Nel secondo semestre del 2024, il mondo ha assistito a una preoccupante escalation degli attacchi informatici, in particolare di tipo ransomware.
Secondo il “Risk Report 2024” di Tinexta Cyber, il numero degli attacchi è aumentato del 28,3% rispetto al semestre precedente, coinvolgendo 108 Paesi — nove in più rispetto alla prima metà dell’anno.
Le cifre, già di per sé allarmanti, raccontano solo una parte della storia. Il vero cambiamento sta nella trasformazione profonda del cybercrime: meno gang, più sofisticazione, e una crescente dipendenza dall’intelligenza artificiale.
Indice degli argomenti
L’era delle cyber-imprese: meno attori, più potere
Mentre il numero delle gang attive è calato del 5,5%, il numero di attacchi è esploso. Una contraddizione solo apparente, che riflette una tendenza in atto: il consolidamento del potere nelle mani di poche, potentissime organizzazioni criminali strutturate come vere e proprie aziende.
Questi gruppi dispongono di team specializzati, suddivisi per ruolo e competenza, capaci di ottimizzare ogni fase dell’attacco — dallo sviluppo del malware alla negoziazione del riscatto.
Gang come RansomHub, Argonauts, BlackBasta e DragonForce hanno intensificato la propria attività, dimostrando non solo resilienza ma anche capacità di innovazione.
In Italia, ad esempio, RansomHub è stata responsabile del 12,5% degli attacchi nel semestre, mentre DragonForce ha quintuplicato la propria presenza. Il nostro Paese ha registrato un +14,3% di attacchi rispetto ai sei mesi precedenti, scendendo però al quinto posto globale, superato dall’India.
L’IA come arma strategica: dai deepfake ai negoziati automatici
Il 2024 segna anche un punto di svolta nell’uso dell’intelligenza artificiale da parte dei cybercriminali. L’IA non viene più solo impiegata per generare attacchi mirati o contenuti deepfake realistici: oggi è in grado di negoziare autonomamente con le vittime, replicando comportamenti umani in chat, inducendo al pagamento del riscatto senza alcun intervento umano da parte degli attaccanti.
Questo utilizzo strategico dell’IA ha sollevato un nuovo livello di complessità nel panorama della difesa informatica.
Le tecniche di phishing sono diventate estremamente realistiche, con messaggi personalizzati che imitano perfettamente il linguaggio e lo stile di comunicazione di enti governativi o aziende note.
Parallelamente, sono aumentati gli attacchi ai portafogli digitali tramite tecniche come l’address poisoning, che sfrutta l’ingenuità degli utenti in un settore — quello delle criptovalute — sempre più esposto.
Malware-as-a-Service: la democratizzazione del cybercrime
Un altro elemento critico evidenziato dal report è l’esplosione del Malware-as-a-Service (MaaS), modello in cui lo sviluppo e la distribuzione di malware vengono offerti come servizi a pagamento, accessibili anche a criminali con competenze tecniche limitate.
Malware come FormBook, AgentTesla e RedLine Stealer sono oggi facilmente reperibili tramite abbonamenti mensili o pacchetti personalizzati.
Alcuni gruppi, come Lumma, si stanno affermando come veri e propri leader del settore, offrendo strumenti facili da usare e accompagnati da campagne massive come ClickFix.
Il modello MaaS ha abbassato drasticamente la barriera d’ingresso al cybercrime, con una conseguente crescita del numero di attacchi su scala globale.
Operazioni di polizia e lotta al ransomware: luci e ombre
Nonostante il panorama inquietante, ci sono segnali incoraggianti. Il 2024 ha visto il successo di alcune importanti operazioni internazionali. Tra queste spicca “Endgame”, definita dall’Europol “la più grande operazione mai condotta contro le botnet”, che ha colpito infrastrutture cruciali per la distribuzione di ransomware.
Gruppi storici come LockBit sono stati colpiti duramente, e le loro attività sono diminuite sensibilmente in determinati periodi dell’anno. Tuttavia, come spesso accade nella cybercriminalità, lo spazio lasciato libero è stato rapidamente occupato da nuovi attori più aggressivi e tecnologicamente evoluti.
La gang del futuro: organizzazione, ruoli e tecniche
Le gang ransomware di oggi operano come strutture aziendali organizzate, con ruoli ben definiti:
- Sviluppatori, che progettano e aggiornano i malware.
- Operatori, incaricati di condurre gli attacchi veri e propri.
- Access broker, che vendono accessi a sistemi compromessi.
- Negoziatori, responsabili del dialogo con le vittime.
- Riciclatori, che convertono i profitti in denaro legale.
- Amministratori, che gestiscono strategie e operazioni.
A questi si aggiungono specialisti in ingegneria sociale, anonimato, vulnerabilità e persino analisi finanziaria.
È un modello che riflette pienamente l’evoluzione del crimine digitale: sempre meno artigianale, sempre più industrializzato.
Le sfide future: tra normative e innovazione criminale
Come sottolinea Andrea Monti, Direttore Generale di Tinexta Cyber, «le nuove normative europee come NIS 2 e Cyber Resilience Act impongono standard più elevati, ma i criminali informatici evolvono ancora più in fretta».
In un contesto dove i confini tra difesa e attacco si fanno sempre più labili, la cyber security non può più essere considerata una semplice funzione IT, ma una priorità strategica per tutte le organizzazioni, pubbliche e private.
