CrowdStrike Global Threat Report 2025: il rapporto sulle minacce informatiche che evidenzia le tattiche di hacking e le campagne di attacco degli ultimi 12 mesi.
A presentare in dettaglio le analisi effettuati dagli esperti, Adam Meyers, Head of Counter Adversary Operations di CrowdStrike, che ha anticipato le tendenze di quest’anno, a partire dagli attacchi mirati all’identità, attività che non fanno uso di malware, ma sfruttano l’ingegneria sociale potenziata dall’Intelligenza Artificiale Generativa.
L’abuso di account compromessi, il cyber spionaggio tra Paesi, i crimini informatici degli attaccanti infiltrati nelle reti aziendali e le violazioni di sistemi attraverso vulnerabilità mai corrette sono tra i principali trend del 2025.
Tutto questo mette in risalto una evidenza preoccupante: hacker e gruppi di cybercriminali sono maturati esponenzialmente negli ultimi anni e, sfruttando strumenti tecnologici e piattaforme evolute, sono in grado di bypassare molti sistemi di controllo. Le aziende sono così esposte a potenziali attacchi, esfiltrazioni di dati, minacce all’identità, perdita di informazioni e molto altro.
Genesi di un attacco
Ogni violazione inizia con l’accesso iniziale, e gli attacchi basati sull’identità sono tra i metodi più efficaci. Invece del malware tradizionale, gli avversari preferiscono sistemi più rapidi e furtivi come il vishing, l’ingegneria sociale, i servizi di intermediazione degli accessi e l’abuso di relazioni di fiducia.
Uno dei principali fattori alla base di questo cambiamento è l’ascesa degli access broker: specialisti che acquisiscono l’accesso alle organizzazioni e lo vendono ad altri attori delle minacce. L’attività dei broker di accesso è aumentata nel 2024, con un incremento di quasi il 50% rispetto al 2023. Parallelamente, l’abuso di account validi è stato responsabile del 35% degli incidenti relativi al cloud, un aspetto che riflette la crescente attenzione degli aggressori sulla compromissione dell’identità come porta d’accesso ad ambienti aziendali più ampi. Delle vulnerabilità osservate da CrowdStrike nel 2024, il 52% era legato all’accesso iniziale. Le aziende devono dunque porre maggiore attenzione alla difesa dei punti di ingresso alla rete, prima che gli avversari stabiliscano possano sfruttare lacune e vulnerabilità per infiltrarsi in azienda.
Adam Meyers, Head of Counter Adversary Operations di CrowdStrike
Le moderne minacce informatiche sono caratterizzate da tecniche di “intrusione interattiva”. A differenza degli attacchi malware tradizionali, queste intrusioni si basano su avversari umani che imitano il comportamento legittimo dell’utente o dell’amministratore, un particolare che li rende difficili da rilevare.
Nel 2024, CrowdStrike ha registrato un aumento del 35% rispetto all’anno precedente delle campagne di intrusione interattive. Per il settimo anno consecutivo, il settore tecnologico è rimasto l’industria più presa di mira, con elevati volumi di attacchi osservati anche nella consulenza, nella produzione e nella vendita al dettaglio.
Protezione: è una questione di tempo e strumenti
Una volta che gli avversari hanno ottenuto l’accesso ai sistemi di una azienda “vittima”, il loro prossimo obiettivo è quello di “sfondare” e passare lateralmente dal punto d’appoggio iniziale agli asset di alto valore. La velocità di questo “tempo di breakout” determina la velocità con cui un difensore deve rispondere per ridurre i costi e i danni associati a un’intrusione.
Nel 2024, il tempo medio di breakout per le intrusioni interattive di eCrime è sceso a 48 minuti, in calo rispetto ai 62 minuti del 2023. In modo allarmante, il breakout più veloce è stato registrato in soli 51 secondi, il che significa che i difensori hanno meno di un minuto per rilevare e rispondere prima che gli aggressori stabiliscano un controllo più profondo. La rapida escalation del tempo di breakout rafforza la necessità di disporre di sistemi per il rilevamento delle minacce in tempo reale, una piattaforma che sia capace di identificare e bloccare le intrusioni prima che si diffondano. È poi importante utilizzare piattaforme per il controlli dell’identità e dell’accesso, così da impedire agli avversari di sfruttare credenziali valide. Non ultimo, amministratori IT e SOC devono effettuare una ricerca proattiva costante delle minacce, per identificare i comportamenti pre-attacco e bloccare tempestivamente i movimenti degli avversari.
Gli avversari stanno perfezionando le loro tattiche per muoversi più velocemente e sfruttare accessi considerati affidabili, per aggirare le difese tradizionali. La crescita esplosiva dell’attività degli access broker, l’abuso di credenziali valide e le intrusioni interattive evidenziano l’urgente necessità per le organizzazioni di adottare strategie di sicurezza proattive che prevengano, rilevino e rispondano a queste minacce in tempo reale. Per poter conseguire questi risultati, i team di sicurezza devono dare priorità alla protezione dell’identità per impedire l’accesso non autorizzato e rafforzare gli ambienti cloud contro l’abuso delle credenziali. È poi importante risolvere le configurazioni errate degli ambienti di lavoro. Su queste basi è possibile accelerare i tempi di risposta per contrastare i rapidi eventi di breakout.
Minacce informatiche – Occhi sempre aperti
La cronaca è ricca di infiltrazioni di cybercriminali in aziende di ogni dimensione e di racconti preoccupanti di perdite dati, credibilità e dei conseguenti insuccessi delle aziende prese di mira.
Dal 2023, l’eCrime e gli avversari che si occupano di intrusioni mirate hanno utilizzato sempre più spesso la compromissione dell’identità e altri stratagemmi incentrati sull’errore umano. L’uso sempre maggiore di tattiche di ingegneria sociale è in parte guidato dalla crescente efficacia e abbondanza dei moderni strumenti di sicurezza basati su host, come le soluzioni di rilevamento e risposta degli endpoint (EDR). Per aggirare tali sistemi, gli attori delle minacce tentano di accedere ad account mirati o di convincere i dipendenti a fornire l’accesso remoto ai sistemi.
Nel 2024, CrowdStrike Intelligence ha osservato un massiccio aumento del numero di campagne distinte che utilizzano tecniche di ingegneria sociale per ottenere l’accesso iniziale, tra cui il vishing e false procedure di help desk. Ciò potrebbe segnare un potenziale cambiamento nell’ecosistema dell’eCrime.
Monitoraggio proattivo, l’unico meccanismo che consente di bloccare tempestivamente le minacce informatiche.
CrowdStrike suggerisce di proteggere l’intero ecosistema di identità. Diventano essenziali criteri di identità e accesso solidi, tra cui l’accesso just-in-time, le revisioni periodiche degli account e i controlli di accesso condizionale. Gli strumenti di rilevamento delle minacce all’identità devono monitorare il comportamento negli endpoint e negli ambienti locali, cloud e SaaS per segnalare l’escalation dei privilegi, l’accesso non autorizzato o la creazione di account backdoor. È essenziale eliminare le lacune di visibilità tra domini. Le organizzazioni devono modernizzare le loro strategie di rilevamento e risposta. Le soluzioni XDR e di gestione delle informazioni e degli eventi di sicurezza (SIEM) di nuova generazione offrono una visibilità unificata su endpoint, reti, ambienti cloud e sistemi di identità, consentendo agli analisti di correlare i comportamenti sospetti e vedere il percorso completo dell’attacco.
Il cloud è il centro di ogni attività e va difeso come una infrastruttura cruciale. Le piattaforme di protezione delle applicazioni native per il cloud (CNAPP) con funzionalità di rilevamento e risposta al cloud (CDR) sono fondamentali per contrastare le minacce di nuova generazione. Queste soluzioni forniscono agli operatori una visione unificata del loro livello di sicurezza del cloud, aiutandoli a rilevare, assegnare priorità e correggere rapidamente configurazioni errate
Secondo CrowdStrike è poi importante assegnare priorità alle vulnerabilità con un approccio incentrato sull’avversario. Per contrastare le minacce, le organizzazioni devono dare priorità all’applicazione regolare di patch o all’aggiornamento dei sistemi critici, in particolare dei servizi rivolti a Internet come i server Web e i gateway VPN. Il monitoraggio di segni impercettibili di concatenamento degli exploit, come arresti anomali imprevisti o tentativi di escalation dei privilegi, può aiutare a rilevare gli attacchi prima che si verifichino.
Intelligenza artificiale, bene o male?
Stanti questi scenari, l’IA ricopre un doppio ruolo: è usata da chi fa cybersecurity per automatizzare e potenziare i propri servizi, ma è anche adottata dagli attaccanti per perfezionare le minacce. L’IA potrebbe essere usata dai criminali cyber per condurre attacchi con una velocità e su una scala tali da sopraffare qualsiasi team di sicurezza, dato che l’intelligenza artificiale è in grado di elaborare enormi quantità di dati, estratti dalla superficie di attacco delle imprese.
L’IA è però anche lo strumento più efficace a disposizione degli specialisti incaricati di contrastare gli attacchi cyber. Quindi l’intelligenza artificiale è usata per combattere i criminali informatici con una rapidità e con un’efficacia adeguate alla situazione. Bisogna anche considerare che i team che si occupano della difesa hanno un vantaggio cruciale sui cyber criminali: possiedono una conoscenza approfondita del sistema informatico aziendale e hanno accesso a dati di qualità superiore.
Ma per usare l’IA è necessario conoscerla, quindi le imprese devono attivarsi sia per educare i propri dipendenti al suo uso sia per inserire nel comparto IT esperti che la conoscano e che ne comprendano il potenziale nell’automazione dei processi.
CrowdStrike prevede un aumento senza precedenti del volume e della sofisticazione degli attacchi legati all’identità, poiché i malintenzionati esperti (e non) possono ora sfruttare la GenAI per intensificare le loro attività malevole. Questi tipi di attacchi saranno più difficili da rilevare poiché l’intelligenza artificiale automatizzerà e personalizzerà il processo stesso di attacco. Guardando al prossimo anno, le organizzazioni si troveranno particolarmente esposte alla perdita di dati a causa di attacchi guidati dall’IA e a malware basati sull’intelligenza artificiale.
