Il Global Threat Report 2025 di CrowdStrike evidenzia l’intensificazione delle operazioni informatiche della Cina, un aumento delle attività di social engineering basate sull’uso della GenAI, e un crescente interesse da parte degli attaccanti nel cercare e sfruttare le vulnerabilità degli stati nazionali. Inoltre, il rapporto segnala un forte incremento degli attacchi senza malware e orientati all’identità. In particolare, gli avversari del China-nexus hanno intensificato le operazioni informatiche sponsorizzate dallo stato del 150%, con mirati attacchi ai settori finanziario, media, produzione e industriale, che hanno visto un incremento del 300%.

Parallelamente, gli avversari globali stanno utilizzando l’intelligenza artificiale per ingannare i sistemi, rubando credenziali e lanciando sempre più attacchi cross-domain che sfruttano le lacune tra endpoint, cloud e identità, eludendo i controlli di sicurezza e operando senza essere rilevati. Il passaggio a intrusioni senza malware, che si basano su accessi legittimi, unito a tempi di evasione record, lascia poco margine di errore per i difensori. Per contrastare gli attacchi moderni, i team di sicurezza devono superare le lacune di visibilità, rilevare i movimenti degli aggressori in tempo reale e fermare gli attacchi prima che possano espandersi, poiché una volta che un intruso ha ottenuto l’accesso, è già troppo tardi per intervenire.

Principali evidenze del rapporto

 Monitorando oltre 250 avversari noti e 140 cluster di attività emergenti, il Global Threat Report 2025 di CrowdStrike rivela:

  • Lo spionaggio informatico in Cina diventa più aggressivo: CrowdStrike ha identificato sette nuovi avversari con legami con la Cina nel 2024, alimentando un aumento del 150% negli attacchi di spionaggio, con settori critici che hanno registrato un aumento fino al 300% negli attacchi mirati.
  • GenAI potenzia il social engineering: le tattiche di phishing e impersonificazione basate sull’intelligenza artificiale hanno alimentato un aumento del 442% del phishing vocale (vishing) tra il primo e il secondo semestre del 2024. Gruppi eCrime sofisticati come CURLY SPIDER , CHATTY SPIDER e PLUMP SPIDER hanno sfruttato il social engineering per rubare credenziali, stabilire sessioni remote ed eludere il rilevamento.
  • L’Iran utilizza GenAI per la ricerca e lo sfruttamento delle vulnerabilità: nel 2024, gli attori in contatto con l’Iran hanno sempre più sfruttato GenAI per la ricerca delle vulnerabilità, lo sviluppo di exploit e l’aggiornamento delle reti nazionali, allineandosi alle iniziative di intelligenza artificiale guidate dal governo.
  • Dall’irruzione all’accesso: aumento degli attacchi privi di malware: il 79% degli attacchi per ottenere l’accesso iniziale è ora privo di malware, mentre le pubblicità dei broker di accesso sono aumentate del 50% anno su anno. Gli avversari hanno sfruttato le credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati con attività manuali sulla tastiera.
  • Le minacce interne continuano ad aumentare: il famoso avversario del DPRK-nexus CHOLLIMA è stato dietro 304 incidenti scoperti nel 2024. Il 40% ha coinvolto operazioni di minacce interne, con avversari che operavano sotto le mentite spoglie di un impiego legittimo per ottenere l’accesso al sistema e svolgere attività dannose.
  • Il tempo di evasione raggiunge una velocità record: il tempo medio di evasione di un’operazione di eCrime è sceso a 48 minuti, con il tempo più rapido registrato di 51 secondi, lasciando ai difensori poco tempo per reagire.
  • Ambienti cloud sotto assedio: le intrusioni cloud nuove e non attribuite sono aumentate del 26% anno su anno. L’abuso di account validi è la principale tattica di accesso iniziale, che rappresenta il 35% degli incidenti cloud nel primo semestre del 2024.
  • Le vulnerabilità non corrette restano un obiettivo chiave: il 52% delle vulnerabilità osservate era correlato all’accesso iniziale, rafforzando l’esigenza critica di proteggere i punti di ingresso prima che gli avversari stabiliscano la persistenza.

“Lo spionaggio informatico sempre più aggressivo della Cina, unito alla rapida trasformazione in arma dell’inganno basato sull’intelligenza artificiale, sta costringendo le organizzazioni a ripensare il loro approccio alla sicurezza”, ha affermato Adam Meyers, head of counter adversary operations presso CrowdStrike. “Gli avversari sfruttano le lacune di identità, sfruttano il social engineering e si muovono tra i domini senza essere rilevati, rendendo inefficaci le difese legacy. Per fermare le violazioni è necessaria una piattaforma unificata basata su intelligence in tempo reale e threat hunting, che correli l’identità, il cloud e l’attività degli endpoint per eliminare i punti ciechi in cui gli avversari si nascondono”.

Scopri tutte le ultime minacce informatiche globali leggendo il 2025 CrowdStrike Global Threat Report.

https://www.crowdstrike.com/en-us/press-releases/crowdstrike-releases-2025-global-threat-report/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: