglio la tecnologia per essere veloce, più veloce di chi è in attacco.
Diventa quindi fondamentale implementare, all’interno delle organizzazioni, le seguenti attività:
- Rilevamento delle minacce in tempo reale per identificare e bloccare le intrusioni prima che si diffondano
- Controlli di identità e accesso per impedire agli avversari di sfruttare credenziali valide
- Ricerca proattiva delle minacce per identificare i comportamenti pre-attacco e bloccare in anticipo i movimenti degli avversari
AI generativa e vulnerabilità umane
Il terzo elemento importante riguarda le tecniche di attacco. Il Social engineering è sempre più utilizzato al fine di ottenere credenziali di accesso e riuscire così ad entrare nei sistemi informatici sfruttando le vulnerabilità umane. Il 52% delle vulnerabilità osservate nel 2024 sono legate all’accesso iniziale e gli attacchi basati sull’identità sono tra i metodi di accesso più efficaci. Invece del malware tradizionale, gli avversari preferiscono metodi più rapidi e furtivi come l’ingegneria sociale, i servizi di brokeraggio di accesso, l’abuso di relazioni di fiducia, ma il dato più impressionante è il +442% nel voice phishing registrato nel 2024.
Molto usati anche gli attacchi tramite help desk fasulli in cui gli autori delle minacce si sono spacciati per personale di supporto IT, chiamando gli utenti presi di mira con il pretesto di risolvere problemi di connettività o sicurezza. Il risultato? Una crescita del 50% di annunci nel dark web per promuovere la vendita di credenziali di accesso compromesse
L’uso dell’AI generativa sta diventando sempre più diffuso sia da parte di chi difende, con analisi, monitoraggio e strumenti predittivi, ma anche da parte di chi attacca: i messaggi di e-mail contenenti phishing generati da AI hanno un tasso di click-through del 54% rispetto ad una media delle e-mail scritte da umani che arriva al 12%. I video deepfake hanno una viralità altissima e secondo lo studio Crowdstrike hanno prodotto un ritorno economico per i cybercriminali di 25.6M di dollari
Famous Chollima ha utilizzato l’Intelligenza Artificiale per creare profili falsi su Linkedin ed entrare così in contatto con aziende, ottenendo incarichi nel settore IT, che hanno poi permesso di violare la sicurezza aziendale
Diminuisce il Malware, aumentano le intrusioni attive
Le minacce informatiche sono sempre più dominate da tecniche di “intrusione interattiva”, in cui gli avversari eseguono azioni manuali sulla tastiera per raggiungere gli obiettivi. A differenza dei tradizionali attacchi malware, queste intrusioni si basano su avversari che imitano il comportamento legittimo di utenti o amministratori, rendendole eccezionalmente difficili da rilevare.
Nel 2024, Crowdstrike ha osservato un aumento del 35% anno su anno nelle campagne di intrusione interattiva. Tra i settori più colpiti da questo tipo di attacchi: il settore tecnologico (23%), il settore delle consulenze e servizi professionali (15%), il settore manifatturiero (12%), retail (11%), servizi finanziari (10%), salute (9%).
Le minacce dal Cloud
Nel 2024, le intrusioni cloud nuove e non attribuite sono aumentate del 26% rispetto al 2023, indicando che più attori delle minacce cercano di sfruttare i servizi cloud. La tecnica di attacco osservata da Crowdstrike consiste nell’ottenere l’accesso iniziale tramite account validi, sfruttare quindi gli strumenti di gestione dell’ambiente cloud per muoversi lateralmente ed effettuare gli attacchi sfruttando i tool di controllo del provider cloud.
Altra caratteristica degli attacchi nel Cloud è la persistenza: spesso gli attacchi non sono di tipo mordi-e-fuggi, ma basati sul mantenere una presenza nel sistema, mimetizzandosi e riuscire anche a sfruttare le vulnerabilità tecniche / logiche e le eventuali configurazioni errate in un ecosistema cloud sempre più guidato da sistemi di Intelligenza Artificiale generativa
Il report integrale di Crowdstrike è disponibile a questo link