La cybersicurezza non sta vivendo periodi tranquilli. Anzi, secondo il report annuale dedicato al 2024, pubblicato da Cisco Talos, una delle più grandi organizzazioni mondiali dedicate all’intelligence sulle minacce informatiche, è stato un anno segnato dalla semplicità delle tecniche usate dai criminali e dall’efficacia con cui queste sono riuscite a eludere anche i sistemi più sofisticati.
Il tema ricorrente è stato l’identità. Gli attacchi informatici più frequenti si sono basati su un principio tanto semplice quanto devastante: usare account reali, credenziali rubate, chiavi API, token di sessione e certificati digitali per fingersi utenti legittimi all’interno delle reti. Questo tipo di attacco ha rappresentato ben il 60% dei casi gestiti dal team di incident response di Cisco Talos, un numero che evidenzia come ormai sia più facile entrare nelle reti aziendali semplicemente “aprendo la porta principale”, piuttosto che sfruttando vulnerabilità complesse o malware avanzati.
In quasi il 70% degli attacchi ransomware documentati, l’accesso iniziale è avvenuto attraverso l’uso di account validi. Questo dato è impressionante, perché suggerisce che spesso non sono necessarie sofisticate operazioni di hacking per compromettere un’intera infrastruttura, ma è sufficiente una password rubata o una chiave API lasciata incustodita. Il fenomeno non si limita ai furti di credenziali: molte operazioni sfruttano tecniche note come credential dumping e strumenti che permettono di raccogliere rapidamente le informazioni di accesso memorizzate nei sistemi.
Bersagli a livello globale
Tra i bersagli più colpiti troviamo il settore dell’istruzione, in particolare le università, seguite dalla pubblica amministrazione, la produzione industriale e il settore sanitario. Le ragioni sono molteplici: budget limitati, infrastrutture complesse, personale IT spesso insufficiente o sovraccarico. In questi ambienti, dove la sicurezza informatica è percepita più come un costo che come un investimento, gli attaccanti trovano terreno fertile.
La semplicità è stata anche il filo conduttore per quanto riguarda le vulnerabilità più sfruttate. I criminali hanno puntato ancora una volta su falle vecchie, alcune delle quali scoperte più di dieci anni fa. Log4Shell, Bash (Shellshock) e vulnerabilità PHP fanno ancora oggi parte dell’arsenale più utilizzato. Questo dimostra che l’adozione di patch di sicurezza è tutt’altro che scontata e che molti sistemi rimangono vulnerabili anche anni dopo la scoperta di una falla.
Il problema degli aggiornamenti
Anche i dispositivi di rete non sono stati risparmiati. Router, firewall e dispositivi NAS, spesso obsoleti o non aggiornabili perché fuori produzione, sono stati attaccati ripetutamente. Questo è un dettaglio particolarmente rilevante per ricordare che anche le infrastrutture più poderose devono essere continuamente manutenute per evitare di diventare un punto debole.
Non meno preoccupante è il fatto che molti attacchi abbiano avuto successo grazie alla presenza di soluzioni di sicurezza mal configurate. In quasi la metà dei casi di ransomware, gli attaccanti sono riusciti a disattivare o manipolare sistemi EDR e firewall, cancellare log e shadow copies, e sfruttare prodotti in modalità “audit only” che, pur rilevando comportamenti sospetti, non intervenivano automaticamente. Questo tipo di approccio passivo alla sicurezza ha spalancato le porte a operazioni malevole che avrebbero potuto essere fermate sul nascere.
I cybercriminali hanno anche ampiamente utilizzato strumenti legittimi integrati nei sistemi operativi, noti come LoLBins, tra cui PowerShell, PsExec e RDP. L’uso di questi strumenti consente agli attaccanti di passare inosservati, mimetizzandosi con il traffico di rete normale. In alcuni casi, è stato anche documentato l’utilizzo di Microsoft Teams per contattare le vittime fingendosi personale IT, convincendole ad avviare sessioni di assistenza remota tramite Quick Assist.
Problema phishing e MFA
Gli attacchi email non sono stati da meno. Il phishing rimane uno degli strumenti preferiti per ottenere l’accesso iniziale: il 25% degli incidenti ha visto l’invio di link malevoli, spesso nascosti dietro marchi noti. L’uso dell’intelligenza artificiale ha reso questi attacchi ancora più sofisticati, con messaggi che imitano perfettamente il tono, lo stile e persino il lessico aziendale delle comunicazioni ufficiali.
Un’altra area estremamente critica emersa nel 2024 è stata quella dell’autenticazione a più fattori. Nonostante sia una delle difese più raccomandate, l’MFA è risultata spesso non implementata correttamente. Cisco Talos ha evidenziato problemi come assenza totale di MFA su servizi VPN, attacchi di MFA bombing (che sommergono l’utente con richieste fino a quando accetta), registrazioni fraudolente di nuovi dispositivi e bypass attraverso social engineering. Il risultato è stato un indebolimento sostanziale di quella che dovrebbe essere una delle prime linee di difesa.
Anche le API cloud sono diventate un bersaglio sempre più attraente. Il 20% degli attacchi basati sull’identità ha coinvolto applicazioni cloud, con particolare enfasi sulle API come punto di accesso ai dati. Gli attaccanti utilizzano token di sessione, chiavi API rubate o vulnerabilità note per penetrare nei sistemi cloud, aggirando le misure di sicurezza tradizionali. L’elevato numero di API esposte, la loro varietà e la difficoltà nel monitorarle rendono questa superficie d’attacco estremamente complessa da gestire.
Il ruolo dell’Intelligenza Artificiale
A proposito di intelligenza artificiale, nel 2024 non abbiamo assistito a nuove tecniche di attacco basate su AI, ma piuttosto a un perfezionamento di quelle esistenti. Gli attori delle minacce hanno utilizzato modelli linguistici per creare email di phishing più credibili, automatizzare le attività di social engineering e ottimizzare la raccolta di informazioni sulle vittime. Il pericolo per il futuro non è tanto nell’AI che crea nuovi malware, quanto nella sua capacità di amplificare le tecniche già note. Guardando al 2025, Cisco prevede che l’emergere di sistemi che sfruttano gli Agenti AI — capaci di agire in autonomia — possa costituire un ulteriore livello di rischio, specialmente se impiegati per orchestrare attacchi complessi o aggirare i meccanismi di rilevamento.
Nel frattempo, i gruppi ransomware continuano a dominare il panorama. LockBit si conferma il gruppo più attivo per il terzo anno consecutivo, nonostante un’importante operazione di polizia internazionale. Subito dietro arriva RansomHub, gruppo emergente che punta ad aziende molto grandi con richieste di riscatto elevate. Il modello Ransomware-as-a-Service è più vivo che mai, con gruppi che offrono il loro “prodotto” a terzi in cambio di una percentuale sui guadagni.
I consigli di Hypergrid
Cisco Talos può contare su una visibilità globale sul panorama della cybersicurezza: oltre 46 milioni di dispositivi monitorati in 193 paesi e più di 886 miliardi di eventi di sicurezza processati ogni giorno. Un patrimonio di dati e conoscenza che permette di delineare con precisione l’evoluzione delle minacce su scala mondiale.
Hypergrid, con oltre vent’anni di esperienza in cybersicurezza, si affida ai potenti firewall Cisco, costantemente aggiornati. In questo scenario propone ai suoi clienti una gamma completa di servizi di protezione IT efficaci e scalabili. Allo stesso tempo, ricorda ad aziende e pubbliche amministrazioni l’importanza di adottare sempre le misure fondamentali: installare patch e aggiornamenti, configurare correttamente i sistemi, attivare l’autenticazione a più fattori e segmentare le reti.
Come evidenziato dal report Cisco Talos, trascurare queste semplici regole lascia spesso spazio a incidenti gravi che potrebbero essere evitati con un minimo di attenzione in più. La tecnologia, da sola, non basta: servono consapevolezza, formazione e una gestione attenta e continua.
Fra i servizi proposti da Hypergrid segnaliamo:
Vulnerability Assessment
Una procedura essenziale per verificare la sicurezza dei sistemi informatici, con report dettagliati sullo stato dell’infrastruttura. Include analisi dei servizi pubblicati, rilevamento delle vulnerabilità e correzione delle falle in più fasi operative.
Hypersafe
Servizio di sicurezza gestita in outsourcing che protegge l’infrastruttura aziendale 24/7. Include monitoraggio continuo, test di vulnerabilità e simulazioni di attacco per valutare la resilienza del sistema.
Security Data Recorder
Registra il traffico di rete e, in caso di incidenti, fornisce la documentazione necessaria a evidenziare eventuali responsabilità.
Autenticazione a Due Fattori (2FA)
Impedisce accessi non autorizzati tramite l’invio di un codice temporaneo sul dispositivo dell’utente a ogni tentativo di accesso.
HyperVPN
Una soluzione VPN sicura per lo smart working. Verifica automaticamente che il dispositivo remoto sia aggiornato, protetto da antivirus e con file system integro prima di consentire l’accesso alla rete aziendale.
HyperMail
Servizio di posta elettronica su server certificati e protetti con antivirus e antispam aggiornati giornalmente.
SecureMail
Mail server sicuri e personalizzabili, pensati per ambienti business, con inclusi antivirus, antispam e certificazione.
📞 Per maggiori informazioni, chiamaci senza impegno al +39 0382 528875 oppure visita il nostro sito web https://hypergrid.it
📄 Per scaricare il report annuale pubblicato da Cisco Talos – Clicca Qui
Devi effettuare l'accesso per postare un commento.