Nel 2024 il panorama delle minacce informatiche che hanno colpito l’Italia ha raggiunto livelli critici, secondo quanto emerge dall’ottava edizione dello Y-Report di Yarix, il centro di competenza per la cybersecurity di Var Group. L’analisi fornisce una visione dettagliata e documentata delle evoluzioni che hanno caratterizzato il cyberspazio, ponendo particolare attenzione alle nuove tecnologie utilizzate sia per sferrare attacchi sia per rafforzare le difese.

Il Security Operation Center (SOC) di Yarix ha registrato oltre 485.000 eventi di sicurezza, un incremento del 56% rispetto all’anno precedente. Di questi, 141.000 si sono trasformati in veri e propri incidenti, con un aumento del 70% rispetto al 2023. Ancora più allarmante è l’incremento del 269% degli incidenti considerati di gravità critica, spesso legati alla presenza di vulnerabilità in componenti chiave delle infrastrutture IT, tra cui firewall e dispositivi di sicurezza. A essere maggiormente colpiti sono stati i settori Manifatturiero e IT, rispettivamente con il 12,5% e l’11,8% degli incidenti totali. Il primo, a causa di dispositivi obsoleti e strutture produttive decentrate con scarsa governance, mentre il secondo per via della forte esposizione dei servizi e della natura sensibile dei dati gestiti.

Uno dei fenomeni più persistenti anche nel 2024 è stato quello del ransomware, con 4.721 eventi mappati a livello globale (+5,5% rispetto al 2023), prevalentemente rivolti a piccole e medie imprese. Il gruppo RansomHub si è distinto come il più attivo, responsabile di quasi il 10% degli attacchi totali. In Italia, il ransomware ha colpito in particolare le imprese manifatturiere, le società di consulenza, il comparto IT e i settori trasporti e costruzioni, con un’incidenza geografica maggiore in Lombardia, Emilia-Romagna e Veneto. Il nostro Paese è salito al quarto posto nella classifica globale degli Stati più colpiti da ransomware, preceduto solo da Stati Uniti, Regno Unito e Canada.

Italia ransomware

Crediti: Shutterstock

Il contesto geopolitico ha ulteriormente alimentato l’instabilità del cyberspazio. L’Italia è stata infatti il quinto Paese più colpito da attacchi di hacktivismo, portati avanti da collettivi filo-russi in risposta al supporto italiano all’Ucraina e da gruppi dell’area Asia-Pacifico per via della posizione del nostro governo a favore di Israele. Questi attacchi, spesso eseguiti tramite DDoS per rendere inaccessibili siti o servizi, hanno avuto picchi significativi nel primo e nel quarto trimestre del 2024.

I gruppi filorussi come NoName057 (il più attivo dell’anno) hanno preso di mira infrastrutture strategiche nei settori energia, sanità, finanza e logistica, giustificando le loro azioni come ritorsione all’intervento occidentale nella guerra tra Russia e Ucraina. D’altra parte, attori pro-arabi hanno colpito Stati allineati con Israele, mentre collettivi dell’Asia-Pacifico hanno agito in relazione a dispute territoriali, in particolare tra India e Paesi confinanti.

Uno degli aspetti più innovativi ma al contempo preoccupanti emersi dal report riguarda l’impiego dell’IA Generativa da parte degli attaccanti. Durante il 2024, il team di Incident Response ha infatti gestito 146 compromissioni di sicurezza (+75,9%), molte delle quali rese più efficaci proprio dall’uso di AI per generare automaticamente script dannosi e malware. Questa tendenza sta abbassando la barriera tecnica per entrare nel mondo del cybercrimine, permettendo anche ad attori meno esperti di lanciare attacchi sofisticati. Gli aggressori, inoltre, sono diventati più abili nel cancellare le proprie tracce e rendere irriconoscibili i punti di ingresso nei sistemi compromessi.

La tecnologia, però, non è solo strumento d’attacco. Yarix ha mostrato infatti come l’IA applicata alla difesa possa offrire benefici reali, tanto che a un anno dal lancio di Egyda, piattaforma di monitoraggio che integra AI e machine learning all’interno del SOC, il tempo medio di risposta agli incidenti si è ridotto di oltre il 50%. L’elaborazione automatizzata degli alert e la capacità predittiva del sistema hanno inoltre permesso un’accelerazione nella rilevazione e gestione delle minacce.

Il 2024 ha anche visto una crescita preoccupante di malware progettati per aggirare i controlli di sicurezza, con un incremento del 333% di programmi in grado di neutralizzare software di difesa sugli endpoint. Sono diventati più comuni anche gli strumenti EDR Killer e le tecniche avanzate come il Bring Your Own Vulnerable Driver (BYOVD), che sfruttano driver legittimi ma vulnerabili per ottenere il controllo del sistema target. Infine, si segnala un ampliamento delle reti di affiliazione di gruppi come Akira, LockBit e BlackBasta, che oggi reclutano anche operatori meno qualificati puntando a massimizzare la quantità di attacchi e i relativi guadagni da riscatto.