non sottovalutate mai i threat actor

Se si dovesse trarre una sola morale dal Global Threat Report 2025 di CrowdStrike, probabilmente non sarebbe né inattesa né particolarmente originale: chi attacca le aziende e le organizzazioni sta diventando sempre più abile, organizzato, capace di sfruttare molto bene le opportunità presentate sia dalle nuove tecnologie, sia dalle vulnerabilità potenziali dei sistemi-bersaglio. Di conseguenza, fare cybersecurity resta sempre un mestiere complicato.

“I threat actor – spiega in sintesi Adam Meyers, Head of Counter Adversary Operations di CrowdStrike – si sono decisamente evoluti nelle loro attività“. Anche se poi alla fine le loro motivazioni principali restano quelle di sempre: lo spionaggio per le organizzazioni state-sponsored, il denaro per l’eCrime, le azioni dimostrative – oggi soprattutto collegate allo scenario geopolitico – per l’hacktivism.

Se la forma non cambia, si fa però più complessa la sostanza. Soprattutto perché il numero di realtà genericamente pericolose aumenta costantemente: nel corso del 2024 CrowdStrike ha censito 26 nuovi threat actor e nei primi mesi del 2025 ne conta già altri due. Segno che il trend di crescita dell’ecosistema APT-eCrime rimane importante. Complicato dal fatto che sul palcoscenico della cybersecurity si affacciano nuove nazioni che oggi vedono un proprio vantaggio nel condurre azioni cyber ostili contro (genericamente) l’Occidente.

Uno degli elementi su cui chi fa sicurezza nelle imprese dovrebbe concentrare la propria attenzione è il modo in cui gli attaccanti cambiano le loro tattiche, per adattarle al progressivo potenziamento delle piattaforme di cybersecurity. Dato che le difese cyber si sono fatte più solide, la risposta dei malintenzionati è evitarle il più possibile oppure cercare di violarle sfruttando gli anelli più deboli delle difese stesse.

L’evoluzione degli attacchi

Il primo tipo di risposta rimanda alla crescita costante degli attacchi “fileless”: se non esiste un malware da identificare, diventa idealmente più facile violare le piattaforme di difesa. Nel 2024, spiega infatti CrowdStrike, il 79% delle violazioni delle reti è stato malware-free e, in questa dinamica, sta crescendo il peso degli attacchi interattivi: sono cresciuti del 53% globalmente e sono diventati la maggioranza nelle regioni più “bersagliate”, come il Nordamerica.

Nell’attuazione degli attacchi interattivi assume un ruolo importante la figura degli access broker, specialisti che acquisiscono credenziali per l’accesso alle reti e le vendono ad altri threat actor. Le violazioni compiute grazie agli access broker nel 2024 sono cresciute di quasi il 50%, rispetto al 2023, e l’abuso di account validi è stato responsabile del 35% degli incidenti legati al cloud.

Proprio la cloud security è un campo in cui lo scontro tra “buoni” e “cattivi” si sta facendo particolarmente intenso. In particolare la “SaaS exploitation” è un campo relativamente nuovo – CrowdStrike ha acquisito Adaptive Shield per rafforzarsi in questo ambito – e vede i criminali cercare di sfruttare credenziali SSO rubate per avere accesso al cloud aziendale e, da lì, conquistare risorse SaaS e anche dati preziosi.

Qui sono le aziende utenti dei servizi SaaS a doversi fare qualche esame di coscienza, perché il problema è soprattutto legato alla parte dell’autenticazione d’accesso, che rientra nel campo delle responsabilità dell’utente cloud e non (in senso proprio) del suo provider.

Buon vecchio social engineering

Quando non cercano di aggirare i sistemi di cybersecurity, i threat actor puntano all’anello tradizionalmente debole della catena della sicurezza: l’utente umano. È per questo che il buon vecchio social engineering ha sempre un ruolo chiave, fatto alla vecchia maniera oppure con approccio più moderni. Come il vishing, cresciuto in media del 40% al mese nel corso del 2024: i threat actor telefonano ad un utente-bersaglio (spesso spacciandosi per il suo helpdesk) e tentano di convincerlo a scaricare payload dannosi, a stabilire sessioni di assistenza remota o a inserire le proprie credenziali in pagine create per rubarle.

Anche l’AI Generativa ha un suo ruolo crescente nello sviluppo degli attacchi di ingegneria sociale. Le rilevazioni di CrowdStrike mostrano ad esempio che le email di phishing hanno un clickrate maggiore quando sono generate dall’Intelligenza Artificiale, perché gli LLM permettono di creare contenuti ad personam particolarmente convincenti.

Più in generale, la GenAI aiuta chi attacca nella raccolta e nell’analisi di informazioni utili sui bersagli e sulle vulnerabilità dei loro sistemi, come anche nella generazione di script e codice per nuovi malware. E in questi campi il “bello” deve ancora venire.

Le falle alla periferia

Quando non c’è di meglio, anche il normale sfruttamento delle vulnerabilità dei sistemi-bersaglio rappresentano un buon punto di accesso. In particolare per i dispositivi periferici di rete, poco “visibili” per le piattaforme EDR e il cui software operativo spesso non è progettato per la cybersecurity e nemmeno aggiornato e “patchato” a dovere.

Ma anche qui gli attacchi evolvono, con forme di “exploit chaining” in cui due o più exploit sono usati insieme per comporre una sequenza di attacco che ne aumenta le capacità e l’impatto sui sistemi bersaglio. Una volta violato il dispositivo, se ne usano funzionalità lecite, come le shell di comando integrate, per arrivare all’esecuzione di codice da remoto.

E attenzione, c’è un altro elemento importante che traspare da tutte le analisi di CrowdStrike: gli attaccanti sono sempre più veloci nei loro spostamenti all’interno delle reti colpite. Il tempo che intercorre tra il primo accesso, comunque sia stato ottenuto, e il movimento laterale nella rete – il cosiddetto breakout time – continua a ridursi, sino al caso limite 2024 di soli 51 secondi. “Casi come questo – spiega Meyers – indicano una sostanziale inefficacia delle difese perimetrali: la difesa diventa una questione di threat hunting”.