Il Global Threat Landscape Report 2025 dei FortiGuard Labs evidenzia l’espansione del Cybercrime-as-a-Service nel dark web, che alimenta un mercato redditizio di credenziali, exploit e accessi non autorizzati
Fortinet, leader globale nella cybersecurity che promuove la convergenza tra networking e sicurezza, ha annunciato la pubblicazione del Global Threat Landscape Report 2025 dei FortiGuard Labs. Il nuovo report annuale offre una fotografia aggiornata delle minacce attive e delle tendenze emerse nel 2024, includendo un’analisi approfondita di tutte le tattiche utilizzate negli attacchi informatici, secondo la classificazione del framework MITRE ATT&CK. I dati mostrano come gli attori malevoli stiano sfruttando sempre più l’automazione, strumenti commoditized e l’intelligenza artificiale per erodere sistematicamente i vantaggi tradizionalmente detenuti dai team di difesa.
“Il nostro ultimo Global Threat Landscape Report è inequivocabile: i criminali informatici stanno accelerando, sfruttando l’intelligenza artificiale e l’automazione per operare a una velocità e a una scala senza precedenti”, ha dichiarato Derek Manky, Chief Security Strategist e Global VP Threat Intelligence, Fortinet FortiGuard Labs. “Il playbook della sicurezza tradizionale non è più sufficiente. Le organizzazioni devono adottare una strategia di difesa proattiva, guidata dall’intelligence, basata sull’IA, sul modello zero trust e sulla gestione continua dell’esposizione alle minacce per restare al passo con l’evoluzione rapida del panorama degli attacchi”.
Principali evidenze del Global Threat Landscape Report 2025 dei FortiGuard Labs:
- Lo scanning automatizzato raggiunge livelli record. Gli attaccanti anticipano le fasi dell’attacco (shift left) per individuare tempestivamente gli asset esposti. Per sfruttare le nuove vulnerabilità, i criminali informatici stanno impiegando la scansione automatizzata su scala globale. Le attività di scansione nel cyberspazio hanno raggiunto livelli senza precedenti nel 2024, con un aumento del 16,7% su base annua in tutto il mondo, evidenziando una raccolta sofisticata e massiva di informazioni sulle infrastrutture digitali esposte. I FortiGuard Labs hanno rilevato miliardi di scansioni ogni mese – pari a 36.000 scansioni al secondo – a conferma di un’intensificazione nella mappatura dei servizi esposti, come SIP, RDP e protocolli OT/IoT quali Modbus TCP.
- I marketplace del dark web offrono un facile accesso a kit di exploit preconfezionati. Nel 2024, i forum del dark web si sono evoluti in veri e propri marketplace avanzati di kit di exploit, con oltre 40.000 nuove vulnerabilità aggiunte al National Vulnerability Database, per un incremento del 39% rispetto al 2023. Oltre alla diffusione di vulnerabilità zero-day, i broker di accesso iniziale hanno offerto sempre più frequentemente credenziali aziendali (20%), accessi RDP (19%), pannelli di amministrazione (13%) e web shell (12%). I FortiGuard Labs hanno anche registrato un aumento del 500% rispetto all’anno precedente nel numero di log derivanti da sistemi compromessi da malware infostealer, con 1,7 miliardi di record di credenziali rubate condivisi nei forum clandestini.
- La criminalità informatica potenziata dall’IA si espande rapidamente. Gli attori delle minacce stanno impiegando l’intelligenza artificiale per rendere più realistiche le campagne di phishing e aggirare i controlli di sicurezza tradizionali, con attacchi più efficaci e difficili da rilevare. Strumenti come FraudGPT, BlackmailerV3 e ElevenLabs stanno alimentando campagne sempre più credibili, scalabili ed efficaci, senza le restrizioni etiche degli strumenti di IA pubblicamente disponibili.
- Aumentano gli attacchi mirati ai settori critici. Settori come il manifatturiero, la sanità e i servizi finanziari continuano a essere bersaglio di attacchi informatici su misura, con sfruttamenti specifici per settore. Nel 2024, i settori più colpiti sono stati il manifatturiero (17%), i servizi alle imprese (11%), l’edilizia (9%) e il retail (9%). Sia attori sponsorizzati da stati-nazioni che operatori di Ransomware-as-a-Service (RaaS) hanno concentrato i loro sforzi su questi verticali. Gli Stati Uniti sono stati il Paese più colpito (61%), seguiti dal Regno Unito (6%) e dal Canada (5%).
- Crescono i rischi per la sicurezza cloud e IoT. Gli ambienti cloud restano un bersaglio privilegiato, con attaccanti che sfruttano vulnerabilità persistenti come bucket di storage non protetti, identità con permessi eccessivi e servizi mal configurati. Nel 70% degli incidenti osservati, gli attaccanti hanno ottenuto l’accesso tramite login provenienti da geografie sospette, evidenziando il ruolo fondamentale del monitoraggio delle identità nella difesa in ambito cloud.
- Le credenziali sono la valuta del cybercrimine. Nel 2024, i criminali informatici hanno condiviso oltre 100 miliardi di record compromessi nei forum underground, con un aumento del 42% anno su anno, trainato in gran parte dalla diffusione delle “combo list” contenenti username, password e indirizzi email rubati. Più della metà dei post sul dark web ha riguardato database violati, consentendo attacchi automatizzati di credential stuffing su larga scala. Gruppi noti come BestCombo, BloddyMery e ValidMail sono stati tra i più attivi, abbassando la barriera d’ingresso grazie a credenziali confezionate e validate, alimentando un’escalation di account takeover, frodi finanziarie e spionaggi aziendali.
Indicazioni per i CISO: rafforzare le difese informatiche contro le minacce emergenti
Il Global Threat Landscape Report di Fortinet fornisce un’analisi dettagliata delle più recenti tattiche e tecniche degli attaccanti, offrendo al contempo raccomandazioni prescrittive e insight operativi. Pensato per supportare i CISO e i team di sicurezza, il report propone strategie efficaci per anticipare le mosse degli attori malevoli e mantenere un vantaggio sulle minacce emergenti.
L’edizione di quest’anno include il “CISO Playbook for Adversary Defense”, che evidenzia alcune aree strategiche su cui concentrarsi:
- Passare dal rilevamento tradizionale alla gestione continua dell’esposizione alle minacce. Questo approccio proattivo si basa sulla gestione continua della superficie d’attacco, sull’emulazione realistica dei comportamenti degli attaccanti, sulla prioritizzazione delle remediation in base al rischio e sull’automazione di rilevamento e risposta. L’utilizzo di strumenti di breach and attack simulation (BAS) per valutare regolarmente endpoint, rete e difese cloud contro scenari reali assicura una maggiore resilienza da movimenti laterali e sfruttamenti.
- Simulare attacchi reali. Eseguire esercitazioni di emulazione dell’avversario, attività di red e purple teaming e utilizzare il framework MITRE ATT&CK per testare le difese contro minacce quali ransomware e campagne di spionaggio.
- Ridurre l’esposizione della superficie d’attacco. Implementare strumenti di Attack Surface Management (ASM) per rilevare asset esposti, credenziali compromesse e vulnerabilità sfruttabili, monitorando costantemente i forum del dark web alla ricerca di nuove minacce.
- Dare priorità alle vulnerabilità ad alto rischio. Concentrarsi sulla remediation delle vulnerabilità di maggiore interesse per i gruppi criminali, sfruttando framework di prioritizzazione del rischio come EPSS e CVSS per una gestione efficace delle patch.
- Sfruttare l’intelligence del dark web. Monitorare i marketplace del dark web per individuare nuovi servizi ransomware e tracciare l’attività dei gruppi hacktivisti, anticipando minacce come attacchi DDoS e defacement di siti web.
Scopri come i FortiGuard Labs Advisory Services combinano tecnologie all’avanguardia e competenze specialistiche per aiutare le organizzazioni a rafforzare la propria postura di sicurezza prima che le minacce emergano. In caso di incidente, i FortiGuard Labs forniscono una risposta rapida ed efficace, oltre ad analisi forense approfondite, per ridurre l’impatto e prevenire intrusioni future, offrendo una protezione completa in un panorama digitale sempre più instabile.
