CrowdStrike ha pubblicato il report European Threat Landscape 2025 (SCARICALO QUI) rivelando che le organizzazioni europee, seconde solo a quelle del Nord America, rappresentano quasi il 22% delle vittime globali di ransomware ed estorsione. Le operazioni di ransomware evolvono più rapidamente che mai: CrowdStrike ha osservato gruppi avversari come SCATTERED SPIDER aumentare la velocità di diffusione del ransomware del 48%, con attacchi che ora si completano in media in sole 24 ore.
Gli avversari che operano in Europa, o prendono di mira la regione, hanno tratto vantaggio dai marketplace clandestini che operano nella fornitura di servizi come il Malware-as-a-Service, l’intermediazione di initial access e kit di phishing. Parallelamente, attori sostenuti da stati come Russia, Cina, Corea del Nord e Iran hanno ampliato i loro obiettivi regionali in diversi settori, riflettendo la crescente convergenza tra criminalità informatica e minacce geopolitiche.
Principali evidenze del Report European Threat Landscape Sulla base dell’intelligence diretta delle Counter Adversary Operations di CrowdStrike, che monitorano oltre 265 gruppi avversari precedentemente identificati, il rapporto evidenzia quanto segue:
● Gli attacchi ransomware sono ai massimi storici: dal 1° gennaio 2024 sono state registrate su siti di estorsione e diffusione dei dati oltre 2.100 vittime in Europa. Regno Unito, Germania, Francia, Italia e Spagna sono i Paesi più colpiti, con il 92% dei casi che ha coinvolto la cifratura dei file e il furto di dati. A sostenere le operazioni di Big Game Hunting, 260 broker di initial access hanno pubblicizzato i propri servizi a oltre 1.400 organizzazioni europee.
● Russia e Corea del Nord intensificano le minacce: gli attori collegati alla Russia hanno continuato a colpire l’Ucraina conducendo campagne di phishing per il furto di credenziali, raccolta di informazioni e operazioni distruttive contro governo, esercito, settori dell’energia, telecomunicazioni e servizi pubblici. Gli attori legati alla Corea del Nord hanno ampliato gli attacchi a istituzioni europee dei settori della difesa, diplomatico e finanziario, combinando spionaggio e furto di criptovalute per sostenere interessi strategici.
● Evoluzione degli ecosistemi sommersi: forum in lingua inglese e russa, tra cui BreachForums, successore di RaidForums, i cui amministratori risultano collegati a soggetti basati in Francia e nel Regno Unito, rimangono centrali nell’ecosistema eCrime europeo, facilitando lo scambio di dati rubati, malware e servizi criminali. Piattaforme come Telegram, Tox e Jabber favoriscono collaborazione, reclutamento e monetizzazione tra gli attori delle minacce.
● Il crimine fisico diventa digitale: è emersa in Europa una crescente minaccia legata al Violence-as-a-Service, con attori che utilizzano reti basate su Telegram per coordinare aggressioni fisiche, rapimenti ed estorsioni legate al furto di criptovalute. Gruppi collegati all’ecosistema “The Com” e avversari ibridi come RENAISSANCE SPIDER stanno unendo operazioni cyber e fisiche, offrendo compensi per sabotaggi, incendi dolosi e atti di violenza mirati.
● La Cina concentra il proprio modus operandi: gli avversari state-sponsored dallo stato cinese hanno preso di mira i settori in undici Paesi, sfruttando infrastrutture cloud e catene di fornitura software per perpetrare furti di proprietà intellettuale. Campagne persistenti hanno colpito in particolare i settori sanitario e biotecnologico, con VIXEN PANDA come principale minaccia per gli enti governativi e della difesa europei.
● Le operazioni iraniane si espandono in Europa: attori collegati a IRGC hanno intensificato campagne di phishing, hack-and-leak e attacchi DDoS contro Regno Unito, Germania e Paesi Bassi. HAYWIRE KITTEN ha rivendicato un attacco DDoS contro una testata giornalistica olandese, mentre diversi gruppi iraniani si sono finti hacktivisti per mascherare attività di spionaggio sponsorizzate dallo stato.
