Le previsioni di cybersecurity di Unit 42 di Palo Alto Networks
A cura di Sam Rubin, SVP, Consulting and Threat Intelligence, Unit 42
“Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo in cui le imprese registreranno un aumento dei cyberattacchi volti a bloccare le operazioni e avere un impatto significativo sugli utenti. Un anno caratterizzato da un incremento delle violazioni mirate a interrompere l’operatività di intere reti aziendali causate da vulnerabilità nella catena di approvvigionamento e attaccanti che raggiungono nuovi livelli di velocità e sofisticazione. Anche il costo degli incidenti aumenterà, spinto da lunghi tempi di inattività e dall’implementazione di difese adatte a contrastare attacchi abilitati dall’intelligenza artificiale.
Generative AI: attacchi fino a 100 volte più repentini e impattanti
Si prevede che la GenAI contribuirà a un’ulteriore riduzione del tempo necessario per ogni fase del framework MITRE ATT&CK e del tempo medio di esfiltrazione (MTTE), consentendo agli attori delle minacce di passare rapidamente dallo sfruttamento della vulnerabilità al suo impatto. Nel 2023, il tempo medio di esfiltrazione dei dati era di due giorni (e in alcuni casi di ore) rispetto ai nove giorni del 2021. Per il 2025 prevediamo una riduzione anche fino a 25 minuti per alcuni incidenti, con una velocità di attacco 100 volte superiore in soli tre anni.
In altre parti del framework MITRE ATT&CK osserveremo un’accelerazione della ricognizione abilitata dalla GenAI volta ad automatizzare l’intelligence open-source (OSINT) e l’identificazione di informazioni e risorse sensibili e di favorire l’accesso iniziale attraverso comunicazioni di phishing e smishing iperpersonalizzate. La stessa tecnologia ridurrà significativamente il tempo necessario per persistenza e movimento laterale, semplificando varie fasi del ciclo di vita dell’attacco e consentendo agli avversari di muoversi tra le reti e fornire payload personalizzati più rapidamente.
I cybercriminali sfrutteranno il Ransomware-as-a-Service (RaaS) potenziato da GenAI per attacchi ancora più avanzati
Nel 2025 prevediamo che le capacità GenAI (ad esempio LLM addestrati dagli attori delle minacce) automatizzeranno parti dello sviluppo e della distribuzione di ransomware, e faciliteranno la creazione di kit personalizzabili, completi di crittografia automatica, targeting delle vittime e ricognizione. C’è persino la possibilità che i chatbot vengano utilizzati dagli attori delle minacce per negoziare in modo più semplice e rapido le richieste di riscatto. L’impatto potrebbe comportare un aumento della frequenza e della sofisticazione degli attacchi ransomware e una sfida più complessa per i professionisti della cybersecurity nel difendere e mitigarne gli effetti.
Le dinamiche del ransomware cambieranno e i cyber criminali investiranno in ricerca e sviluppo per aumentare portata, sofisticazione e velocità degli attacchi
Prevediamo che i criminali informatici si baseranno sulle interruzioni di attività per continuare a chiedere il pagamento di decine di milioni in riscatti. Molti gruppi sofisticati, come Muddled Libra, reinvestiranno questi fondi per ottimizzare le loro capacità di aggirare le difese e sviluppare tattiche più sofisticate lungo ogni fase della catena di attacco e testare tecnologie di AI generativa da utilizzare nei prossimi 3-5 anni che potrebbero consentire loro di identificare e sfruttare vulnerabilità zero-day, e persino creare agenti AI in grado di eseguire attacchi autonomi.
Ma… l’efficacia del ransomware è a rischio e deve vedersela con una crescente resilienza aziendale
Prevediamo cambiamenti nell’impatto del ransomware dovuti a un sempre maggiore potenziamento delle capacità di disaster recovery attraverso ridondanze basate su cloud e architetture resilienti. Grazie a questi progressi, aumenta la capacità delle aziende di ripristinare le operazioni in modo indipendente, riducendo la necessità di considerare le richieste di riscatto.
Assisteremo anche a un calo dei pagamenti: i vantaggi legati al controllo dei dati rubati sono limitati. Pagare un cybercriminale non elimina la responsabilità legale e non c’è alcuna garanzia che le informazioni vengano eliminate come promesso. Di conseguenza, molte aziende daranno priorità a strategie che garantiscano un ripristino rapido e sicuro, come backup immutabili, pianificazione avanzata del recovery e sistemi ridondanti progettati per ridurre al minimo i tempi di inattività.
Questo segna un cambiamento significativo nel modo in cui si affronta il ransomware. Investendo nella resilienza e nel ripristino, le aziende non solo minano il modello di business del ransomware, ma migliorano anche la loro capacità di resistere ad attacchi futuri.
Le infrastrutture critiche saranno il target principale di Nation-State Advanced Persistent Threat
Con l’aumento delle tensioni geopolitiche in tutto il mondo, prevediamo un incremento dei cyberattacchi che prendono di mira le infrastrutture critiche. L’acuirsi delle tensioni tra Stati nazionali crea un ambiente in cui campagne cyber offensive vengono integrate in strategie geopolitiche più ampie. Questi attacchi si concentreranno su servizi essenziali, come energia, acqua, trasporti o assistenza sanitaria, creando punti di accesso strategici da sfruttare quando se ne percepisce un vantaggio. Con i conflitti in corso, tra cui la guerra tra Russia e Ucraina, l’escalation delle tensioni in Medio Oriente e l’aumento delle ostilità tra Cina e Taiwan, ci aspettiamo una crescita delle attività cyber in queste regioni e in ogni nuova area di conflitto.
Le minacce contro la supply chain non accenneranno a diminuire
Nonostante la crescente consapevolezza delle vulnerabilità della supply chain, le aziende continueranno a faticare per gestirla efficacemente, soprattutto a causa della natura complessa delle dipendenze del software. Questa interdipendenza rende difficile tracciare e mitigare i rischi, permettendo a una singola falla di colpire potenzialmente un intero ecosistema. Nel 2025, queste sfide si intensificheranno per tre motivi fondamentali: in primo luogo per l’aumento degli attacchi rivolti ai fornitori di terze parti, caratterizzati da vulnerabilità interessanti per gli attori delle minacce: gli attacchi su larga scala alla supply chain, di portata simile a quella di SolarWinds, sono già in corso, anche se non sono stati ancora identificati; infine, i gruppi APT prenderanno sempre più di mira i principali fornitori di servizi cloud, cercando di ottenere un accesso significativo attraverso un’unica violazione, massimizzando così l’impatto e riducendo il rischio di rilevamento.
