Sam Rubin, SVP, Consulting and Threat Intelligence, Unit 42 di Palo Alto Networks, illustra l’andamento del 2025 ‘anno delle interruzioni delle attività’, per l’aumento dei cyberattacchi.
‘Anno delle interruzioni delle attività’, è questo il termine che contraddistinguerà il 2025. Periodo in cui le imprese registreranno un aumento dei cyberattacchi volti a bloccare le operazioni e avere un impatto significativo sugli utenti. Un anno caratterizzato da un incremento delle violazioni mirate a interrompere l’operatività di intere reti aziendali causate da vulnerabilità nella catena di approvvigionamento. Oltre che da attaccanti che raggiungono nuovi livelli di velocità e sofisticazione. Anche il costo degli incidenti aumenterà, spinto da lunghi tempi di inattività e dall’implementazione di difese adatte a contrastare attacchi abilitati dall’intelligenza artificiale.
Palo Alto mette in guardia sulle potenzialità ‘criminali’ della GenAI
Si prevede che la GenAI contribuirà a un’ulteriore riduzione del tempo necessario per ogni fase del framework MITRE ATT&CK e del tempo medio di esfiltrazione (MTTE). Cconsentendo in questo modo agli attori delle minacce di passare rapidamente dallo sfruttamento della vulnerabilità al suo impatto. Nel 2023, il tempo medio di esfiltrazione dei dati era di 2 giorni (e in alcuni casi di ore) rispetto ai 9 del 2021. Per il 2025 prevediamo una riduzione anche fino a 25 minuti per alcuni incidenti, con una velocità di attacco 100 volte superiore in soli tre anni.
Crescono le tattiche iperpersonalizzate
In altre parti del framework MITRE ATT&CK osserveremo un’accelerazione della ricognizione abilitata dalla GenAI per automatizzare l’intelligence open-source (OSINT) e l’identificazione di informazioni e risorse sensibili. Oltre che favorire l’accesso iniziale attraverso comunicazioni di phishing e smishing iperpersonalizzate. La stessa tecnologia ridurrà significativamente il tempo necessario per persistenza e movimento laterale. Semplificando così varie fasi del ciclo di vita dell’attacco e consentendo agli avversari di muoversi tra le reti e fornire payload personalizzati più rapidamente.
Un RaaS potenziato per attacchi sempre più avanzati
Nel 2025 prevediamo che le capacità GenAI (ad esempio LLM addestrati dagli attori delle minacce) automatizzeranno parti dello sviluppo e della distribuzione di ransomware. E faciliteranno la creazione di kit personalizzabili, completi di crittografia automatica, targeting delle vittime e ricognizione. C’è persino la possibilità che i chatbot vengano utilizzati dagli attori delle minacce per negoziare in modo più semplice e rapido le richieste di riscatto. L’impatto potrebbe comportare un aumento di frequenza e sofisticazione degli attacchi ransomware e una sfida più complessa per i professionisti della cybersecurity nel difendere e mitigarne gli effetti.
Il 2025 sarà l’anno delle interruzioni delle attività
Prevediamo che i criminali informatici si baseranno sulle interruzioni di attività per continuare a chiedere il pagamento di decine di milioni in riscatti. Molti gruppi sofisticati, come Muddled Libra, reinvestiranno questi fondi per ottimizzare le loro capacità di aggirare le difese e sviluppare tattiche più sofisticate lungo ogni fase della catena di attacco. Oltre a testare tecnologie di AI generativa da utilizzare nei prossimi 3-5 anni che potrebbero consentire loro di identificare e sfruttare vulnerabilità zero-day. E persino creare agenti AI in grado di eseguire attacchi autonomi.
Contro il ransomware cresce la resilienza aziendale
Prevediamo cambiamenti nell’impatto del ransomware. La causa sarà un sempre maggiore potenziamento delle capacità di disaster recovery attraverso ridondanze basate su cloud e architetture resilienti. Grazie a questi progressi, aumenta la capacità delle aziende di ripristinare le operazioni in modo indipendente, riducendo la necessità di considerare le richieste di riscatto. Assisteremo anche a un calo dei pagamenti: i vantaggi legati al controllo dei dati rubati sono limitati.
Con l’aumento delle tensioni geopolitiche in tutto il mondo, prevediamo un incremento dei cyberattacchi che prendono di mira le infrastrutture critiche. L’acuirsi delle tensioni tra Stati nazionali crea un ambiente in cui campagne cyber offensive vengono integrate in strategie geopolitiche più ampie. Questi attacchi si concentreranno su servizi essenziali, come energia, acqua, trasporti o assistenza sanitaria, creando punti di accesso strategici da sfruttare quando se ne percepisce un vantaggio. Con i conflitti in corso – la guerra tra Russia e Ucraina, le tensioni in Medio Oriente, l’aumento delle ostilità tra Cina e Taiwan – ci aspettiamo una crescita delle attività cyber in queste regioni e in ogni nuova area di conflitto.
Le minacce contro la supply chain non diminuiranno
Nonostante la crescente consapevolezza delle vulnerabilità della supply chain, le aziende continueranno a faticare per gestirla efficacemente. E questo soprattutto a causa della natura complessa delle dipendenze del software. Questa interdipendenza rende difficile tracciare e mitigare i rischi, permettendo a una singola falla di colpire potenzialmente un intero ecosistema.
Interruzioni delle attività – Attacchi alla supply chain
Nel 2025, queste sfide si intensificheranno per tre motivi. In primo luogo per l’aumento degli attacchi rivolti ai fornitori di terze parti, caratterizzati da vulnerabilità interessanti per gli attori delle minacce. Gli attacchi su larga scala alla supply chain, di portata simile a quella di SolarWinds, sono già in corso, anche se non sono stati ancora identificati. Infine, i gruppi APT prenderanno sempre più di mira i principali fornitori di servizi cloud, cercando di ottenere un accesso significativo attraverso un’unica violazione. Massimizzando così l’impatto e riducendo il rischio di rilevamento.