Malware 2025: i gruppi più pericolosi dell'anno

L'arsenale dei criminali informatici è ampio: social engineering, deepfakes e strumenti di chat supportati dall'intelligenza artificiale hanno trasformato le comunicazioni quotidiane in vettori di attacco. Spesso bastano password rubate o chiamate intercettate per accedere ai sistemi interni.

Manipolazione delle identità con l'intelligenza artificiale

Con l'aiuto dell'intelligenza artificiale, che consente il phishing, la clonazione vocale e i falsi colloqui di lavoro, la criminalità informatica si è trasformata in uno strumento di manipolazione dell'identità. Gli aggressori utilizzano credenziali apparentemente legittime per aggirare i meccanismi di sicurezza tradizionali. Sebbene il ransomware non stabilisca più nuovi record, il mercato si è stabilizzato a un livello elevato. L'economia del ricatto ora si basa meno sulla crittografia a forza bruta e più sui dati rubati e sulla pressione strategica.

I sei gruppi di autori di reati più pericolosi

Secondo il rapporto annuale Il rapporto sulle minacce informatiche più gravi di OpenText sei gruppi hanno plasmato in modo significativo l'anno 2025.

1. Qilin (nota anche come Agenda) è responsabile di oltre 200 attacchi confermati a ospedali, laboratori e strutture comunali. In un caso, il malfunzionamento dei servizi diagnostici ha provocato la morte di un paziente. Nel pannello di controllo del ransomware era presente una funzione che consentiva ai partner di chattare direttamente con un consulente di negoziazione fornito da Qilin. L'obiettivo era quello di standardizzare l'estorsione e offrire un supporto professionale anche agli autori inesperti. Questa forma di professionalizzazione stabilisce un nuovo punto di riferimento per il ransomware-as-a-service e dimostra quanto si sia evoluta l'infrastruttura criminale nell'underground digitale.
2. Akira si è concentrato su aziende finanziariamente solide e fornitori di servizi gestiti ed è stato responsabile di quasi uno su cinque incidenti ransomware documentati in tutto il mondo. Il gruppo opera con precisione tecnica e processi chiari, tra cui strutture di supporto e trattative controllate. Le campagne di sconto e le regole fisse hanno lo scopo di segnalare l'affidabilità, un approccio che ricorda più i processi aziendali che la criminalità informatica. Akira sfrutta in modo mirato le vulnerabilità delle VPN, opera a livello internazionale e si è trasformata in una piattaforma professionale di ransomware-as-a-service.
3. Ragno sparso è uno dei gruppi più influenti del 2025. Hanno utilizzato l'ingegneria sociale, lo scambio di SIM e le imitazioni vocali deepfake per compromettere grandi aziende e persino per aggirare i moderni sistemi di identità e accesso.
   A settembre, arresti coordinati hanno smantellato il gruppo principale, ma gli emulatori e gli spin-off continuano i metodi. La combinazione di sofisticazione tecnica, manipolazione psicologica e abuso di identità mirato ha reso il gruppo un attore chiave nel settore dell'approvvigionamento degli accessi.
4. Riprodurre il ransomware è stato uno dei gruppi più distruttivi nonostante abbia ricevuto poca attenzione da parte dei media. Ha compromesso interi ambienti di clienti attaccando più di 900 fornitori di servizi gestiti. È caratterizzato dall'uso di una crittografia intermittente, in cui vengono colpite solo alcune parti dei file. Questo accelera l'esecuzione e rende più difficile il rilevamento. Inoltre, il gruppo utilizza file binari personalizzati e ha ampliato il proprio kit di strumenti includendo moduli per ambienti virtualizzati come Linux ed ESXi. Lo sfruttamento mirato delle dipendenze IT ha reso Play uno degli attori più pericolosi dell'anno.
5. Cacciatori lucidi è uno degli attori più pericolosi del 2025. Il gruppo si infiltra nelle piattaforme cloud, spesso rimane inosservato per mesi e pubblica i dati rubati solo quando possono essere utilizzati. Sono stati colpiti marchi globali come Google, Salesforce e Kering. Una caratteristica fondamentale è lo sfruttamento mirato degli obblighi normativi. In Europa, ShinyHunters ha spesso programmato la pubblicazione in modo che coincidesse con le notifiche ufficiali del GDPR. Di conseguenza, i danni alla reputazione e i rischi di conformità sono diventati parte dell'estorsione. Gli attacchi dimostrano quanto la criminalità informatica e la regolamentazione siano ormai strettamente collegate.
6. Ruba-lumache è considerato la spina dorsale di molte operazioni di ransomware moderne. Il malware raccoglie masse di dati di accesso, cookie e token dai sistemi infetti. Questi dati circolano rapidamente sui mercati darknet e vengono utilizzati da gruppi come Akira, Qilin e Play come punto di ingresso per attacchi mirati. La combinazione con campagne di social engineering, come falsi messaggi CAPTCHA o messaggi di errore che inducono gli utenti a eseguire comandi dannosi, è particolarmente efficace. Questo metodo ibrido mina molti meccanismi di protezione classici. Lumma dimostra che anche gli ambienti ben protetti possono diventare vulnerabili se un singolo account compromesso viene coinvolto nella routine di raccolta.

Cosa conta ora

Nonostante il miglioramento delle misure di protezione e il crescente numero di organizzazioni che si rifiutano di pagare, il panorama del ransomware rimane estremamente redditizio. Sebbene le richieste e i pagamenti di riscatto si siano stabilizzati a un livello elevato dopo un aumento all'inizio dell'anno, le perdite finanziarie complessive continuano ad aumentare. Mentre alcuni gruppi hanno difficoltà a far valere le loro richieste, gli operatori ben organizzati continuano a negoziare accordi milionari con una precisione spaventosa.

Questo sviluppo sottolinea quanto il ransomware si sia professionalizzato come modello di business e quanto sia importante agire in modo strutturato anche sul fronte della difesa. Sono note molte misure efficaci: patch regolari, strategie di backup credibili, solidi controlli degli accessi, accesso remoto protetto e sensibilizzazione mirata al social engineering. Chi mette in pratica questi principi non solo migliora la propria capacità di reazione, ma riduce anche la superficie di attacco a lungo termine.

Fonte: OpenText

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/malware-2025-die-gefaehrlichsten-gruppen-des-jahres/