Ransomware evoluto, attacchi alla supply chain, approcci multi-vettoriali e Intelligenza Artificiale criminogena. Il complesso panorama delle minacce emergenti
Il panorama della cybersecurity aziendale si confronta con una minaccia in rapida e costante evoluzione. L’avvento di nuove tecnologie e la crescente interconnessione digitale non solo aprono scenari di innovazione, ma offrono parallelamente ai cybercriminali strumenti e vettori d’attacco sempre più sofisticati e difficili da contrastare. Le difese perimetrali statiche e le strategie di sicurezza tradizionali si rivelano insufficienti di fronte a un avversario agile, adattivo e sempre più incline a sfruttare le complessità intrinseche degli ecosistemi digitali moderni. Questo articolo si propone di analizzare in dettaglio alcune delle minacce emergenti e degli attacchi più sofisticati che rappresentano le sfide più pressanti per i professionisti e i manager IT, con un focus specifico sull’evoluzione del ransomware, gli attacchi alla supply chain, le tattiche multi-vettoriali e lo sfruttamento dell’Intelligenza Artificiale a fini malevoli.
L’evoluzione del ransomware: dalla cifratura all’estorsione multipla
Il ransomware si è affermato come una delle minacce emergenti più disruptive e remunerative per la criminalità informatica, evolvendo significativamente negli ultimi anni. Non si tratta più semplicemente della cifratura di dati per richiedere un riscatto in cambio della chiave di decrittazione. Le tattiche si sono affinate, abbracciando modelli di business veri e propri come il Ransomware-as-a-Service (RaaS), che democratizza l’accesso a strumenti offensivi sofisticati anche per attori meno esperti, attraverso partnership e spartizioni dei proventi.
La novità più marcata e preoccupante è l’ascesa delle tattiche di doppia e tripla estorsione. Oltre alla cifratura dei dati (impedendone l’accesso), i cybercriminali esfiltrano ingenti volumi di informazioni sensibili. La minaccia di pubblicare questi dati riservati su leak site nel dark web o di venderli al migliore offerente aggiunge un livello di pressione significativo sulle vittime, che ora rischiano danni reputazionali, sanzioni normative (legate alla violazione della privacy e alla mancata protezione dei dati) e perdita di fiducia da parte di clienti e partner, oltre all’interruzione delle operazioni. La tripla estorsione estende ulteriormente il raggio d’azione, prendendo di mira anche clienti, fornitori o partner della vittima primaria con minacce di divulgazione dati o di interruzione dei servizi a loro volta dipendenti dall’organizzazione colpita.
I vettori d’attacco iniziali per il ransomware rimangono spesso legati a tecniche consolidate come il phishing mirato, lo sfruttamento di vulnerabilità note (patching non tempestivo), attacchi a servizi di Remote Desktop Protocol (RDP) esposti o credenziali compromesse. Tuttavia, l’esecuzione post-intrusione è diventata più rapida e furtiva, con l’uso crescente di strumenti “living off the land” (strumenti di sistema legittimi utilizzati per scopi malevoli) per evadere il rilevamento e muoversi lateralmente all’interno della rete della vittima prima di sferrare l’attacco cifratura/esfiltrazione su larga scala.
Attacchi alla supply chain tra le minacce emergenti: sfruttare la fiducia nell’ecosistema esteso
La crescente interconnessione tra le aziende, facilitate da partnership, fornitori e l’uso estensivo di software e servizi di terze parti, ha reso la supply chain un obiettivo estremamente attraente per i cybercriminali. Un attacco riuscito a un singolo anello debole della catena può avere un effetto domino, compromettendo potenzialmente centinaia o migliaia di organizzazioni a valle che dipendono dal fornitore compromesso.
Le metodologie più comuni negli attacchi alla supply chain includono:
- compromissione del software: iniettare codice malevolo all’interno di software legittimi o aggiornamenti distribuiti da fornitori fidati (come visto in casi noti legati a software di gestione IT o utility ampiamente utilizzate). Gli utenti finali installano inconsapevolmente il malware insieme all’aggiornamento legittimo;
- compromissione di Managed Service Provider (MSP): gli MSP gestiscono l’infrastruttura IT per conto di numerosi clienti. Un attacco a un MSP può garantire ai criminali l’accesso privilegiato a tutte le reti dei loro clienti;
- sfruttamento di vulnerabilità in componenti condivisi: attaccare librerie open source o componenti software ampiamente utilizzati all’interno di molteplici prodotti. Una vulnerabilità scoperta e sfruttata in un componente comune può rendere insicuri tutti i software che lo incorporano;
- attacchi fisici o logistici: sebbene meno comuni, tra le minacce emergenti troviamo anche esempi di manomissione di hardware durante il trasporto o l’inserimento di dispositivi malevoli nelle apparecchiature prima della consegna, solo per fare un paio di esempi concreti.
La difficoltà nel difendersi dagli attacchi alla supply chain risiede nella sfida di verificare la sicurezza di ogni componente software o hardware e di ogni partner commerciale. La fiducia implicita che spesso caratterizza queste relazioni viene brutalmente sfruttata, rendendo necessarie strategie di gestione del rischio di terze parti molto più rigorose, audit di sicurezza regolari e l’adozione di standard come la Software Bill of Materials (SBOM) per una maggiore trasparenza sulle dipendenze software.
Attacchi multi-vettoriali: la complessità come strumento offensivo
Gli attacchi moderni raramente si affidano a un singolo vettore. Al contrario, i cybercriminali orchestrano campagne che combinano simultaneamente o in rapida successione diverse tecniche e punti di ingresso. Questa strategia multi-vettoriale aumenta notevolmente le probabilità di successo dell’attacco e rende più ardui i processi di rilevamento e risposta per i team di sicurezza.
Un attacco multi-vettoriale potrebbe, ad esempio, iniziare con una campagna di phishing sofisticata (vettore 1) per ottenere credenziali di accesso iniziali. Contemporaneamente o subito dopo, potrebbe essere sferrato un attacco Distributed Denial of Service (DDoS) (vettore 2) per saturare le difese di rete e distrarre il team di sicurezza. Una volta ottenuto l’accesso, gli attaccanti potrebbero sfruttare una vulnerabilità in un server interno (vettore 3) per elevare i privilegi e poi utilizzare tecniche di social engineering interna (vettore 4) per indurre un dipendente ad eseguire un’azione malevola o a disabilitare un controllo di sicurezza.
La combinazione di vettori diversi permette ai cybercriminali di:
- aumentare la superficie d’attacco: prendere di mira simultaneamente più debolezze nell’infrastruttura o nei processi aziendali;
- complicare il rilevamento: un attacco può essere mascherato o confuso da un altro, rendendo difficile per i sistemi di sicurezza e gli analisti identificare la natura complessiva dell’offensiva;
- accelerare la penetrazione: sfruttare diverse vie di accesso contemporaneamente può permettere di bypassare più rapidamente le difese;
- rendere la risposta più lenta e frammentata: i team di sicurezza potrebbero dover gestire contemporaneamente incidenti su fronti diversi, rendendo meno efficace la risposta complessiva.
Contrastare gli attacchi multi-vettoriali richiede una visibilità olistica sull’intera superficie d’attacco, l’integrazione dei dati provenienti da diverse fonti di sicurezza (endpoint, rete, cloud, identità) e capacità di analisi avanzate, spesso basate su AI e ML, per correlare eventi apparentemente scollegati e identificare pattern di attacco complessi.
L’Intelligenza Artificiale al servizio della criminalità cibernetica
L’Intelligenza Artificiale non è solo uno strumento per migliorare le difese; i cybercriminali la stanno attivamente adottando per potenziare le loro capacità offensive, rendendo gli attacchi più efficaci, scalabili e difficili da contrastare con metodi tradizionali.
Gli usi malevoli dell’AI che contribuiscono a rendere complesso il panorama delle minacce emergenti includono:
- social engineering potenziato: l’AI generativa può creare e-mail di phishing e messaggi di social engineering estremamente convincenti e personalizzati su larga scala, superando le barriere linguistiche e di stile che in passato potevano aiutare a identificare le frodi. La capacità di generare deepfake audio e video realistici rende gli attacchi di impersonificazione (come la “frode del CEO”) significativamente più credibili;
- sviluppo di malware evasivo: algoritmi di ML possono essere utilizzati per creare varianti di malware che mutano in tempo reale, rendendo inefficaci le firme basate sull’analisi statica del codice e più difficile il rilevamento da parte degli antivirus tradizionali;
- automazione della ricerca di vulnerabilità: l’AI può accelerare notevolmente il processo di scansione di reti e codice alla ricerca di vulnerabilità sfruttabili (sia “zero-day” che “n-day”), permettendo agli attaccanti di identificare rapidamente potenziali punti deboli;
- attacchi contro sistemi AI: gli stessi sistemi basati su AI e ML nelle aziende diventano obiettivi. Attacchi come la “data poisoning” (alterare i dati di addestramento per compromettere l’accuratezza del modello) o gli “attacchi avversari” (fornire input manipolati per indurre il modello a classificazioni errate) rappresentano nuove frontiere di rischio;
- automazione delle campagne: gli “agenti AI” offensivi possono essere programmati per condurre autonomamente fasi di attacco, dalla ricognizione iniziale all’esecuzione del payload, su un ampio numero di obiettivi simultaneamente.
L’uso dell’AI da parte dei criminali impone un’accelerazione parallela nell’adozione di soluzioni di sicurezza basate sull’AI per il rilevamento e la risposta alle minacce (come piattaforme XDR e sistemi SIEM potenziati dall’AI) e richiede una costante vigilanza sull’evoluzione delle tecniche offensive basate sull’intelligenza artificiale.
