CPX 2025: Check Point svela le ultime informazioni sulla guerra informatica alimentata dall’AI, sull’evoluzione del ransomware e sull’espansione delle minacce al cloud che definiscono il panorama informatico attuale

Check Point

Il pioniere e leader globale nelle soluzioni di sicurezza informatica, condivide i principali dati dell’ultimo Threat Intelligence Report EMEA in occasione di CPX Vienna 2025, l’evento annuale della società dedicato alla sicurezza informatica. CPX Vienna riunisce leader del settore, esperti di sicurezza informatica e responsabili politici per discutere delle minacce emergenti, dell’impatto dell’IA sulla guerra informatica e delle ultime innovazioni in materia di sicurezza.

Gli ultimi risultati di Check Point Software evidenziano che la guerra informatica guidata dall’intelligenza artificiale, lo spostamento del ransomware verso l’estorsione dei dati e le vulnerabilità delle infrastrutture cloud ed edge sono le principali sfide per la sicurezza delle organizzazioni nell’area EMEA.

Principali tendenze della sicurezza informatica in EMEA

Gli attacchi informatici si stanno sempre più spostando dal blocco diretto delle infrastrutture a operazioni di influenza, campagne di disinformazione e guerra informatica basata sull’intelligenza artificiale. Gli attori nazionali sfruttano gli strumenti dell’IA per manipolare le informazioni, diffondere disinformazione ed eseguire sofisticati attacchi informatici.

  • L’IA è stata utilizzata in almeno un terzo delle principali elezioni tra settembre 2023 e febbraio 2024 per influenzare gli elettori, diffondere disinformazione e manipolare la fiducia.
  • I gruppi informatici sostenuti da Russia, Iran e Cina hanno sfruttato deepfake generati dall’IA e campagne di fake news per interferire con le elezioni negli Stati Uniti, a Taiwan, in Romania e in Moldavia.
  • Le Olimpiadi di Parigi sono diventate un obiettivo primario per le operazioni di influenza cibernetica, con sforzi coordinati di disinformazione volti a screditare l’evento e a distruggere l’unità occidentale.

L’incremento della disinformazione alimentata dall’intelligenza artificiale sta rimodellando radicalmente il panorama della sicurezza informatica”, afferma Lotem Finkelsteen, Director, Threat Intelligence and Research Area. Dagli attacchi politici generati da deepfake alle campagne di influenza su larga scala, stiamo assistendo a un’escalation senza precedenti della guerra informatica guidata dall’IA”.

 

  • L’intelligenza artificiale di DeepSeek colpita da un attacco informatico su larga scala

In un grave incidente di sicurezza informatica, DeepSeek AI, una piattaforma di intelligenza artificiale con sede in Cina, ha subito un attacco informatico su larga scala che l’ha costretta a limitare le registrazioni di nuovi utenti. Sebbene l’identità degli aggressori rimanga sconosciuta, la violazione solleva preoccupazioni sulla sicurezza delle piattaforme di IA e sulle potenziali vulnerabilità degli ecosistemi guidati dall’IA.

Man mano che l’IA si integra nelle operazioni quotidiane, la sua infrastruttura diventa un obiettivo primario per i criminali informatici e gli attori degli Stati nazionali”, sostiene Eli Smadja, Security Research Group Manager di Check Point Software. “Le organizzazioni devono dare priorità alla sicurezza dell’IA per prevenire violazioni su larga scala che potrebbero avere conseguenze di vasta portata”.

L’attacco a DeepSeek evidenzia la crescente tendenza a prendere di mira le infrastrutture di IA, sottolineando che i servizi guidati dall’Intelligenza Artificiale devono implementare solide misure di sicurezza per proteggersi dalle minacce in continua evoluzione.

 

  • L’evoluzione del ransomware verso l’estorsione pura di dati e l’obiettivo dei settori critici

Il ransomware rimane una delle minacce informatiche più persistenti e dannose. Gli aggressori stanno però cambiando tattica, passando dalla tradizionale estorsione basata sulla crittografia alla pura estorsione di dati.

  • I gruppi di ransomware si concentrano ora sul furto di dati aziendali sensibili e sulla minaccia di divulgarli piuttosto che sulla crittografia dei file.
  • Il giro di vite delle forze dell’ordine sui principali gruppi di ransomware come LockBit e ALPHV ha portato a un panorama di ransomware frammentato, con gruppi emergenti come RansomHub che approfittano del vuoto di potere.

Lo spostamento verso l’estorsione con fuga di dati presenta un rischio più insidioso: le organizzazioni non devono più affrontare solo interruzioni operative, ma anche l’esposizione pubblica di dati sensibili”, dichiara Omer Dembinsky, Data Research Group Manager di Check Point Software. “Le strategie di sicurezza devono evolversi per concentrarsi sul rilevamento precoce, su una forte crittografia dei dati e su solidi controlli di accesso per mitigare queste minacce”.

 

  • Infostealer e Broker di accesso iniziale: L’economia sommersa del crimine informatico

L’esplosione del malware infostealer è alla base dell’aumento di credenziali rubate, dirottamenti di sessione e violazioni aziendali.

  • Gli attacchi infostealer sono aumentati del 58%, con oltre 10 milioni di credenziali rubate disponibili per la vendita sui mercati clandestini della criminalità informatica.
  • AgentTesla, Lumma Stealer e FormBook sono state tra le principali minacce malware nell’area EMEA, spesso rivolte a credenziali VPN e token di autenticazione.
  • Il Session hijacking o dirottamento di sessione, è ora una tecnica primaria per aggirare l’autenticazione a più fattori (MFA), consentendo agli aggressori di ottenere un accesso persistente agli ambienti aziendali.

“I criminali informatici non si limitano più a violare i sistemi, ma vendono l’accesso”, afferma Sergey Shykevich, Group Manager of Threat Intelligence di Check Point Software. “L’ascesa degli infostealer e dei broker di accesso iniziale ha creato un mercato clandestino in cui le credenziali rubate alimentano una più ampia gamma di cyberattacchi, tra cui ransomware e frodi finanziarie”.

 

  • Le vulnerabilità del cloud e dell’edge ampliano la superficie di attacco

Mentre gli ambienti cloud ibridi diventano la spina dorsale delle aziende moderne, gli aggressori sfruttano configurazioni errate, controlli di accesso deboli e vulnerabilità nei dispositivi edge per ottenere l’accesso iniziale.

  • Le configurazioni errate del cloud hanno portato a numerose violazioni dei dati di alto profilo, esponendo i dati del governo, della sanità e del settore finanziario.
  • Gli attori delle minacce hanno sfruttato le vulnerabilità del Single Sign-On (SSO), consentendo il movimento laterale attraverso gli ambienti cloud.
  • Le APT di matrice cinese hanno sfruttato dispositivi IoT e VPN compromessi come Operational Relay Box (ORB) per stabilire un accesso persistente alle reti globali.

Le organizzazioni devono ripensare la sicurezza del cloud”, afferma Michael Abramzon, Threat Intelligence and Research Architect di Check Point Software. “Gli aggressori non si limitano più a violare i sistemi on-premises, ma si inseriscono negli ambienti cloud, puntano alle credenziali e sfruttano meccanismi legittimi per facilitare il movimento laterale bidirezionale. Un approccio proattivo alla sicurezza è fondamentale”.

 

In sintesi

  • Negli ultimi sei mesi le organizzazioni dell’area EMEA hanno subito una media di 1.679 attacchi informatici a settimana, leggermente inferiore alla media globale.
  • Il settore dell’istruzione e della ricerca è il più attaccato in EMEA, con una media di 4.247 attacchi settimanali per organizzazione, in linea con le tendenze globali.
  • I cinque settori più attaccati in EMEA:
  1. Istruzione e ricerca (4.247 attacchi settimanali)
  2. Comunicazioni
  3. Militare
  4. Sanità
  5. Vendita al dettaglio e all’ingrosso (in contrasto con le tendenze globali che vedono i servizi di pubblica utilità al quinto posto).
  • L’Etiopia rimane il Paese più bersagliato in EMEA, seguito da Uganda, Angola e Ghana.
  • Il 62% dei file malevoli in EMEA è stato consegnato via e-mail negli ultimi 30 giorni, rafforzando il phishing come vettore di attacco dominante.
  • FakeUpdates (SocGholish) rimane il malware più diffuso in EMEA e funge da downloader per ulteriori infezioni informatiche.
  • Gli attacchi malware Infostealer sono aumentati del 58%, alimentando il furto di credenziali e consentendo ai criminali informatici di vendere l’accesso ai sistemi aziendali.