Le minacce informatiche stanno diventando sempre più sofisticate e pericolose, soprattutto con l’avvento dell’Intelligenza Artificiale. I cybercriminali sono abili nel creare attacchi mirati e personalizzati, sfruttando la vulnerabilità umana attraverso tecniche di social engineering e phishing. Tuttavia, è il malware la minaccia che ha registrato la crescita più significativa negli ultimi mesi. Questa tendenza è confermata anche WatchGuard Technologies, specialista globale nella cybersecurity unificata per i fornitori di servizi gestiti (MSP), nel suo ultimo Internet Security Report, un’analisi trimestrale che descrive le principali minacce malware, di rete ed endpoint osservate dai ricercatori del WatchGuard Threat Lab durante il primo trimestre del 2025.
Le difese di cybersecurity tradizionali non bastano più
I principali risultati del report rivelano un aumento del 171% (trimestre su trimestre) nel numero totale di rilevamenti di malware unici, il valore più alto mai registrato dal Threat Lab. A questo si accompagna un notevole incremento di malware “zero day”, segnale di una netta crescita delle minacce evasive progettate per aggirare il rilevamento basato su firme – ossia quei sistemi di cybersecurity tradizionali che si basano su pattern per individuare le minacce. In particolare, il rilevamento proattivo tramite machine learning (ML) offerto da WatchGuard IntelligentAV (IAV) è aumentato del 323%, evidenziando il suo ruolo cruciale nell’intercettare malware avanzato. I rilevamenti del Gateway AntiVirus (GAV) sono cresciuti del 30%, mentre il malware veicolato tramite Transport Layer Security (TLS) è aumentato di 11 punti, a sottolineare come i canali cifrati siano un vettore di attacco primario. L’impennata di IAV e l’incremento del malware via TLS mettono in evidenza come gli attaccanti facciano sempre più affidamento su tecniche di offuscamento e cifratura, che sfidano le difese tradizionali. I risultati sottolineano la necessità di una maggiore visibilità e di una sicurezza adattiva per contrastare queste minacce sofisticate e nascoste su larga scala.
Il Threat Lab ha inoltre osservato un aumento del 712% nelle nuove minacce malware sugli endpoint. A sottolineare la gravità di questo dato, le nuove minacce malware sono risultate in calo costante negli ultimi tre trimestri. La minaccia principale sugli endpoint è risultata essere LSASS dumper, un malware per il furto di credenziali utilizzato per attività come l’accesso ai sistemi, la gestione delle password e la creazione di token di accesso. Gli attaccanti sfruttano LSASS per accedere ai componenti di sistema bypassando la modalità utente ed eseguendo istruzioni direttamente in modalità kernel.
I risultati principali del report
Ulteriori risultati chiave del Q1 2025 Internet Security Report di WatchGuard includono:
- Il ransomware è diminuito dell’85% rispetto al trimestre precedente, anche se la seconda minaccia malware più rilevata è stata un payload ransomware: Termite ransomware. Questo conferma la tendenza del settore della cybersecurity a un calo del cosiddetto crypto ransomware (il malware che cripta i file). Gli attaccanti si stanno ora orientando verso il furto di dati anziché la cifratura, anche grazie ai miglioramenti nei backup e nelle strategie di recovery adottate dalle aziende.
- Gli script, ossia i file derivati o basati su linguaggi di scripting, sono diminuiti di circa la metà in questo trimestre, raggiungendo il livello più basso mai registrato. Storicamente, il Threat Lab ha osservato gli script come principale vettore di attacco per il rilevamento del malware sugli endpoint. Altre tecniche Living off The Land (LoTL), come quelle basate su Windows, hanno invece registrato l’aumento maggiore trimestre su trimestre (+18%), colmando il vuoto lasciato dagli script.
- Il malware più rilevato su connessioni cifrate è stato Agent.FZPI, un nuovo file HTML malevolo che unisce file dall’aspetto legittimo con comunicazioni cifrate. Questa minaccia combina diverse tecniche utilizzate dai cybercriminali negli ultimi anni in un unico super allegato di phishing. Le organizzazioni devono implementare un’ispezione TLS robusta, un’analisi comportamentale e protezioni endpoint efficaci per rilevare e neutralizzare questa minaccia.
- Nel Q1 2025, il malware più diffuso è stato Cashback.B.0835E4A4, una minaccia appena identificata e tra le famiglie di malware più pervasive mai registrate, con un impatto massimo in Cile (76%) e in Irlanda (65%). La diffusione delle varianti di Application.Cashback segnala la necessità di difese specifiche per regione per contrastare queste minacce sofisticate.
- Il numero unico di firme di rete attivate, ossia di attacchi alla cybersecurity noti rilevati sulle reti, è diminuito del 16% rispetto al trimestre precedente, poiché gli attaccanti si sono concentrati su un insieme più ristretto di exploit. Il panorama degli attacchi di rete evidenzia che, sebbene emergano nuovi exploit, gli attaccanti continuano a sfruttare pesantemente vulnerabilità legacy non patchate su larga scala, costringendo le organizzazioni a gestire entrambe le sfide contemporaneamente.
- Le minacce malware continuano a emergere più via email che via web, suggerendo che i cybercriminali stanno prendendo di mira gli utenti con tecniche di phishing tradizionale, rese più convincenti dall’IA. Tuttavia, strumenti di cybersecurity basati su IA e machine learning hanno rilevato un numero significativamente maggiore di minacce al perimetro di rete ed endpoint nel Q1 2025.
In linea con l’approccio Unified Security Platform®di WatchGuard e con i precedenti Internet Security Report trimestrali del WatchGuard Threat Lab, i dati analizzati in questo report sono basati su intelligence sulle minacce aggregata e anonima proveniente da prodotti di rete ed endpoint WatchGuard attivi i cui proprietari hanno acconsentito alla condivisione dei dati per supportare gli sforzi di ricerca di WatchGuard.
Dichiarazioni
“I risultati più recenti dell’Internet Security Report riferito a Q1 2025 sembrano confermare una tendenza più ampia nel settore della cybersecurity: la guerra dell’IA è cominciata. Gli attaccanti fanno sempre più affidamento su tecniche di social engineering e phishing potenziate dagli strumenti di intelligenza artificiale”, ha dichiarato Corey Nachreiner, chief security officer di WatchGuard Technologies. “Ora gli attaccanti hanno la capacità di lanciare campagne altamente mirate su larga scala grazie a pipeline automatizzate, il che evidenzia la necessità per le organizzazioni di adottare misure di sicurezza robuste, precise e potenti per restare al passo con i progressi dell’IA e i rischi informatici in evoluzione”.
