Il “2025 Threat Hunting Report” di CrowdStrike svela come i cybercriminali evolvano rapidamente, sfidando la sicurezza IT con tecniche sofisticate e senza malware.
Dal cloud control plane agli exploit su AI, la sicurezza aziendale richiede strategie proattive, visibilità completa e difese centrate sull’intelligenza artificiale.
In occasione del rilascio del report, abbiamo potuto parlare con Luca Nilo Livrieri, Senior Director, Sales Engineering – Southern Europe, CrowdStrike, per esaminare i punti salienti delle minacce cyber più attuali alla sicurezza IT delle aziende.
Le approfondite analisi proposte si basano sui servizi di threat hunting CrowdStrike, specializzati nella caccia di minacce. Si tratta, perciò, di informazioni concrete e reali ottenute direttamente dai sistemi installati presso i clienti, non di dati estrapolati con metodi statistici. In altre parole, il report è basato sui contatti reali che il marchio ha con gli attaccanti, per un totale di 60 miliardi di eventi, che hanno portato a circa 13 milioni di investigazioni. Il documento rilasciato tratta il periodo dal 1° luglio 2024 al 30 giugno 2025.
Da questo quadro si evince che i cybercriminali sono in continua evoluzione, sono intraprendenti, molto capaci e adottano velocemente le più recenti tecnologie disponibili, come l’intelligenza artificiale.
– Cosa cambia per i SOC se nell’ultimo anno l’81% delle intrusioni interattive è malware‑free? Quali “segnali deboli” vanno messi a sistema per non limitarsi agli alert EDR?
Le tecniche di attacco senza codice malevolo (malware-free) sono particolarmente insidiose perché, non utilizzando codice dannoso, riescono a bypassare i sistemi di protezione convenzionali e a sottrarsi ai controlli di sicurezza standard.
Oggi l’attacco è tendenzialmente di tipo cross domain, cioè colpisce allo stesso tempo identità, cloud, endpoint e device non gestiti. Per un contrasto efficace, quindi, è necessario intercettare segnali multipli, che provengono dall’intera infrastruttura, non solo da un dominio particolare. Si tratta di segnali deboli se esaminati singolarmente, ma, se si riesce ad avere una visione completa a livello di intera infrastruttura, consentono di individuare l’attacco in corso.
CrowdStrike analizza l’evoluzione dei cybercriminali
Uno dei problemi dei SOC moderni è il lavoro frammentato per silos a livello di alert. Se invece si considera l’intera piattaforma a livello unificato è possibile raggruppare ogni genere di segnale, così da avere un’unica visione. Questa agilità è fondamentale per contrastare gli attaccanti odierni, che lavorano con tecniche sia sequenziali sia parallele, senza necessariamente seguire schemi già usati in passato.
– Come si intercetta il movimento laterale via control plane e l’uso di reti ORB (Operational Relay Box)? Quali detection di priorità in Azure, AWS e GCP?
Il cloud control plane è molto sfruttato dai cybercriminali, perché è fondamentale per consentire loro l’accesso a tutto quello che si trova nel cloud. Un caso eclatante è quello di Genesis Panda, un gruppo cinese che grazie all’accesso al cloud control plane ha sviluppato attacchi nei settori finance, media e telecomunicazioni, e con la creazione di reti command & control ha compiuto infiltrazioni capillari e molto solide.
Le implementazioni cloud devono affrontare un’ampia gamma di minacce che sfruttano configurazioni errate del sistema, vulnerabilità del software e pratiche di gestione delle identità fallaci o incomplete. Una piattaforma di protezione delle applicazioni cloud-native (CNAPP) riunisce più funzionalità di sicurezza e protezione in un’unica piattaforma incentrata sull’identificazione e la definizione delle priorità dei rischi nell’intero ambiente cloud.
È pertanto importante avere protezioni runtime su cloud che riescano a controllare in tempo reale come vengono sfruttate le vulnerabilità e quali sono i rischi attivi.
La fase di runtime resta infatti la più critica dal momento che è in questa fase che abbiamo del codice in esecuzione ed abbiamo dei servizi potenzialmente esposti. Per questo motivo le capacità di prevenzione e la raccolta della telemetria restano fattori imprescindibili, qualsiasi sia l’ambiente in uso. La soluzione adottata deve permettere di non legarsi ad un ambiente specifico ma di seguire l’evoluzione aziendale nell’adozione di diversi ambienti cloud, pubblici, privati ed ibridi.
Cybercriminali sempre più evoluti mettono a rischio la sicurezza delle imprese di ogni dimensione.
Un altro aspetto cruciale riguarda la “visibilità” delle infrastrutture e del software, in un’ottica di posture management delle applicazioni cloud stesse, perché ci sono misconfiguration e vulnerabilità sfruttate non solo all’interno dei principali servizi cloud ma anche nelle applicazioni SaaS (Software as a Service).
Identity‑first attack: vishing e help desk social engineering in forte aumento
Sono in forte aumento gli attacchi basati sulle tecniche usate per ingannare le persone, come il phishing e il vishing (unione di voice e phishing, truffa telefonica in cui il criminale usa la voce per manipolare la vittima e indurla a fornire informazioni sensibili), tutte basate sull’ingegneria sociale. Questi attacchi hanno più successo in aziende molto grandi, dove è più facile avere accesso all’help desk e ingannare l’operatore di turno.
Per reagire il più velocemente possibile a questo tipo di minaccia è necessario usare un threat hunting proattivo, che innalzi rapidamente il livello di attenzione quando viene richiesto un cambio password di un account, per esempio, tramite helpdesk.
Si potrebbero implementare, in questi casi specifici, più step di verifica dell’identità, includendo una procedura dove, oltre alle classiche domande di riconoscimento, avvenga una videochiamata in cui si richieda di mostrare un documento di identità, una successiva comunicazione telefonica di verifica e un invio di codice tramite sms.
Una volta ottenuto il cambio password, è necessario monitorare le attività compiute dall’utente subito dopo il reset della password, individuando attività anomale o non abituali per quel determinato utente, così da far scattare l’allarme se queste attività portano a una breccia nel sistema di sicurezza IT aziendale.
Un altro strumento a disposizione dell’aziende è l’autenticazione multifattoriale che deve essere migliorata e resa più precisa di modo da essere puntuali e solo a fronte di un accesso critico o anomalo per evitare la “MFA fatigue” (che carica eccessivamente l’utente di richieste di autenticazione).
In ogni caso servono sia una visibilità totale su tutti i domini aziendali sia il mantenimento del più basso numero possibile di falsi positivi. Per quest’ultimo punto l’intelligenza artificiale è uno strumento molto potente, perché consente di dare una priorità agli allarmi. CrowdStrike è rinomata per i falsi positivi particolarmente ridotti, grazie a un approccio strategico che punta a rilevare l’intenzione malevola dietro gli attacchi, anziché limitarsi a identificare l’attacco in corso, assicurando una protezione efficace senza compromissioni.
Deepfake e curriculum vitae generati da AI: serve una procedura di verifica che non violi la privacy ma smascheri le identità sintetiche
Il gruppo di cybercriminali più noto per l’uso di deepfake e di curriculum vitae creati con l’intelligenza artificiale è Famous Chollima, che ha infiltrato centinaia di lavoratori all’interno di aziende che operano a livello mondiale con molti dipendenti da remoto. Attualmente si registra un aumento continuo delle infiltrazioni e il numero delle imprese colpite è salito a oltre 320.
Per contrastare questo fenomeno, si deve portare la security anche a livello HR migliorando le procedure con cui vengono eseguiti i colloqui di lavoro, chiedendo per esempio ai candidati di farsi riconoscere tramite documento di identità e di tenere sempre accesa la telecamera durante il colloquio stesso rimuovendo gli sfondi virtuali (l’AI impiegata per i deepfake ha spesso difficoltà a generare uno sfondo realistico). Una volta assunto un candidato è fondamentale avere una procedura di background check che verifichi a fondo l’identità e il passato lavorativo dei dipendenti prima di procedere con l’assunzione.
In ogni caso queste verifiche non sono facili, perché le casistiche sono estremamente varie e numerose, e i cybercriminali sono molto attivi nel cambiare le tecniche di inganno. Si tratta di una situazione in continuo divenire, che richiede attenzione massima e continua per provare a riconoscere il 100% dei candidati fake.
Exploit su piattaforme AI: quale modello di governance e KPI per garantirne la sicurezza?
Il pericolo dell’inserimento di codice malevolo nei modelli di intelligenza artificiale è diventato evidente nei primi mesi di quest’anno, con i primi attacchi che hanno sfruttato le vulnerabilità dell’AI. Nell’aprile 2025, CrowdStrike ha osservato diversi autori di minacce sfruttare CVE-2025-3248, una vulnerabilità che ha consentito l’iniezione di codice non autenticato in Langflow AI. Langflow è uno strumento ampiamente utilizzato per la creazione di agenti e flussi di lavoro di intelligenza artificiale. I cybercriminali hanno sfruttato CVE-2025-3248 per perseguire tre obiettivi principali: persistenza, accesso alle credenziali e distribuzione di malware.
Per garantire la sicurezza di questi tool AI esistono diverse best practice relative alla gestione dell’intelligenza artificiale, che partono dalla visibilità delle AI utilizzate in azienda e che includono l’impiego di strumenti di AI-SPM (AI Security Posture Management) per verificare sia le misconfiguration sia le vulnerabilità.
In conclusione, le raccomandazioni di CrowdStrike
Adottare soluzioni AI per potenziare le operazioni di sicurezza. I team di sicurezza devono implementare AI “agentiche” – sistemi autonomi capaci di ragionare e agire entro parametri definiti – per gestire l’escalation delle minacce informatiche e colmare la carenza di competenze specializzate.
Proteggere l’intero sistema delle identità digitali. I cybercriminali prendono sempre più di mira le identità attraverso furto di credenziali e ingegneria sociale. Serve implementare autenticazione multi-fattore, gestione delle utenze privilegiate e monitoraggio comportamentale continuo.
Eliminare i gap di visibilità tra domini. Le tecniche “hands-on-keyboard” degli hacker rendono necessarie soluzioni XDR e SIEM di nuova generazione per avere visibilità unificata su endpoint, reti, cloud e sistemi di identità.
Difendere il cloud come infrastruttura critica. Gli avversari sfruttano configurazioni errate e credenziali rubate nel cloud. Essenziali le piattaforme CNAPP con capacità di rilevamento e risposta cloud-native per monitoraggio e remediation automatizzati.
Dare priorità alle vulnerabilità con approccio adversary-centric. Focus su patch tempestive dei sistemi critici esposti a internet e monitoraggio dell’exploit chaining, utilizzando AI per ridurre il rumore e concentrarsi sui rischi reali.
Conoscere l’avversario ed essere preparati. Approccio intelligence-driven per anticipare le mosse degli attaccanti attraverso profilazione delle minacce, esercitazioni tabletop e programmi di awareness per gli utenti.
