Var Group presenta l’ottava edizione dello Y-Report di Yarix, il proprio centro di competenza per la cybersecurity, che traccia lo scenario delle minacce informatiche che hanno colpito l’Italia e il mondo nel corso del 2024.
Nel 2024, il Security Operation Center (SOC) di Yarix, la sala di controllo da cui vengono monitorati in tempo reale gli attacchi informatici, ha analizzato oltre 485 mila eventi di sicurezza, in crescita del 56% rispetto al 2023. Si tratta di attività anomale o sospette nei sistemi, delle quali quasi una su tre (141 mila, +70% rispetto all’anno precedente) è degenerata in un vero e proprio incidente, ovvero una violazione che ha compromesso la sicurezza dei dati o dei sistemi. I casi di gravità critica sono più che triplicati (+269%), soprattutto a causa della presenza di vulnerabilità in componenti chiave dell’infrastruttura come firewall e altri dispositivi di sicurezza.
I settori maggiormente colpiti sono stati quello manifatturiero (12,5%), penalizzato dalla presenza di dispositivi obsoleti e strutture delocalizzate spesso senza una governance solida, e quello IT (11,8%), vulnerabile per via dell’elevato numero di servizi esposti e per la natura sensibile dei dati gestiti.
Per quanto riguarda il fenomeno dei ransomware, nel 2024 sono stati mappati a livello globale 4.721 eventi, in crescita del 5,5%. Più della metà degli attacchi (54%) ha colpito piccole e medie imprese e sono stati portati a termine da 92 gruppi diversi, tra cui RansomHub, il più attivo in assoluto con il 9,8% degli attacchi. L’Italia risulta essere il quarto paese più colpito dai ransomware dopo Stati Uniti, Regno Unito e Canada, e davanti alla Germania. Gli attacchi hanno riguardato principalmente aziende dei settori manifatturiero (32,5%), consulenza (9%), IT (7,5%), trasporti (7,5%) e costruzioni (6,5%), localizzate prevalentemente in Lombardia (30,9%), Emilia-Romagna (15,4%) e Veneto (8,8%).
Anche l’attivismo digitale legato a contesti geopolitici ha inciso in modo significativo. L’Italia è risultata essere il quinto Paese più bersagliato dai gruppi hacktivisti, sia da quelli filo-russi che hanno reagito al sostegno italiano all’Ucraina – come accaduto durante il primo G7 del 2024 a Kiev – sia da collettivi dell’area Asia-Pacifico contrari al supporto italiano a Israele. I picchi di attacchi si sono concentrati nel primo e nel quarto trimestre dell’anno. Tra i Paesi più colpiti figurano Ucraina, Israele, Romania e India, quest’ultima oggetto di azioni legate a tensioni politiche e territoriali con i Paesi confinanti.
Il team di Cyber Intelligence di Yarix ha individuato 97 gruppi hacktivisti attivi a livello globale. Tra questi, il più attivo è risultato essere NoName057, collettivo filorusso responsabile di oltre il 55% degli attacchi, con target principali nei settori energia e utility, sanità, finanza, trasporti e logistica. I gruppi allineati con Mosca hanno colpito obiettivi ucraini, membri della NATO e Paesi occidentali sostenitori del governo di Kiev. In alcuni casi, hanno approfittato di movimenti di protesta – come quelli degli agricoltori europei – per lanciare attacchi DDoS. I collettivi pro-arabi e pro-musulmani, invece, hanno attaccato Paesi schierati politicamente o militarmente con Israele, considerando i DDoS una forma di ritorsione. Gruppi dell’area Asia-Pacifico hanno invece preso di mira obiettivi in India e in contesti legati al conflitto israelo-palestinese.
Sul fronte delle nuove tendenze, il 2024 ha visto l’incremento dell’uso dell’intelligenza artificiale anche per fini malevoli. Il team di Incident Response di Yarix ha gestito 146 compromissioni di sicurezza (+75,9%), molte delle quali agevolate dallo sviluppo di script dannosi grazie all’uso dell’IA generativa, che ha reso più semplice anche per attori non esperti la creazione di malware sempre più sofisticati. È aumentata anche la capacità degli attaccanti di eliminare le tracce delle proprie incursioni, rendendo più difficoltosa la ricostruzione degli attacchi.
L’IA ha però un ruolo fondamentale anche nella difesa. A un anno dal lancio della piattaforma Egyda, sviluppata da Yarix per integrare automazione, machine learning e intelligenza artificiale nel SOC, il tempo medio di risposta agli alert si è ridotto di oltre il 50%, migliorando la capacità di intercettazione e gestione degli attacchi.
Tra gli altri trend rilevati figurano l’impiego crescente di strumenti su misura per la compromissione dei sistemi e di tecniche avanzate di cifratura dei dati; l’abbassamento del livello di selezione dei gruppi ransomware, con affiliati di competenza variabile per aumentare il numero di attacchi; un aumento del 333% di malware progettati per neutralizzare le difese, in particolare software EDR; e l’adozione di tecniche evolute come il “Bring Your Own Vulnerable Driver” (BYOVD), che consiste nell’installazione di driver legittimi ma vulnerabili per ottenere il controllo del sistema bersaglio.
Il report si basa sui dati raccolti dal SOC di Yarix nel 2024, provenienti da aziende clienti appartenenti a diversi settori dell’economia nazionale, per lo più di medie e grandi dimensioni (oltre mille dipendenti e fatturati superiori ai 50 milioni di euro), e include anche dati da incidenti gestiti per aziende non clienti. Tutte le informazioni sono state rese anonime e aggregate per garantire la privacy e fornire una base statistica affidabile per l’analisi qualitativa del fenomeno.
(Autore: Redazione Qdpnews.it)
(Foto e video: Simone Masetto)
(Articolo, foto e video di proprietà di Dplay Srl)
#Qdpnews.it riproduzione riservata
