Y-Report 2025 – VII Edizione: sono 97 i gruppi di cyber attivisti rilevati da Yarix (Var Group) a livello globale. L’Italia presa di mira da gruppi dell’Asia-Pacifico e filo-russi in occasione del G7 a Kiev

Windows-hackers

In questi tempi d’incidenti di sicurezza sempre più ingenti, per tracciare lo scenario delle minacce informatiche che hanno colpito e colpiscono l’Italia e il mondo (in particolare nella rilettura dell’anno 2024), Var Group presenta l’ottava edizione del Y-Report di Yarix, il suo centro di competenza per la cybersecurity e l’hacktivismo.

  • Nel 2024, il Security Operation Center (SOC) di Yarix, sala di controllo da cui vengono monitorati  gli attacchi informatici in tempo reale, ha analizzato complessivamente oltre 485 mila eventi di  sicurezza (+56% rispetto al 2023), ovvero attività anomale o sospette nei sistemi.
  • Quasi 1 su 3 di  questi eventi (141 mila, +70% sul 2023) è evoluto in incidente, violazione che ha impattato la  sicurezza di dati o sistemi.
  • In questo scenario, gli incidenti di gravità critica sono più che triplicati (+269% su base annua), trend favorito dalla presenza di vulnerabilità in componenti chiave  dell’infrastruttura, come firewall e altri dispositivi di sicurezza.
  • I due settori più colpiti sono il Manifatturiero (12,5%), particolarmente esposto a causa della  presenza di ambienti produttivi con dispositivi obsoleti e infrastrutture delocalizzate, spesso  caratterizzate da una governance limitata, e l’IT (11,8%), per via dell’elevato numero di servizi  esposti, soggetti a diverse tipologie di vulnerabilità, e per la natura sensibile dei dati trattati.

Hacktivismo: Ransomware 

Durante il 2024 sono stati mappati 4.721 eventi ransomware a livello mondiale (+5,5% di rivendicazioni rispetto al 2023), in prevalenza contro PMI (54%), condotti da 92 gruppi  ransomware. Tra questi, RansomHub si conferma quello più attivo, contribuendo da solo al 9,80%  degli attacchi totali.

L’Italia sale di una posizione e diventa il quarto paese più interessato dai ransomware, dopo  Stati Uniti, Regno Unito, Canada e prima della Germania. A livello italiano, gli attacchi ransomware hanno colpito aziende nei settori Manifatturiero (32,5%), Consulenza (9%), IT (7,5%), Trasporti  (7,5%) e Costruzioni (6,5%), distribuite maggiormente in Lombardia (30,90%), Emilia-Romagna  (15,40%) e Veneto (8,80%). 

Contesto geopolitico e Hacktivismo 

L’Italia è stato il 5° Paese più colpito dai gruppi hacktivisti durante il 2024, sia da collettivi filo-russi con motivazioni principalmente legate alla posizione italiana a supporto del governo di Kiev nel conflitto Russia-Ucraina, come in occasione del primo incontro del 2024 del G7 da Kievche da collettivi appartenenti all’area Asia-Pacifico, volti al sostegno della popolazione palestinese e dunque contrari al sostegno italiano ad Israele. I picchi maggiori sono stati registrati in  corrispondenza del primo e quarto trimestre del 2024. 

Ai primi posti dei paesi più attaccati l’Ucraina, Israele e la Romania, quest’ultima per il valore  strategico e militare nel conflitto tra Russia e Ucraina. Al quarto posto l’India, a causa di dispute  territoriali o politiche con i Paesi vicini, per cui è stato identificato un picco di attività da parte di  collettivi dell’area Asia-Pacifico.

Il Team di Cyber Intelligence ha registrato 97 gruppi hacktivisti a livello globale, di cui il più attivo  è stato il collettivo filorusso NoName057, che ha totalizzato più del 55% degli attacchi per i settori  Energia & Utility, Sanità, Banca & Finanza e Trasporti & Logistica.

  • I collettivi allineati con la Russia hanno concentrato i loro attacchi verso obiettivi ucraini,  alleati del governo di Kiev e membri della NATO, giustificando le loro azioni come una  risposta al coinvolgimento occidentale nella regione. In altri casi, è stato osservato che gruppi  sostenitori del governo di Mosca hanno esteso la loro influenza oltre il conflitto Russia

Ucraina, mostrando sostegno a movimenti interni di alcuni Paesi che hanno causato disagi  a livello nazionale (ad esempio la protesta degli agricoltori in Europa) attraverso attacchi  DDoS, azioni mirate a sovraccaricare un sito o di un server per renderlo inaccessibile;

  • Gli attori pro-arabi e pro-musulmani hanno invece mirato a paesi che hanno mostrato  supporto politico o militare a Israele nel suo conflitto in corso contro Hamas, considerando  gli attacchi DDoS come una forma di ritorsione per il sostegno alle azioni militari del governo  di Tel-Aviv. In modo simile, gli attori pro-Palestina e quelli legati ad Anonymous hanno  indirizzato i loro attacchi verso paesi che consideravano responsabili delle sofferenze dei  civili, con particolare attenzione alla situazione di Gaza;
  • I terroristi dell’hacktivismo dell’area Asia-Pacifico sono stati coinvolti in azioni relative a dispute tra  India e paesi confinanti, come Bangladesh e Pakistan, e nella causa umanitaria scaturita dal  conflitto tra Israele e Hamas.

Tendenze 2024: IA nell’attacco e nella difesa

Nel 2024, il team di Incident Response ha gestito 146 compromissioni di sicurezza, (+75,9% rispetto al 2023). Dalle analisi è emerso che l’Intelligenza Artificiale Generativa è stata impiegata  per sviluppare script malevoli, istruzioni automatizzate per eseguire azioni dannose su un sistema  informatico; ciò ha permesso di velocizzare la creazione di malware, permettendo anche ad attori  meno esperti di lanciare attacchi, e contribuito a una crescente sofisticazione degli stessi.

Gli attaccanti dell’hacktivismo sono inoltre sempre più abili a cancellare le loro tracce nei sistemi compromessi, rendendo sempre più complesso ricostruire le loro attività e identificare il punto d’ingresso.

Ma l’IA è uno strumento fondamentale anche per la difesa: a un anno dalla nascita di Egyda, piattaforma di Yarix che integra automazione avanzata, machine learning e intelligenza  artificiale all’interno del SOC, il tempo medio di risposta agli eventi è stato ridotto di oltre il 50%  grazie a un’elaborazione più rapida e precisa degli alert.

Tra le altre principali tendenze osservate dal team: 

  • l’adozione di strumenti personalizzati per la compromissione dei sistemi e l’impiego di  diversi metodi per criptare i dati, rendendo più difficile il recupero;
  • l’abbassamento della soglia di selezione nei processi di affiliazione: gruppi come Akira,  LockBit, BlackBasta e altri emergenti mostrano un livello di competenze eterogeneo tra i loro  affiliati. Questo approccio punta ad aumentare il volume degli attacchi e massimizzare i  profitti derivanti dai riscatti;
  • un aumento del 333% di malware progettati per neutralizzare i controlli di sicurezza, la  diffusione di “EDR Killer” per disabilitare i software di sicurezza sugli endpoint (pc,  smartphone…);
  • l’adozione, da parte di gruppi più evoluti, di metodi sofisticati come il “Bring Your Own  Vulnerable Driver” (BYOVD), che installa sul sistema bersaglio un driver legittimo, cioè  creati da produttori affidabili, ma contenente vulnerabilità.

Articoli correlatiAltro dello stesso autore