Scoperta una nuova categoria di minacce informatiche che sfrutta l’intelligenza artificiale. Il ransomware CyberLock cripta i file presenti sul dispositivo della vittima. I cybercriminali richiedono riscatti apparentemente destinati a cause umanitarie in aree come Palestina, Ucraina, Africa e Asia
I criminali informatici stanno sfruttando la crescente diffusione dell’Intelligenza Artificiale per attaccare in modo sempre più sofisticato privati e aziende. Le tecniche utilizzate per distribuire software dannosi sono di diversa natura, fra cui l’avvelenamento SEO, una strategia che manipola i risultati dei motori di ricerca per far comparire i propri siti e link malevoli tra i primi risultati, o anche l’utilizzo di piattaforme come Telegram e social media messenger. Le aziende in cerca di soluzioni basate sull’IA rischiano così di scaricare applicazioni contraffatte contenenti malware. Questa tipologia di minacce può compromettere dati sensibili, causare perdite economiche e minare la fiducia nelle tecnologie legittime. Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha recentemente identificato diverse minacce informatiche che si presentano come versioni legittime di applicazioni di IA.
CyberLock ransomware
Cisco Talos ha scoperto una nuova truffa informatica: un sito web falso, “novaleadsai[.]com”, che replica il legittimo “novaleads.app”, una piattaforma per la monetizzazione dei lead. I cybercriminali offrivano agli utenti un tool gratuito per 12 mesi, seguito da un abbonamento mensile di 95 dollari. Per aumentare la visibilità, il sito fraudolento veniva stato manipolato per apparire tra i primi risultati dei motori di ricerca. Dopo aver scaricato il file ZIP contenente l’eseguibile, lo script installava il ransomware CyberLock, avviando la crittografia dei dati.

Richiesta di riscatto tramite CyberLock
Attivo da febbraio 2025, il ransomware CyberLock sta colpendo dati sensibili e aziendali, chiedendo un riscatto di 50.000 dollari in criptovalute Monero. I cybercriminali, dopo aver ottenuto accesso completo a documenti, file personali e database riservati, utilizzano subdole tattiche psicologiche dichiarando che i pagamenti finanzieranno aiuti umanitari in aree come Palestina, Ucraina, Africa e Asia. Questa operazione di riscatto è più difficile da tracciare da parte delle forze dell’ordine per via della suddivisione del pagamento in due portafogli cripto. Talos ha anche registrato le modifiche dello sfondo del desktop della vittima, un ulteriore strumento per aumentare la pressione psicologica.
Lucky_Gh0$t: una falsa installazione di ChatGPT
Cisco Talos ha scoperto anche Lucky_Gh0$t, un ransomware che viene diffuso tramite un archivio ZIP autoestraente, mascherato da “ChatGPT 4.0 full version – Premium.exe”. Questo pacchetto include l’eseguibile del ransomware e strumenti IA legittimi di Microsoft, probabilmente per eludere gli antivirus. All’apertura, lo script esegue il ransomware che elimina le shadow copy e i backup. Inoltre, cripta file inferiori a 1,2 GB e distrugge quelli più grandi, sovrascrivendoli.
“Numero”: un finto strumento per la creazione di video IA
Cisco Talos ha identificato inoltre un nuovo malware, soprannominato “Numero”, che inganna gli utenti camuffandosi da installer di InVideo AI, una diffusa piattaforma online per la creazione di video. Il cybercriminale ha falsificato i metadati del file per far credere che il malware fosse un prodotto autentico di InVideo AI.
Le soluzioni Cisco per proteggersi
Per contrastare le minacce descritte in questo alert, Cisco offre un portafoglio integrato di soluzioni di sicurezza in grado di prevenire, rilevare e rispondere efficacemente agli attacchi informatici:
- Cisco Secure Endpoint previene l’esecuzione di malware grazie a capacità avanzate di rilevamento e risposta sugli endpoint (EDR/XDR), proteggendo gli utenti dalle minacce note e sconosciute.
- Cisco Secure Email blocca le e-mail dannose e le campagne di phishing inviate dai criminali informatici, prevenendo l’avvio di infezioni tramite posta elettronica.
- Le appliance Cisco Secure Firewall come Threat Defense Virtual, Adaptive Security Appliance e Meraki MX sono in grado di rilevare le attività dannose affrontate in questa indagine.
- Cisco Secure Network/Cloud Analytics analizza automaticamente il traffico di rete e avvisa gli utenti di attività potenzialmente indesiderate su ogni dispositivo connesso.
- Cisco Secure Malware Analytics identifica i file binari dannosi e integra la protezione in tutti i prodotti Cisco Secure.
- Cisco Secure Access è la soluzione di Security Service Edge (SSE) basata su cloud e principi di Zero Trust, garantisce un accesso sicuro e trasparente a Internet, servizi cloud e applicazioni private, ovunque si trovino gli utenti.
- Cisco Umbrella è il gateway Internet che impedisce connessioni a domini, IP e URL dannosi, proteggendo gli utenti anche quando si trovano fuori dalla rete aziendale.
- Cisco Secure Web Appliance blocca automaticamente i siti potenzialmente pericolosi e testa i siti sospetti prima che gli utenti vi accedano.
- Cisco Duo fornisce autenticazione a più fattori (MFA) per garantire che solo utenti autorizzati possano accedere alla rete e alle applicazioni aziendali.