Il 2024 si è rivelato un anno record per gli attacchi informatici, con un incremento del 70% nel numero di incidenti rilevati a livello globale e una triplicazione (+269%) di quelli classificati come critici. È quanto emerge dall'ottava edizione dello Y-Report, l'analisi annuale prodotta da Yarix, centro di competenza per la cybersecurity di Var Group. In totale, il Security Operation Center di Yarix ha monitorato oltre 485.000 eventi di sicurezza, con 141.000 trasformatisi in veri e propri incidenti. A preoccupare è soprattutto la vulnerabilità di componenti strategici come firewall e dispositivi di sicurezza, bersagli privilegiati da cybercriminali sempre più evoluti.
Nel contesto italiano, il settore manifatturiero risulta essere il più esposto (12,5% degli attacchi), seguito da quello IT (11,8%). Il primo continua a scontare l'utilizzo di tecnologie obsolete e ambienti industriali poco presidiati dal punto di vista della governance. Il comparto informatico, invece, paga l'ampia esposizione a internet e la natura sensibile dei dati trattati.
Nel 2024 sono stati tracciati 4.721 attacchi ransomware a livello globale, con un incremento del 5,5% rispetto all'anno precedente. Oltre metà dei casi ha colpito piccole e medie imprese, bersagli spesso meno attrezzati per fronteggiare queste minacce. Tra i 92 gruppi di ransomware mappati, RansomHub si è imposto come il più attivo, con quasi il 10% degli attacchi.
L'Italia è salita al quarto posto tra i paesi più colpiti da ransomware, superando la Germania e dietro soltanto a Stati Uniti, Regno Unito e Canada. Le regioni italiane più bersagliate sono Lombardia (30,9%), Emilia-Romagna (15,4%) e Veneto (8,8%). I settori più colpiti sono quello manifatturiero (32,5%), la consulenza (9%), l'IT (7,5%), i trasporti (7,5%) e l'edilizia (6,5%).
GEOPOLITICA E HACKTIVISMO
Nel 2024 l'Italia si è classificata come il quinto Paese al mondo più colpito da azioni di hacktivismo, fenomeno che ha assunto connotazioni fortemente geopolitiche. Secondo il team di Cyber Intelligence di Yarix, sono stati identificati 97 gruppi attivi a livello globale. Tra questi, il collettivo filorusso NoName057 ha rappresentato oltre il 55% degli attacchi nei settori Energia, Sanità, Finanza e Logistica.
L'Italia è stata presa di mira in particolare in occasione del G7 di Kiev, attirando l'attenzione sia di gruppi filorussi ostili al supporto italiano all'Ucraina, sia di collettivi dell'Asia-Pacifico critici verso il sostegno italiano a Israele nel conflitto con Hamas. Altri Paesi tra i più attaccati sono Ucraina, Israele, Romania e India, questi ultimi per il loro ruolo strategico o per questioni regionali.
Le modalità di attacco si sono concentrate soprattutto su campagne DDoS, finalizzate a bloccare siti e servizi attraverso un sovraccarico dei server. Gli attori pro-Russia hanno preso di mira anche movimenti europei interni, come la protesta degli agricoltori. I gruppi pro-palestinesi, inclusi quelli affiliati ad Anonymous, hanno agito in risposta al sostegno a Israele, indirizzando gli attacchi verso obiettivi governativi o istituzionali.
Uno dei dati più significativi del report riguarda l'utilizzo sempre più sofisticato dell'Intelligenza Artificiale. Nel 2024, il team di Incident Response di Yarix ha gestito 146 compromissioni (+75,9% sul 2023), molte delle quali caratterizzate da script malevoli sviluppati tramite AI generativa. Questo ha permesso di rendere gli attacchi più rapidi e accessibili anche ad attori non particolarmente esperti, complicando ulteriormente le attività di rilevazione e contenimento.
Parallelamente, l'AI è stata anche un prezioso alleato nella difesa. A un anno dal lancio di Egyda, piattaforma sviluppata da Yarix che integra automazione, machine learning e AI all'interno del SOC, il tempo medio di risposta agli alert è stato ridotto di oltre il 50%.
Tra le principali tendenze tecniche evidenziate nel report si segnalano:
- L'impiego di strumenti su misura per la compromissione dei sistemi e per la cifratura dei dati, rendendo complesso il loro recupero;
- L'abbassamento della soglia di ingresso nei gruppi di ransomware, che ha portato a un aumento del volume di attacchi, come nel caso di Akira, LockBit e BlackBasta;
- Un incremento del 333% nei malware in grado di disattivare sistemi di protezione, con diffusione degli EDR Killer per neutralizzare i software di sicurezza sugli endpoint;
- L'utilizzo del metodo “Bring Your Own Vulnerable Driver” (BYOVD), che sfrutta driver legittimi ma vulnerabili per ottenere accesso privilegiato ai sistemi.
Il report di Yarix si basa sull'analisi di dati provenienti da un panel di aziende clienti del SOC, appartenenti a diversi settori economici e con oltre mille dipendenti e ricavi superiori ai 50 milioni di euro. I dati sono stati anonimizzati, aggregati e normalizzati per garantire affidabilità statistica e rispetto della privacy.
Con una presenza in 13 Paesi e un fatturato di 823 milioni di euro (al 30 aprile 2024), Var Group si conferma protagonista nel panorama delle soluzioni digitali. Yarix, suo centro di eccellenza per la cybersecurity, da oltre 20 anni affianca industrie, istituzioni e sanità pubblica nella difesa dagli attacchi informatici, forte di uno dei più avanzati Cognitive Security Operation Center in Italia.
Battlefield 2042 ora richiede il Windows Secure Boot per il suo anti-cheat