Negli ultimi anni gli Stati Uniti hanno identificato una crescente attività di cyber-spionaggio cinese nota come la campagna “Typhoon”, in cui il gruppo Salt Typhoon – collegato al Ministero della Sicurezza di Stato cinese (MSS) – ha preso di mira infrastrutture critiche statunitensi. Nel 2024 il gruppo ha compromesso a lungo le reti informatiche di importanti operatori di telecomunicazioni (Verizon, AT&T, Lumen, ecc.), sottraendo metadati di milioni di comunicazioni, inclusi quelli di politici di rilievo.

Successivamente è emersa la notizia che Salt Typhoon aveva infatti penetrato anche la rete informatica di una Guardia Nazionale statale statunitense. La violazione è durata nove mesi (marzo–dicembre 2024) ed è stata svelata da un memo interno del DHS ottenuto via Freedom of Information e riportato da NBC News. Secondo tale rapporto, i cybercriminali cinesi hanno esfiltrato credenziali amministrative, diagrammi di rete, file di configurazione e dati personali di soldati della Guardia Nazionale, potenzialmente utilizzabili per colpire altre unità statali e le loro controparti di sicurezza informatica.

Cronologia dell’incidente

• Marzo 2024 – Dicembre 2024: Salt Typhoon si insedia silenziosamente nella rete della Guardia Nazionale di uno Stato federale USA, sfruttando vulnerabilità note o credenziali rubate per ottenere accesso iniziale. Durante l’intrusione il gruppo esfiltra file di configurazione di rete, diagrammi e credenziali di amministratore. Contemporaneamente (gennaio–marzo 2024) utilizza tali informazioni per attaccare almeno altre due agenzie statali, sfruttando dispositivi con vulnerabilità note.
• Dicembre 2024: Si ritiene che l’intrusione si concluda o venga scoperta. Non sono note pubblicazioni immediate, ma i militari statali iniziano indagini interne.
• 11 giugno 2025: Il Dipartimento della Sicurezza Interna (DHS) redige una nota riservata (intelligence memo) che riassume l’incidente. Il documento, acquisito tramite FOIA dal gruppo Property of the People, viene reso pubblico a metà luglio 2025.
• 15–17 luglio 2025: Media statunitensi (Reuters, NBC News, Federal News Network, BleepingComputer, Wired, ecc.) riportano l’accaduto. Reuters sottolinea che il DHS e il Dipartimento della Difesa hanno confermato la compromissione prolungata (marzo–dicembre 2024) di una rete della Guardia Nazionale, con furto di dati critici. La National Guard Bureau ammette l’attacco (pur senza rivelare dettagli precisi), dichiarando che non ha impedito le operazioni e che l’indagine prosegue.

Tecniche e vettori di attacco utilizzati

L’analisi di intelligence indica che Salt Typhoon ha sfruttato principalmente vulnerabilità note e credenziali legittime per infiltrarsi nella rete della Guardia Nazionale. Sebbene il memo DHS non precisi l’esatto vettore iniziale, si ritiene plausibile l’uso di exploit pubblici su dispositivi di rete (router Cisco, firewall, VPN) o di credenziali rubate. Ad esempio, in passato il gruppo ha abusato di una falla critica del servizio Cisco Smart Install (CVE-2018-0171) e di altre vulnerabilità Cisco IOS/XE. In un noto caso, Salt Typhoon ha ottenuto inizialmente l’accesso a un dispositivo Cisco sfruttando CVE-2018-0171; in altre situazioni ha semplicemente utilizzato credenziali valide ottenute altrove.

Una volta dentro il perimetro, gli aggressori hanno usato tecniche living-off-the-land e movimenti laterali per espandere il controllo. In particolare, hanno stabilito connessioni SSH tra dispositivi di rete compromessi usando account creati modificando i file di sistema (/etc/shadow, /etc/passwd). Sono state aggiunte chiavi SSH autorizzate e creati account di servizio sui dispositivi Linux (MITRE ATT&CK T1098, T1136). Per eludere le difese, il gruppo ha ripetutamente modificato l’indirizzo dell’interfaccia loopback su switch Cisco compromessi, usando quel loopback come sorgente per SSH verso altri dispositivi e aggirando così le ACL impostate. Ha inoltre ripulito i log (.bash_history, auth.log, wtmp, btmp) per cancellare tracce delle sue attività (Indicator Removal, T1070).

Dal punto di vista MITRE ATT&CK, le tecniche osservate includono l’uso di credenziali rubate (T1078 – Valid Accounts), la raccolta di file di configurazione di rete (T1602 – Data from Configuration Repository) e la ricognizione di topologie di rete (T1590.004). Per l’esfiltrazione i criminali hanno trasferito i dati tramite protocolli non cifrati come FTP o TFTP (Exfiltration over Alternative Protocols T1048.003).

In alcuni casi è stato usato il tool custom JumbledPath, che esegue catture di pacchetti su dispositivi remoti e ne invia in forma compressa e crittografata i risultati via catena di salto. In sostanza il gruppo ha sfruttato credenziali legittime e configurazioni esposte per avvicinarsi alle risorse sensibili, senza introdurre malware complessi sugli end-point: ad esempio, ha utilizzato strumenti di sistema come tcpdump, Cisco Embedded Packet Capture (EPC) e Tpacap per intercettare il traffico di rete, e ha spostato il traffico catturato via FTP/TFTP all’esterno dell’ambiente target.

Strumenti e infrastrutture impiegati

Salt Typhoon ha fatto ampio uso di infrastrutture di rete compromesse come ponti fra diverse reti. I dispositivi crittografici utilizzati nel settore (router, switch, modem di segmenti sensibili) sono stati trasformati in jump host internetworking. Ad esempio, Cisco Nexus con funzionalità guestshell Linux sono stati riconfigurati come punti di salto in catena (vedi immagine sottostante). Nell’immagine il tool custom JumbledPath, compilato come binario ELF x86-64, cattura pacchetti su un dispositivo di rete remoto attraverso un altro dispositivo “di salto” dell’attore, comprimendo e cifrando i dati esfiltrati: questo permette di occultare la fonte e di attraversare segmenti non altrimenti routabili.

Oltre a JumbledPath, Salt Typhoon ha impiegato tool sia custom sia di amministrazione standard: in campagne precedenti il gruppo ha usato tecnologie Windows native (PowerShell, WMI, PsExec) e utility per la gestione remota, ma qui l’enfasi è rimasta sulle componenti network. I dispositivi di rete compromessi eseguivano script SSH e comandi come snmpwalk e tftp per raccogliere configurazioni e credenziali. Gli indicatori di compromissione pubblicati includono anche indirizzi IP collegati agli exploit delle vulnerabilità citate.

L’infrastruttura di comando e controllo (C2) e di raccolta dati include server FTP/TFTP esterni controllati dagli aggressori, dove venivano caricati i file estratti. Benché non siano stati resi noti domini specifici, il memo DHS elenca alcuni indirizzi IP usati dal gruppo. In sintesi, Salt Typhoon ha trasformato le reti legacy della Guardia Nazionale (spesso basate su hardware Cisco con vecchi sistemi operativi di rete) in una struttura di puntellamento laterale, utilizzando account amministrativi creati ad hoc e meccanismi di logging interno ai dispositivi (EPC, loopback) per spostarsi e mantenere la persistenza.

Obiettivi e impatti dell’attacco

L’obiettivo primario di Salt Typhoon sembra essere stato il cyber-spionaggio strategico. Rubando configurazioni di rete, credenziali e diagrammi di rete, gli hacker hanno acquisito una mappa dettagliata dell’architettura di difesa cibernetica statale e collegata alla National Guard. Secondo gli analisti, questi dati possono “agevolare successivi attacchi Salt Typhoon” anche verso altre unità della Guardia Nazionale in altri Stati.

In particolare, la compromissione poteva dare a Pechino informazioni sui legami tra le reti statali e la Guardia Nazionale, inclusi i sistemi di intelligence sulle minacce condivise (fusion centers statali). L’analisi del memo evidenzia il furto di PII di militari (nominativi, mappe di posizionamento geografico di asset militari, credenziali interne), elementi che potenzialmente possono essere usati per targeting mirati in scenari futuri.

L’impatto potenziale è grave anche dal punto di vista della sicurezza nazionale collettiva: Salt Typhoon avrebbe potuto “minare gli sforzi della Guardia Nazionale per proteggere l’infrastruttura critica americana”.

L’esposizione di topologie di rete e accessi amministrativi rende più facile per gli attaccanti cinesi colpire backdoor in ulteriori reti governative o civili, superando i confini statali. Inoltre, come ha osservato la stampa specializzata, il fatto che Salt Typhoon abbia violato sistemi telecom per intercettare dati di comunicazione (inclusi conversazioni di politici come Trump e Vance) lascia intendere un’agenda di intelligence estesa anche al settore della difesa militare.

In pratica, gli Stati Uniti hanno valutato l’intrusione come un’espansione delle campagne di spionaggio cinesi: un’occasione in cui i dati ottenuti possono “facilitare l’hacking di altre unità della National Guard” e “dei loro partner di cybersecurity statali”, configurando così un significativo rischio strategico.

Risposta delle autorità statunitensi

Dopo la diffusione del memo DHS, le agenzie governative hanno riconosciuto la gravità del fenomeno, pur rimanendo vaghe nei dettagli pubblici. La Guardia Nazionale (National Guard Bureau) ha confermato l’attacco a NBC News, assicurando che «l’attacco non ha impedito alla Guardia di portare a termine le proprie missioni» e che l’indagine è in corso. A livello federale, non è stato emesso alcun bollettino pubblico specifico sulla violazione della Guardia Nazionale, ma il caso si colloca nel più ampio contesto delle contromisure anti-cinesi.

La CISA (agenzia governativa per la sicurezza cibernetica) e l’FBI avevano già da tempo iniziato a contrastare Salt Typhoon. Nel dicembre 2024 CISA, NSA e FBI hanno pubblicato linee guida rivolte al settore delle telecomunicazioni per individuare e mitigare la minaccia Salt Typhoon. Nel frattempo, l’FBI ha chiesto pubblicamente collaborazione per raccogliere informazioni sul gruppo: nell’aprile 2025 ha diffuso un avviso (IC3 Alert) con una taglia di 10 milioni di dollari per chi segnali i membri del Salt Typhoon, evidenziando come la campagna di Salt Typhoon sia «probabilmente più ampia» di quanto inizialmente noto.

Sul fronte legislativo, alcuni senatori hanno esercitato pressione perché la CISA migliori la resilienza del settore delle telecomunicazioni. Per quanto riguarda l’escalation militare, i vertici della sicurezza informatica del Pentagono raccomandano a tutte le forze armate di operare «assumendo i propri network già compromessi» e di coordinare la difesa informatica degli Stati federali, dato il ruolo ibrido della Guardia Nazionale come collegamento tra agenzie federali e autorità statali. In sintesi, la risposta US è stata: indagine continuata congiunta (DHS, DOD, FBI, NSA), emissione di linee guida di settore (CISA/NSA/FBI) e richiesta di informazioni al pubblico (FBI), ponendo l’accento sulla cooperazione pubblico-privato per «alzare il costo per l’attaccante».

Collegamenti con campagne di spionaggio precedenti

L’intrusione della Guardia Nazionale si inquadra nella più ampia serie di operazioni “Typhoon” condotte da attori cinesi. Salt Typhoon è lo stesso gruppo (anche detto Earth Estries, FamousSparrow, UNC2286) responsabile dell’attacco dimostrato nel 2024 contro nove grandi operatori telecom americani. In quella campagna, il gruppo ha sottratto enormi quantità di metadati delle comunicazioni telefoniche di oltre un milione di utenti, compresi funzionari di alto profilo, e ha compromesso i sistemi impiegati nelle intercettazioni legali (CALEA) delle agenzie USA.

Salt Typhoon opera in tandem con altri gruppi Chinese APT, come Volt Typhoon (che cercava posizionamenti su infrastrutture critiche per un ipotetico conflitto) e Flax Typhoon (coinvolto in botnet e contrattacchi FBI). Il fatto che il gruppo sia focalizzato su infrastrutture di comunicazione – siano esse reti civili o militari – sottolinea un obiettivo strategico di raccolta di intelligence.

In particolare, la vicenda recente conferma il timore che i compromessi delle reti 5G e delle telecom possano connettersi alla minaccia verso sistemi di difesa militare: secondo The Record, gli sforzi americani nel 2025 hanno costretto i gruppi Typhoon a rivedere le loro tattiche di persistenza, ma non hanno distrutto completamente le loro capacità offensive. In conclusione, l’attacco alla National Guard rappresenta un’estensione naturale delle precedenti campagne cinesi di cyber-spionaggio contro gli Stati Uniti, ribadendo come la rete di Salt Typhoon sia parte di un ecosistema nazionale cinese che combina attori statali e privati nel panorama internazionale.

Fonti:

https://www.ictsecuritymagazine.com/notizie/gruppo-salt-typhoon/

Il malware LameHug rappresenta un momento spartiacque nell’evoluzione delle minacce informatiche. Scoperto dal CERT-UA ucraino il 10 luglio 2025, questo è il primo malware documentato pubblicamente che utilizza un Large Language Model per generare comandi di attacco in tempo reale. Sviluppato dal gruppo APT28 legato al GRU russo, LameHug inaugura l’era del malware AI-powered, utilizzando il modello Qwen 2.5-Coder-32B-Instruct di Alibaba Cloud tramite API Hugging Face per adattare dinamicamente le proprie tattiche durante gli attacchi. La sua scoperta avviene nel contesto dell’intensificarsi degli attacchi cyber russi contro l’Ucraina, dove questo software malevolo ha targetizzato specificamente gli enti governativi ucraini attraverso sofisticate campagne di phishing.

La scoperta che ha cambiato le regole del gioco

Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha identificato LameHug durante l’analisi di una campagna di phishing altamente mirata contro il settore della sicurezza e difesa ucraino. L’alert #16039 del 17 luglio 2025 segna ufficialmente l’ingresso dell’intelligenza artificiale generativa nell’arsenal del malware operativo. A differenza dei malware tradizionali che utilizzano comandi pre-programmati, LameHug sfrutta un Large Language Model per generare dinamicamente le istruzioni da eseguire sui sistemi compromessi, rendendolo estremamente difficile da rilevare attraverso metodi di analisi statici.

La minaccia si diffonde attraverso email di phishing che impersonano funzionari ministeriali ucraini, utilizzando account email legittimi precedentemente compromessi per aumentare la credibilità. Gli allegati, mascherati da documenti PDF in archivi ZIP denominati “Додаток.pdf.zip” (Attachment.pdf.zip), contengono in realtà eseguibili sviluppati in Python e compilati con PyInstaller.

Anatomia tecnica di un’innovazione pericolosa

LameHug rappresenta una convergenza rivoluzionaria tra malware tradizionale e intelligenza artificiale generativa. Il suo cuore pulsante è l’integrazione del modello linguistico Qwen 2.5-Coder-32B-Instruct, un LLM open-source specificamente ottimizzato per compiti di programmazione. Invece di affidarsi a comandi hardcoded come i malware tradizionali, LameHug invia descrizioni testuali statiche al modello AI attraverso le API di Hugging Face, ricevendo in cambio comandi Windows personalizzati e adattivi.

Questa architettura conferisce al malware capacità senza precedenti. Il software malevolo può raccogliere informazioni di sistema, enumerare processi e servizi, identificare connessioni di rete e condurre ricognizioni dettagliate dell’ambiente compromesso. Successivamente, LameHug cerca ricorsivamente documenti Microsoft Office, PDF e file di testo nelle cartelle standard degli utenti (Documents, Downloads, Desktop), archiviarandoli localmente in %PROGRAMDATA%\info\ prima dell’esfiltrazione tramite SFTP o richieste HTTP POST.

Le varianti identificate includono file denominati “AI_generator_uncensored_Canvas_PRO_v0.9.exe” e “AI_image_generator_v0.95.exe”, dimostrando una strategia di ingegneria sociale che sfrutta l’attuale hype intorno agli strumenti AI generativi per ingannare le vittime.

L’ombra di APT28 e le implicazioni geopolitiche

L’attribuzione di LameHug al gruppo APT28 (noto anche come Fancy Bear, Forest Blizzard o UAC-0001) rappresenta un’escalation significativa nelle capacità offensive del GRU russo. APT28, operativo dal 2004 e collegato alla 85ª Unità di Servizio Speciale del GRU, ha una storia consolidata di attacchi contro obiettivi NATO, governi occidentali e oppositori politici russi. L’integrazione di tecnologie AI nei loro strumenti rappresenta un salto qualitativo nelle loro capacità operative.

Il contesto geopolitico è cruciale per comprendere l’importanza strategica di LameHug. Con l’Ucraina che ha registrato 4.315 incidenti cyber nel 2024 (+70% rispetto al 2023), questo malware emerge in un periodo di intensificarsi degli attacchi informatici russi. L’uso dell’Ucraina come “campo di prova” per nuove tecnologie offensive conferma le preoccupazioni degli esperti di sicurezza internazionale sull’escalation tecnologica nel cyber warfare.

LameHug: tattiche, tecniche e procedure all’avanguardia

LameHug implementa un arsenale di TTP (Tactics, Techniques, and Procedures) che combinano approcci tradizionali con innovazioni AI-powered. Il malware segue il framework MITRE ATT&CK, utilizzando lo spear-phishing con allegati (T1566.001) per l’accesso iniziale, l’interprete Python (T1059.006) per l’esecuzione, e una serie di tecniche di discovery per la ricognizione del sistema.

L’aspetto più innovativo risiede nella generazione dinamica di comandi tramite AI. Mentre i malware tradizionali sono limitati da funzionalità pre-programmate, LameHug può adattare le sue tattiche in tempo reale basandosi sul contesto specifico del sistema compromesso. Questa capacità di adattamento rende il malware estremamente resiliente contro le tecniche di rilevamento basate su signature statiche.

Il malware mappa inoltre a diverse tecniche di evasione avanzate: sfrutta l’infrastruttura legittima di Hugging Face per nascondere le comunicazioni command-and-control, implementa comportamenti polimorfici attraverso la generazione dinamica di comandi, e utilizza servizi cloud legittimi per il blending dell’infrastruttura di attacco.

Il nuovo paradigma di evasione e analisi del codice

L’analisi del codice di LameHug rivela un’architettura sofisticata che combina programmazione Python tradizionale con chiamate API REST moderne. Il malware utilizza un sistema di prompt testuali per comunicare con il modello linguistico, inviando descrizioni di alto livello delle attività desiderate e ricevendo comandi specifici per Windows in risposta.

Questo approccio genera sfide inedite per l’analisi del malware. Gli analisti non possono più fare affidamento esclusivamente sull’analisi statica del codice, poiché i comandi effettivi vengono generati dinamicamente al momento dell’esecuzione. La metodologia di evasione AI-specifica include l’uso di servizi AI legittimi per le comunicazioni, operazioni context-aware che si adattano all’ambiente specifico, e resistenza all’analisi anti-analysis attraverso la natura dinamica dei comandi generati.

Settori target e profilo delle vittime

La campagna LameHug ha dimostrato una precisione chirurgica nel targeting, concentrandosi esclusivamente su enti governativi ucraini del settore sicurezza e difesa. Questo approccio riflette gli obiettivi strategici russi di raccogliere intelligence sulle capacità difensive ucraine e sul supporto militare occidentale.

Storicamente, APT28 ha targetizzato un portfolio più ampio: il 45% dei loro attacchi si concentra su difesa e aerospazio, il 25% su governo e pubblica amministrazione, il 15% su energia e utilities. La distribuzione geografica tradizionale del gruppo include il 40% degli attacchi nell’Europa orientale, 30% in NATO/Europa occidentale, e 20% negli Stati Uniti.

Il profilo delle vittime di LameHug – organizzazioni governative con informazioni geopoliticamente rilevanti – riflette l’obiettivo primario di raccolta di intelligence strategica piuttosto che di guadagno finanziario o disruption operativa.

Impatto documentato e confronti con minacce simili

L’impatto di LameHug va oltre il singolo incident di sicurezza, rappresentando un paradigm shift nelle minacce informatiche. Mentre i costi medi di un data breach si attestano su $4.88 milioni globalmente (+10% nel 2024), i malware AI-powered come LameHug introducono fattori di costo aggiuntivi significativi: +61 giorni per il rilevamento di malware adattivo, +$1.76 milioni per team sotto-dimensionati, e +$2.2 milioni senza tecnologie AI difensive.

Il confronto con malware tradizionali evidenzia la superiorità strategica di LameHug: mentre i malware classici utilizzano comandi hardcoded e hanno capacità di evasione medie, LameHug genera comandi dinamicamente con capacità di evasione elevate e difficoltà di rilevamento molto alta. Rispetto ad altri esperimenti AI-enhanced come DeepMasterPrints (2018) per il spoofing delle impronte digitali, LameHug rappresenta la prima implementazione operativa e su scala di un malware completamente AI-powered.

Strategie di difesa e mitigazione nella nuova era

La difesa contro LameHug richiede un approccio multi-layer che combina tecnologie tradizionali con soluzioni AI-powered. Le misure di prevenzione includono filtri antispam avanzati con rilevamento AI per identificare email di phishing sofisticate, sandbox automatiche per file sospetti, e controlli di rete per bloccare connessioni verso servizi LLM non autorizzati.

Il rilevamento comportamentale diventa cruciale: User and Entity Behavior Analytics (UEBA) per identificare attività anomale, machine learning per rilevare pattern di accesso ai file inusuali, e deep learning models per l’analisi dinamica del comportamento. Gli indicatori di compromissione specifici includono la presenza di file in %PROGRAMDATA%\info, connessioni verso Hugging Face API, e processi Python che effettuano chiamate API verso servizi LLM.

Le procedure di rimozione seguono un protocollo di containment, eradication, e recovery, con particolare attenzione alla rimozione di tutti gli artefatti dinamicamente generati e alla validazione dell’integrità del sistema. L’implementazione di soluzioni EDR/XDR come CrowdStrike Falcon o SentinelOne Singularity diventa essenziale per il rilevamento e la risposta automatizzata.

Evoluzione futura e lezioni apprese

LameHug rappresenta solo l’inizio di una nuova era di minacce AI-powered. Le proiezioni indicano una diffusione di malware AI-powered presso altri gruppi APT entro il 2025-2026, seguita dalla commercializzazione di AI-malware-as-a-Service nel 2027-2028, fino all’AI vs AI warfare come standard difensivo entro il 2029-2030.

L’evoluzione del malware mostra un trend chiaro: dal 2018 con i primi esperimenti AI in cybersecurity, attraverso lo sviluppo teorico del 2019-2022, l’esplosione degli LLM commerciali nel 2023, fino all’arrivo di LameHug nel 2025 come primo deployment operativo documentato.

Implicazioni strategiche e conclusioni

LameHug segna la fine dell’era della sicurezza basata esclusivamente su signature statiche e l’inizio di una corsa agli armamenti tra AI offensiva e difensiva. Le organizzazioni devono accelerare drasticamente l’adozione di tecnologie AI difensive per mantenere parità con questa nuova generazione di minacce adattive e intelligenti.

La lezione principale è che l’industria della cybersecurity deve evolvere rapidamente: gli investimenti in AI difensivo diventano critici, la multi-layer detection deve combinare signature, behavioral, e AI analysis, e il threat hunting proattivo diventa essenziale per identificare attività anomale precoci.

LameHug dimostra che la convergenza tra intelligenza artificiale e cyber warfare non è più fantascienza, ma realtà operativa. L’adattamento delle strategie difensive a questa nuova realtà determinerà la resilienza delle organizzazioni nell’era dell’AI warfare.

Fonti:

https://www.ictsecuritymagazine.com/notizie/lamehug-malware-ai-powered/

Il colosso italiano della difesa Leonardo S.p.A. e la sua controllata Larimart sono stati vittime di tre distinti attacchi informatici tra il 2015 e il 2025, configurando una delle più gravi e articolate serie di incidenti di cybersicurezza nel panorama europeo della difesa. Il più dannoso è stato un sofisticato attacco insider durato due anni, che ha portato alla compromissione di 10 GB di dati militari sensibili. Gli attacchi più recenti hanno colpito le operazioni delle controllate e alimentato falsi allarmi legati a ransomware.

La minaccia interna che ha scosso la difesa europea

L’attacco più devastante si è verificato tra maggio 2015 e gennaio 2017, quando Arturo D’Elia, responsabile della sicurezza informatica – ironicamente incaricato di prevenire incidenti di cybersecurity – ha orchestrato una sofisticata operazione di sottrazione dati.
Utilizzando chiavette USB, D’Elia ha installato un malware personalizzato denominato “cftmon.exe” su 94 postazioni di lavoro nei siti Leonardo, inclusi 33 sistemi presso l’impianto strategico di Pomigliano d’Arco, nei pressi di Napoli.

Si è trattato di un attacco classificabile come APT (Advanced Persistent Threat), reso possibile grazie a un accesso privilegiato interno. D’Elia aveva infatti lavorato presso la NATO Communication and Information Agency dal 2010 al 2015, acquisendo una profonda conoscenza dei protocolli di sicurezza.
Il malware, sviluppato in Visual Basic 6, disponeva di funzionalità di keylogging e screen capturing, e trasmetteva i dati esfiltrati a un server di comando e controllo localizzato su fujinama.altervista.org.

Nel corso di due anni, sono stati sottratti 10 GB di dati, corrispondenti a circa 100.000 file, contenenti progetti riservati relativi a velivoli come il nEUROn (drone da combattimento), il C-27J (aereo da trasporto tattico) e i turboelica ATR.

La violazione è stata rilevata dal team di cybersecurity di Leonardo nel gennaio 2017, attraverso l’analisi di traffico di rete anomalo. La procura italiana ha formalmente accusato D’Elia di accesso abusivo, intercettazione illecita e manipolazione di dati, mentre Antonio Rossi, suo complice, è stato incriminato per ostruzione alle indagini. Il server C2 è stato sequestrato dalla Polizia Postale, ma i danni risultavano già ingenti: progetti militari sensibili, credenziali di accesso del personale e dati sugli approvvigionamenti erano stati compromessi.

Attacchi recenti: nel mirino le controllate

Nel luglio 2025, Larimart S.p.A., società partecipata al 60% da Leonardo e specializzata in elettronica per la difesa e comunicazioni militari, è stata oggetto di un nuovo attacco informatico. I cybercriminali hanno pubblicato 2,2 GB di dati dell’azienda, attiva nello sviluppo di soluzioni elettroniche per la difesa, la sicurezza e i servizi di emergenza. Gli autori dell’attacco sostengono di essere in possesso di una quantità di dati ben superiore rispetto a quanto reso pubblico.

Fondata nel 1960, Larimart è oggi un punto di riferimento nazionale nell’ambito ICT e nei sistemi di protezione individuale, operando come centro di competenza di Leonardo per terminali utente, computer e display rugged, sottosistemi di gestione integrata delle comunicazioni, protezione balistica e sistemi di difesa CBRN (Chimica, Biologica, Radiologica, Nucleare).
La società coniuga 63 anni di esperienza con tecnologie d’avanguardia, garantendo internamente produzione e controllo qualità per assicurare alti standard di affidabilità e sicurezza.

Il ruolo strategico di Larimart è testimoniato dalla sua leadership nel Consorzio PBI, incaricato dello sviluppo delle corazze di livello IV per le Forze Armate italiane. Nel 2021, Larimart ha acquisito la quota di maggioranza di DPI srl, consolidando la propria posizione nel mercato nazionale della protezione individuale.

L’azienda ha sottolineato che “nessuna informazione classificata è stata compromessa”, confermando che i dati sensibili risultano correttamente segregati dai sistemi oggetto dell’attacco.

Le rivendicazioni ransomware

Tra questi eventi, nel febbraio 2025, il gruppo ransomware 3AM (ThreeAM) ha rivendicato la compromissione dei sistemi di Leonardo, affermando di aver sottratto dati di 39 utenti e informazioni provenienti da 62 entità terze.
Leonardo ha smentito con fermezza tali dichiarazioni, definendole “completamente infondate” e precisando che non vi è alcuna evidenza di accessi non autorizzati ai propri sistemi informatici.

Le analisi di sicurezza suggeriscono che gli attaccanti abbiano colpito fornitori esterni di Leonardo, anziché i sistemi centrali. Tra le realtà potenzialmente coinvolte figurerebbero CAE e Rotorsim, partner in joint venture.

Sofisticazione tecnica e conoscenza dell’ambiente

L’attacco del 2015-2017 ha evidenziato una notevole sofisticazione tecnica, congiunta a una profonda conoscenza interna dei sistemi. D’Elia ha creato un malware che si mascherava da file legittimo di Windows (ctfmon.exe), sfuggendo così ai controlli di sicurezza. Il codice si manteneva persistente grazie a modifiche del registro e utilizzava chiamate API di Windows come InternetConnectA e HttpOpenRequestW per le comunicazioni con il server C2.

L’hash del malware (3c4444c8339f2b4c04931a379daf9d041854b168e45f949515f90b124821d626) e la data di compilazione (14 luglio 2015) sono diventati elementi probatori fondamentali. Il malware era in grado di eseguire keylogging in tempo reale, catturare schermate, ricevere comandi da remoto ed esfiltrare automaticamente i dati, mantenendo l’occultamento grazie all’autocancellazione una volta completata l’operazione.

Risposte aziendali e strategie di contenimento

La risposta di Leonardo agli incidenti ha subito un’evoluzione significativa nel tempo. In occasione dell’attacco interno del 2015-2017, l’azienda ha collaborato con le autorità giudiziarie, sporto denuncia e si è posizionata come parte lesa, piuttosto che come soggetto negligente. Ha inoltre ribadito che i dati classificati erano custoditi in ambienti fisicamente separati e non connessi alla rete, limitando così l’impatto strategico della violazione.

Per gli attacchi del 2025, Leonardo ha dimostrato una maggiore maturità nella comunicazione di crisi, contrastando tempestivamente le affermazioni del gruppo 3AM con dichiarazioni ufficiali, mentre Larimart ha sottolineato la segregazione dei dati e la tutela delle informazioni classificate. Questo approccio rapido e trasparente ha contribuito a contenere i danni reputazionali e a disinnescare la disinformazione.

Implicazioni sistemiche per la cybersecurity della Difesa

Questi episodi mettono in luce vulnerabilità strutturali nei modelli di sicurezza dei contractor della difesa. La minaccia interna si è rivelata la più insidiosa, evidenziando carenze nella gestione degli accessi privilegiati, nell’analisi comportamentale e nella separazione dei compiti. I tradizionali sistemi di sicurezza si sono dimostrati incapaci di rilevare comportamenti malevoli da parte di personale interno con accessi legittimi.

Tali eventi hanno però stimolato un rafforzamento complessivo del comparto. Leonardo ha aumentato in modo significativo gli investimenti in cybersecurity, puntando a 230 milioni di euro in ordini entro il 2029 e registrando una crescita del 21% dei ricavi da sicurezza informatica (168 milioni di euro nel primo trimestre 2025). L’azienda ha siglato partnership strategiche, tra cui quella con Arbit Cyber Defence Systems (dicembre 2024), e ha fondato la Cyber & Security Academy per potenziare la formazione specializzata.

Questi incidenti riflettono un contesto più ampio, in cui la cybersecurity rappresenta una sfida crescente per l’intero settore della difesa. Secondo recenti studi, quasi il 50% delle aziende italiane ha subito attacchi informatici, e 1 su 10 è stata vittima di ransomware con richieste estorsive. La frequenza e la complessità degli attacchi alle infrastrutture critiche sono in costante aumento, rendendo i contractor della difesa obiettivi di alto valore strategico per via dell’accesso a tecnologie militari sensibili e informazioni classificate.

Lezioni dal fronte della sicurezza digitale

Gli incidenti che hanno coinvolto Leonardo e Larimart offrono insegnamenti chiave per la cybersecurity moderna. Le minacce interne richiedono capacità di rilevamento specializzate, che vadano oltre le difese perimetrali convenzionali. Anche gli attacchi esterni più avanzati risultano meno distruttivi rispetto a quelli perpetrati da insider malevoli con accessi privilegiati.

Le organizzazioni devono implementare analisi comportamentali, monitoraggio continuo degli utenti privilegiati e una rigorosa separazione dei compiti, in particolare tra il personale addetto alla sicurezza. Inoltre, è fondamentale una corretta classificazione e segregazione dei dati, come dimostrato dalla limitazione dei danni sia nell’attacco del 2015-2017 che nella violazione subita da Larimart nel 2025.

Conclusioni

Gli attacchi informatici subiti da Leonardo e Larimart rappresentano un decennio di evoluzione delle minacce per i contractor della difesa. Se l’attacco interno del 2015-2017 ha segnato l’evento più dannoso, la successiva maturazione della postura di sicurezza e delle capacità di risposta ha consentito a Leonardo di reagire efficacemente alle minacce successive.

L’impegno continuo dell’azienda in materia di cybersecurity, le partnership strategiche e le solide procedure di risposta agli incidenti la posizionano in modo competitivo per affrontare le sfide future in un panorama di minacce sempre più complesso.

Questi casi dimostrano che la protezione delle infrastrutture critiche richiede strategie integrate in grado di fronteggiare sia minacce esterne che interne, con particolare attenzione ai rischi rappresentati da insider fidati con accesso a informazioni sensibili per la sicurezza nazionale.

Fonti:

https://www.ictsecuritymagazine.com/notizie/leonardo-e-larimart/

Il panorama delle minacce informatiche ha subito una trasformazione radicale negli ultimi anni, caratterizzata dall’emergere di due fenomeni interconnessi che stanno ridefinendo l’ecosistema del ransomware: la proliferazione di attaccanti solitari (lone wolf) e la continua evoluzione del modello Ransomware-as-a-Service (RaaS). Questa dicotomia rappresenta una paradossale convergenza tra l’individualizzazione degli attacchi e la democratizzazione delle capacità offensive avanzate.

La crescente disponibilità di toolkit open-source e la commoditizzazione delle tecniche di attacco hanno significativamente abbassato le barriere d’ingresso per aspiranti cybercriminali, consentendo l’operatività di attori privi di legami con gruppi strutturati. Parallelamente, il modello RaaS continua a evolversi, con gruppi mid-tier che competono per reclutare affiliati attraverso regole di ingaggio sempre meno restrittive e modelli di business innovativi.

Il fenomeno dei lone wolf: democratizzazione del cybercrime

Definizione e caratteristiche operative

Gli attaccanti lone wolf rappresentano una categoria emergente di threat actor che operano in modo indipendente, senza affiliazione a gruppi ransomware strutturati. Le ricerche di Coveware indicano che il 10% di tutti gli attacchi ransomware monitorati nel secondo trimestre del 2024 proveniva da operatori solitari, rappresentando un incremento massiccio rispetto ai periodi precedenti.

Questi attori sono probabilmente ex-affiliati di gruppi come Alphv (BlackCat) o LockBit, o rappresentano individui che hanno scelto di operare indipendentemente a causa del crescente rischio di esposizione, interruzione e perdita di profitti associati ai “brand ransomware tossici”.

Fattori abilitanti

La proliferazione di attaccanti solitari è facilitata da diversi fattori tecnologici e operativi:

Toolkit open-source e builders pubblici

L’esempio più emblematico è rappresentato dal Prince Ransomware builder, uno strumento automatizzato open-source disponibile su GitHub, che ha consentito la creazione di varianti come “CrazyHunter”, utilizzato nell’attacco al Mackay Memorial Hospital di Taiwan. Il builder, scritto in linguaggio Go, permette agli attaccanti di personalizzare facilmente varianti ransomware modificando i file di configurazione, con varianti identificate come “Black (Prince)”, “Wenda” e “UwU” che differiscono solo per estensioni di file e note di riscatto.

Strumenti legittimi weaponizzati

Un caso paradigmatico è rappresentato da ShrinkLocker, un ransomware che sfrutta BitLocker, l’utility di crittografia nativa di Windows, per bloccare l’accesso ai dati delle vittime. ShrinkLocker è inusuale per due ragioni: è scritto in VBScript e sfrutta BitLocker per crittografare e bloccare i sistemi delle vittime, un approccio atipico per il ransomware moderno che suggerisce una strategia unica o un threat actor meno sofisticato.

Il malware opera attraverso un processo sofisticato:

1. Verifica la presenza di BitLocker sul sistema e, se non presente, lo installa utilizzando ServerManagerCmd o PowerShell
2. Modifica le chiavi di registro per configurare il sistema per l’esecuzione di BitLocker con le impostazioni richieste dall’attaccante
3. Riduce le partizioni di sistema di 100MB utilizzando l’utilità diskpart per creare spazio per una nuova partizione di boot
4. Disabilita e rimuove tutti i protettori BitLocker predefiniti per impedire il recupero delle chiavi

Impatto operativo e sfide investigative

L’attribuzione di tali attacchi a specifici affiliati ransomware o collettivi è particolarmente impegnativa a causa della diffusa disponibilità e utilizzo di questi strumenti open-source che abilitano attaccanti lone wolf. Nel 2024, WithSecure non è riuscita ad attribuire il 38% dei suoi incidenti ransomware a franchise Ransomware-as-a-Service identificabili, indicando l’aumento di eventi ransomware lone wolf abilitati da strumenti offensivi facilmente disponibili.

Il modello RaaS: evoluzione e strategie competitive

Architettura del modello di business

Il Ransomware-as-a-Service è un modello di business tra operatori ransomware e affiliati in cui gli affiliati pagano per lanciare attacchi ransomware sviluppati dagli operatori. I kit RaaS sono pubblicizzati sui forum del dark web attraverso l’ecosistema underground, e alcuni operatori ransomware reclutano attivamente nuovi affiliati, investendo milioni in campagne di marketing.

Modelli di revenue

I modelli di revenue per le operazioni RaaS includono diverse varianti:

• Modello ad affiliazione: I profitti vengono condivisi tra operatori e affiliati, tipicamente con split del 20-30% per gli sviluppatori
• Modello subscription: Pagamento di una fee ricorrente mensile, talvolta ridotta a soli 40 dollari al mese
• Licenza lifetime: Pagamento una tantum per accesso illimitato
• Partnership RaaS: Split dei profitti definito al momento dell’accesso, generalmente più elevato del modello affiliato

Strategie di reclutamento e competizione

Gruppi tier-1 vs mid-tier

Intel 471 traccia oltre 25 crew RaaS, che spaziano dai gruppi “tier 1” più noti, ai gruppi “tier 2” legati a “varianti di nuova formazione sorte dai fallimenti di gruppi precedenti”, fino ai “tier 3” che descrive come “varianti completamente nuove che potrebbero avere la capacità di scalzare le attuali cabale di primo livello”.

Una differenza chiave tra i diversi tier di operazioni ransomware, oltre ai profitti relativi che vedono, è chi permettono di unirsi al loro programma di affiliazione. Gli operatori dietro le offerte ransomware di primo livello “sono decisamente molto più rigorosi riguardo a chi permettono nel loro gruppo criminale”, mentre altri apparentemente non possono permettersi di essere troppo selettivi.

Innovazioni nel reclutamento

Gruppi RaaS più piccoli stanno cercando di reclutare affiliati nuovi e “displaced” di LockBit e Alphv/BlackCat rinunciando a depositi e abbonamenti a pagamento, offrendo migliori split di pagamento, supporto 24/7 e altri “vantaggi”.

Esempi specifici includono:

• Medusa: Offre una scala di pagamento variabile, iniziando con uno split 70/30 affiliato/core, aumentando fino a 90/10, dipendente dalla dimensione del pagamento del riscatto ottenuto
• RansomHub: Permette agli affiliati di raccogliere personalmente i pagamenti del riscatto prima di pagare il servizio
• Cloak: Opta per uno split 85/15 affiliato/core del riscatto e non richiede deposito o pagamento per l’adesione, solo un’intervista

Modelli innovativi emergenti

DragonForce: il modello “cartel”

Nel marzo 2025, DragonForce si è ribrandizzato come “cartel” e ha annunciato il passaggio a un modello distribuito che consente agli affiliati di creare i propri “brand”. In questo modello, DragonForce fornisce la sua infrastruttura e strumenti ma non richiede agli affiliati di implementare il suo ransomware.

Anubis: diversificazione dei servizi

Anubis offre tre modalità operative:

1. RaaS tradizionale: Crittografia dei file con affiliati che ricevono l’80% del riscatto
2. Data ransom: Opzione di estorsione solo per furto dati con affiliati che ricevono il 60% del riscatto
3. Monetizzazione degli accessi: Servizio che aiuta i threat actor a estorcere vittime già compromesse, offrendo agli affiliati il 50% del riscatto

Implicazioni per la sicurezza informatica

Sfide per la detection e l’attribution

La commoditizzazione delle operazioni ransomware ha come aspetto positivo che le tecniche utilizzate sono condivise tra gli attori e quindi diventano più facili da rilevare su larga scala. Tuttavia, l’attribuzione di tali attacchi a specifici affiliati ransomware o collettivi è particolarmente impegnativa a causa della diffusa disponibilità e utilizzo di strumenti open-source.

Evoluzione delle superfici di attacco

Gli attaccanti Fog ransomware stanno utilizzando un toolset insolito che include utility open-source di penetration testing e software legittimo di monitoraggio dei dipendenti chiamato Syteca. Il toolset implementato dagli attaccanti è piuttosto atipico per un attacco ransomware, includendo strumenti come Adapt2x C2 (alternativa open-source a Cobalt Strike), Process Watchdog, PsExec e Impacket SMB.

Impatto economico e trend dei pagamenti

Il panorama ransomware ha sperimentato cambiamenti significativi nel 2024, con il volume totale dei pagamenti di riscatto diminuito del 35% anno su anno, guidato da maggiori azioni delle forze dell’ordine, migliore collaborazione internazionale e un crescente rifiuto delle vittime di pagare.

Il pagamento mediano è sceso del 45% nel Q4 2024 a $110.890. I pagamenti continuano a rimanere principalmente un’opzione di ultima istanza per coloro che non hanno alternative per recuperare dati critici.

Contromisure e strategie di difesa

Approcci tecnologici

Monitoraggio comportamentale

Il monitoraggio proattivo di specifici log eventi Windows può aiutare le organizzazioni a identificare e rispondere a potenziali attacchi BitLocker, anche nelle loro fasi iniziali, tracciando eventi dalla fonte “Microsoft-Windows-BitLocker-API/Management”, in particolare quelli con ID evento 776 (rimozione protettori) e 773 (sospensione BitLocker).

Principio del minimo privilegio

Assicurarsi che gli utenti abbiano solo privilegi minimi in modo che non possano abilitare funzionalità di crittografia o modificare chiavi di registro da soli.

Strategie organizzative

Gestione dei backup

Fare backup frequentemente, conservarli offline e testarli. La strategia 3-2-1 (3 copie, 2 supporti diversi, 1 offsite) rimane fondamentale.

Network segmentation

L’incidente dell’ospedale Mackay Memorial evidenzia anche l’importanza di proteggere i punti di accesso fisico come le porte USB e implementare robuste misure di protezione degli endpoint. Le organizzazioni devono dare priorità alla segmentazione di rete, al monitoraggio continuo e agli aggiornamenti tempestivi.

Conclusioni e prospettive future

Il panorama ransomware nel 2025 dovrebbe continuare a evolversi con un aumento della sofisticazione e adattabilità da parte dei threat actor. Con un Q4 2024 da record, che ha registrato 1.827 incidenti ransomware, i gruppi ransomware probabilmente intensificheranno le loro operazioni, prendendo di mira industrie ad alto valore e sfruttando tecnologie avanzate come l’intelligenza artificiale per migliorare l’efficacia dei loro attacchi.

La convergenza tra attaccanti lone wolf e modelli RaaS sempre più sofisticati rappresenta una sfida multidimensionale per i professionisti della sicurezza informatica. L’abbassamento delle barriere tecniche, combinato con l’innovazione continua nei modelli di business criminali, richiede un approccio olistico che integri tecnologie avanzate di detection, strategie di threat intelligence e robuste pratiche di cyber hygiene.

La proliferazione di piattaforme RaaS complica ulteriormente gli sforzi delle forze dell’ordine abilitando una gamma più ampia di individui a partecipare ad attività illecite, causando l’aumento del numero di attacchi e la decentralizzazione delle reti criminali ransomware.

Il futuro della sicurezza informatica dipenderà dalla capacità delle organizzazioni di adattarsi a questa evoluzione del panorama delle minacce, implementando strategie difensive proattive che possano contrastare efficacemente sia gli attacchi individuali sofisticati che le campagne massive orchestrate attraverso modelli RaaS.

Fonti

Kaspersky. (2024). How ShrinkLocker ransomware leverages BitLocker. https://www.kaspersky.com/blog/shrinklocker-ransomware-encrypts-with-bitlocker/51462/

Coveware. (2025). Will Law Enforcement success against ransomware continue in 2025?. https://www.coveware.com/blog/2025/1/31/q4-report

Arctic Wolf. (2024). RaaS Will Grow In 2024. https://arcticwolf.com/resources/blog/ransomware-as-a-service-will-continue-to-grow-in-2024/

Chainalysis. (2025). Crypto Ransomware 2025: 35.82% YoY Decrease in Ransomware Payments. https://www.chainalysis.com/blog/crypto-crime-ransomware-victim-extortion-2025/

Cyberint. (2025). Ransomware Annual Report 2024. https://cyberint.com/blog/research/ransomware-annual-report-2024/

Splunk. (2024). ShrinkLocker Malware: Abusing BitLocker to Lock Your Data. https://www.splunk.com/en_us/blog/security/shrinklocker-malware-abusing-bitlocker-to-lock-your-data.html

Bitdefender. (2024). ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again. https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again

Kaspersky. (2024). How ransomware abuses BitLocker. https://securelist.com/ransomware-abuses-bitlocker/112643/

BankInfoSecurity. (2024). Ever More Toxic Ransomware Brands Breed Lone Wolf Operators. https://www.bankinfosecurity.com/blogs/ever-more-toxic-ransomware-brands-breed-lone-wolf-operators-p-3682

WithSecure Labs. (2025). CrazyHunter: The Rising Threat of Open-Source Ransomware. https://labs.withsecure.com/publications/crazyhunter-ransomware

GBHackers. (2025). Prince Ransomware – An Automated Open-Source Ransomware Builder Freely Available on GitHub. https://gbhackers.com/prince-ransomware-an-automated-open-source-ransomware/

BankInfoSecurity. (2021). More Ransomware-as-a-Service Operations Seek Affiliates. https://www.bankinfosecurity.com/more-ransomware-as-a-service-operations-seek-affiliates-a-15378

Help Net Security. (2024). RaaS groups increasing efforts to recruit affiliates. https://www.helpnetsecurity.com/2024/03/20/raas-recruit-affiliates/

Secureworks. (2025). Ransomware Groups Evolve Affiliate Models. https://www.secureworks.com/blog/ransomware-groups-evolve-affiliate-models

ISACA. (2024). The Commoditization of Ransomware as a Service. https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2024/volume-4/the-commoditization-of-ransomware-as-a-service

CrowdStrike. (2025). What is Ransomware as a Service (RaaS)? https://www.crowdstrike.com/en-us/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

IBM. (2025). What Is Ransomware-as-a-Service (RaaS)? https://www.ibm.com/think/topics/ransomware-as-a-service

https://www.ictsecuritymagazine.com/articoli/lone-wolf-raas/

La National Crime Agency (NCA) del Regno Unito ha annunciato il 10 luglio 2025 l’arresto di quattro persone in relazione a una serie di attacchi informatici su larga scala che hanno colpito i giganti del retail britannico Marks & Spencer (M&S), Co-op e Harrods all’inizio dell’anno. Gli individui, due uomini di 19 anni, un ragazzo di 17 anni e una donna di 20 anni, sono stati presi in custodia durante raid coordinati nelle loro residenze a Londra e nelle West Midlands.

Le accuse mosse contro i sospettati sono gravi e includono reati ai sensi del Computer Misuse Act, ricatto, riciclaggio di denaro e coinvolgimento nelle attività di un gruppo criminale organizzato. Durante le operazioni, gli ufficiali della National Cyber Crime Unit della NCA hanno sequestrato numerosi dispositivi elettronici per analisi forensi digitali, e tutti e quattro rimangono in custodia per ulteriori interrogatori. Paul Foster, vicedirettore e capo della National Cyber Crime Unit della NCA, ha sottolineato che l’indagine è stata una priorità assoluta per l’Agenzia e che questi arresti rappresentano un “passo significativo” nel perseguire i responsabili.

L’età relativamente giovane dei sospettati (17-20 anni) si allinea con i profili noti di gruppi come Scattered Spider, spesso descritto come un collettivo di “giovani hacker” e una “crew di cybercriminali decentralizzata”. Questa tendenza evidenzia una sfida crescente per le forze dell’ordine: l’emergere di attori con elevate competenze tecniche ma potenzialmente meno esperienza operativa o una minore aderenza alle tradizionali strutture criminali, il che può renderli più suscettibili all’errore e, di conseguenza, all’arresto.

Le accuse di “partecipazione alle attività di un gruppo criminale organizzato” sono particolarmente rilevanti. Nonostante la natura “liberamente affiliata” o “decentralizzata” di gruppi come Scattered Spider , l’approccio delle autorità indica una ferma volontà di considerare queste operazioni come parte di un’impresa criminale strutturata. Questo riflette una comprensione più profonda della cybercriminalità moderna, che spesso opera attraverso reti fluide e basate su progetti, consentendo alle forze dell’ordine di applicare sanzioni più severe e di estendere le indagini a una rete più ampia.

Il contesto dei cyber attacchi: un’offensiva mirata al settore retail

Gli attacchi informatici che hanno portato a questi arresti si sono verificati nell’aprile 2025. Il Cyber Monitoring Centre (CMC), un organismo indipendente supportato dall’industria assicurativa , ha classificato gli incidenti che hanno colpito Marks & Spencer e Co-op come un “singolo evento cyber combinato”. Questa classificazione è stata motivata dal fatto che un unico attore ha rivendicato la responsabilità per entrambi gli attacchi e che le tattiche, tecniche e procedure (TTP) impiegate erano simili. L’evento è stato inoltre categorizzato come un “evento sistemico di Categoria 2” , evidenziando la sua capacità di generare un rischio significativo per l’intero settore.

L’impatto finanziario complessivo di questi attacchi è stato stimato tra £270 milioni ($363 milioni) e £440 milioni ($592 milioni). Marks & Spencer, in particolare, ha previsto perdite fino a £300 milioni, con il recupero operativo che si prevede si estenderà nella seconda metà dell’anno. La sua capitalizzazione di mercato ha subito un calo drastico, stimato tra £500 milioni e £750 milioni.

Anche Co-op ha visto il valore delle sue azioni crollare del 30-40% in seguito all’incidente. Questi numeri colossali non sono solo la somma delle perdite individuali, ma riflettono un rischio sistemico che può destabilizzare interi settori economici, influenzando potenzialmente le politiche assicurative, la regolamentazione e gli investimenti in cybersecurity a livello di settore.

Analisi degli incidenti: vettori, minacce e impatto operativo

Gli attacchi sono stati attribuiti principalmente al gruppo ransomware DragonForce, che si ritiene operi in collaborazione con il threat actor Scattered Spider (noto anche come UNC3944). Scattered Spider è tristemente noto per le sue tattiche sofisticate di ingegneria sociale. La tattica comune impiegata è stata la “double extortion”, che prevede sia la crittografia dei sistemi che l’esfiltrazione dei dati, seguita da una richiesta di riscatto per la decrittografia e la cancellazione dei file rubati.

Marks & Spencer (M&S)

L’attacco a M&S è iniziato già a febbraio 2025 con l’accesso iniziale alla rete. Il vettore principale è stato l’ingegneria sociale, sfruttando un fornitore terzo, Tata Consultancy Services (TCS), che gestisce l’helpdesk IT di M&S. Gli attaccanti hanno impersonato personale IT interno per ingannare gli operatori dell’helpdesk, ottenendo credenziali e riuscendo a disabilitare l’autenticazione multi-fattore (MFA).

Una volta all’interno, hanno esfiltrato il file NTDS.dit del controller di dominio Windows, che contiene gli hash delle password per tutti gli utenti del dominio. Questi hash sono stati poi crackati offline per ottenere credenziali in chiaro. Utilizzando accessi Windows legittimi, si sono mossi lateralmente nella rete e, il 24 aprile, hanno distribuito il payload del ransomware DragonForce sugli host VMware ESXi, crittografando macchine virtuali che supportavano e-commerce, elaborazione pagamenti e logistica.

L’impatto operativo è stato devastante: M&S è stata costretta a sospendere gli ordini online per sei settimane , ha subito interruzioni diffuse nei pagamenti in 500 negozi e ha registrato il furto di dati personali dei clienti, inclusi nomi, dettagli di contatto, informazioni parziali di pagamento, date di nascita e cronologie ordini online. L’azienda ha dovuto ricorrere a procedure manuali per la gestione delle scorte e dei rifornimenti, causando scaffali vuoti e disagi significativi ai clienti.

Co-op

Per Co-op, l’accesso non autorizzato è stato rilevato il 22 aprile. L’accesso iniziale è avvenuto tramite un attacco di ingegneria sociale, che ha permesso il reset della password di un dipendente. Gli attaccanti hanno rubato il file Windows NTDS.dit e hanno affermato di aver avuto accesso alla rete per un periodo significativo prima di essere scoperti. L’attacco ha compromesso i dati personali del programma di adesione Co-op, tra cui nomi, date di nascita, informazioni di contatto e dettagli di adesione. L’azienda ha subito interruzioni nei pagamenti e problemi di rifornimento.

Una strategia di risposta cruciale adottata da Co-op è stata la decisione proattiva del suo team IT di disconnettere i servizi informatici, impedendo ai criminali di completare l’attacco ransomware. Gli attaccanti stessi hanno confermato che la rete Co-op “non ha mai subito ransomware” perché l’azienda “ha staccato la spina”. Questa mossa, sebbene abbia causato interruzioni immediate, è stata definita una “buona mossa” da esperti di cybersecurity, limitando i danni rispetto a M&S. Co-op ha successivamente annunciato un investimento di $50 milioni in cybersecurity per rafforzare le proprie difese.

Harrods

Harrods ha confermato un tentativo di accesso non autorizzato ai suoi sistemi nel maggio 2025. Come misura precauzionale, il negozio ha limitato l’accesso a internet nei suoi siti. I dettagli sulla gravità della violazione o sull’esposizione dei dati dei clienti non sono stati rivelati , né è stato divulgato se l’attacco abbia coinvolto ransomware o richieste di estorsione. Tuttavia, la vicinanza temporale con gli altri attacchi suggerisce un possibile collegamento allo stesso attore, con Scattered Spider come probabile colpevole.

Il fatto che gli attacchi a M&S e Co-op siano partiti da ingegneria sociale e dalla compromissione di terze parti o dipendenti evidenzia una vulnerabilità persistente: il fattore umano. Questa tattica aggira le difese perimetrali tradizionali, sfruttando la fiducia e l’errore umano. La gestione del rischio dei fornitori terzi e la formazione continua sull’ingegneria sociale, insieme a robuste politiche di verifica dell’identità per i servizi di helpdesk, sono cruciali.

L’esfiltrazione del file NTDS.dit di Active Directory (AD) in entrambi gli attacchi M&S e Co-op è una tecnica altamente efficace. Questo file contiene gli hash delle password di tutti gli utenti del dominio, consentendo agli aggressori di ottenere credenziali in chiaro offline e di muoversi lateralmente nella rete con account legittimi, eludendo il rilevamento. La protezione di AD con hardening rigorosi, monitoraggio avanzato dei log e MFA per gli account privilegiati è fondamentale.

La decisione di Co-op di disconnettere proattivamente i propri sistemi per prevenire la completa crittografia del ransomware , sebbene costosa in termini di interruzione immediata, ha limitato significativamente il danno complessivo. Questo dimostra l’importanza di un piano di risposta agli incidenti ben definito e della capacità di prendere decisioni rapide e drastiche per contenere la minaccia.

La risposta delle Forze dell’Ordine e le implicazioni per la sicurezza informatica

L’indagine della NCA è stata una “priorità massima” sin dagli attacchi. Paul Foster della NCA ha ringraziato M&S, Co-op e Harrods per il loro supporto alle indagini, sottolineando l’importanza della collaborazione tra vittime e forze dell’ordine. L’attività operativa è stata supportata da unità regionali di criminalità organizzata (West Midlands ROCU, East Midlands Special Operations Unit) , dimostrando un approccio coordinato e multi-agenzia alla lotta contro la cybercriminalità nel Regno Unito. Questo livello di coordinamento è cruciale per il successo delle indagini complesse, combinando l’intelligence nazionale con le capacità operative locali.

La presenza di un cittadino lettone tra gli arrestati in un gruppo principalmente associato a hacker di lingua inglese (Scattered Spider) indica che, anche per gruppi apparentemente “locali”, la portata delle operazioni cybercriminali può essere transnazionale. Questo rafforza la necessità di una robusta cooperazione internazionale tra le forze dell’ordine per contrastare efficacemente la cybercriminalità, richiedendo condivisione di intelligence e coordinamento operativo oltre i confini nazionali.

Jake Moore di ESET ha commentato che gli arresti sono un “duro colpo” per la gang, che “non eliminerà gli attacchi futuri ma interromperà le reti criminali”. Questa analisi riflette la realtà della lotta alla cybercriminalità: sebbene non si possa “eradicare” il problema, la “disruzione” delle reti è un obiettivo raggiungibile e cruciale. Gli arresti di membri chiave possono paralizzare temporaneamente le operazioni di un gruppo, costringendoli a riorganizzarsi o a sciogliersi, aumentando il rischio percepito per gli attori delle minacce.

La NCA e altre agenzie come l’FBI e Europol sconsigliano vivamente di pagare i riscatti, poiché ciò alimenta il ciclo della cybercriminalità e non garantisce il recupero dei dati. Questa posizione è una strategia chiara per interrompere il modello di business del ransomware, spostando il focus dalla reazione al pagamento alla prevenzione e al recupero robusto.

Cybercrime: lezioni cruciali per i professionisti della cybersecurity

Questi incidenti offrono diverse lezioni fondamentali per i professionisti della cybersecurity:

• Persistenza dell’Ingegneria Sociale: Gli attacchi dimostrano che l’ingegneria sociale rimane un vettore di accesso iniziale estremamente efficace, capace di aggirare difese tecniche avanzate. La formazione continua del personale e l’implementazione di rigorosi protocolli di verifica per le richieste di credenziali sono indispensabili.
• Gestione del Rischio dei Fornitori Terzi: La compromissione tramite un fornitore IT esterno (TCS per M&S) evidenzia la necessità di una rigorosa gestione del rischio della supply chain e di controlli di accesso segmentati per i terzi. Le organizzazioni sono tanto sicure quanto il loro anello più debole nella catena di fornitura.
• Protezione dell’Active Directory: Il furto del file NTDS.dit sottolinea l’importanza critica di proteggere Active Directory con hardening, monitoraggio avanzato dei log e MFA obbligatoria per gli account privilegiati. AD rimane un obiettivo primario per gli attaccanti che cercano il controllo della rete.
• Pianificazione della Risposta agli Incidenti e Continuità Operativa: Il caso Co-op dimostra il valore di una risposta proattiva (disconnessione dei sistemi) e di un robusto piano di continuità aziendale con backup sicuri per limitare i danni da ransomware e consentire un recupero rapido senza cedere al riscatto.
• Trasparenza e Collaborazione: L’appello del presidente di M&S, Archie Norman, per la segnalazione obbligatoria degli incidenti e il ringraziamento della NCA per la collaborazione delle vittime evidenziano l’importanza della condivisione delle informazioni per migliorare la resilienza collettiva e fornire un quadro più accurato del panorama delle minacce. Una maggiore trasparenza può portare a una migliore intelligence sulle minacce e a difese più efficaci.
• Reazione del Mercato e Danno Reputazionale: Il calo significativo del valore di mercato di M&S e Co-op in seguito agli attacchi dimostra che le conseguenze degli incidenti cyber vanno ben oltre i costi operativi diretti, influenzando la percezione degli investitori e la fiducia del pubblico. La cybersecurity è, a tutti gli effetti, una componente critica della gestione del rischio aziendale e della protezione del valore per gli azionisti.
• Retailer di Lusso come Target Primario: L’identificazione di Harrods come “prime target” per gli attacchi informatici a causa della grande quantità di dati sensibili dei clienti e del potenziale danno d’immagine derivante da un’interruzione, rivela una logica di targeting specifica. Gli attori delle minacce stanno affinando le loro strategie, concentrandosi su settori dove il ritorno sull’investimento è più elevato.

Conclusioni: verso una maggiore resilienza

Gli arresti operati dalla NCA segnano un successo tangibile nella lotta contro le reti cybercriminali che hanno inflitto interruzioni devastanti nel settore retail britannico. Questi incidenti, tuttavia, sottolineano l’evoluzione continua delle tattiche degli aggressori, con l’ingegneria sociale e la compromissione dell’Active Directory che rimangono vettori primari di attacco.

La risposta proattiva di Co-op offre un modello di gestione degli incidenti che, sebbene costoso a breve termine, può limitare significativamente i danni complessivi e accelerare il recupero. La comunità della cybersecurity deve continuare a rafforzare le difese, investire nella formazione del personale, migliorare la gestione del rischio di terze parti e sviluppare piani di continuità aziendale robusti.

L’adozione di una cultura di maggiore trasparenza nel reporting degli incidenti e una collaborazione più stretta con le forze dell’ordine sono passi essenziali per costruire una resilienza collettiva più forte contro un panorama di minacce in costante evoluzione.

Fonti

https://www.ictsecuritymagazine.com/notizie/cybercrime-retail/

Nel maggio 2025, Microsoft ed Europol hanno unito le forze in un’operazione internazionale volta a smantellare l’ecosistema criminale di Lumma Stealer – noto anche come LummaC2 – tra i più diffusi infostealer globali, con oltre 394.000 dispositivi Windows infettati tra marzo e maggio 2025.

Il malware, in grado di esfiltrare credenziali, cookie, portafogli di criptovalute e altri dati sensibili da dispositivi compromessi, alimentava frodi finanziarie, furti d’identità e attacchi ransomware.

Sulla base di queste evidenze, la Digital Crimes Unit di Microsoft, Europol, il Dipartimento di Giustizia degli Stati Uniti, il Centro europeo per la criminalità informatica (EC3) e il Japan Cybercrime Control Center (JC3), insieme a partner privati come BitSight, Cloudflare e altri operatori coinvolti in attività di intelligence e supporto tecnico, hanno disattivato l’infrastruttura operativa del malware.

“Oltre 1.300 domini legati a Lumma sono stati sequestrati o trasferiti a Microsoft e reindirizzati verso sinkhole sotto il suo controllo, azzerando le comunicazioni tra il malware e i suoi operatori e bloccando ogni attività illecita residua. In un’azione coordinata, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha infine sequestrato il pannello di controllo di Lumma, elemento essenziale per il funzionamento del marketplace associato al malware.

Lumma Stealer: funzionamento, diffusione e obiettivi

LummaC2 è il successore di LummaC, un infostealer basato sul modello Malware-as-a-Service (MaaS) progettato per sottrarre dati sensibili da browser, applicazioni e portafogli di criptovalute, oltre a poter installare ulteriori payload malevoli. Pubblicizzato su forum underground dalla fine del 2022, ha subito rapidi sviluppi con frequenti aggiornamenti.

Il malware è gestito da un gruppo criminale identificato da Microsoft Threat Intelligence come Storm-2477, responsabile dello sviluppo, della manutenzione dell’infrastruttura Command and Control (C2) e della piattaforma MaaS. Gli affiliati, dopo aver acquistato l’accesso tramite criptovalute, utilizzano un pannello di amministrazione per generare eseguibili personalizzati di Lumma, controllare le comunicazioni C2 e consultare i dati rubati.

Il malware è stato utilizzato in numerose campagne da gruppi ransomware noti, come Octo Tempest (noto anche come Scattered Spider), Storm-1607, Storm-1113 e Storm-1674. La sua distribuzione multi-vettoriale includeva e-mail di phishing, malvertising, download da siti compromessi, software piratati, script offuscati su GitHub e persino come payload secondario in infezioni complesse. In molti casi, Lumma si camuffava da entità affidabili, come Booking.com o Microsoft, per indurre le vittime a scaricare ed eseguire il codice malevolo.

I bersagli spaziavano da utenti privati a organizzazioni, fino a community di videogiocatori, istituzioni scolastiche e settori strategici come manifattura, telecomunicazioni, logistica, finanza e sanità, confermando Lumma Stealer come una minaccia persistente per la sicurezza globale.

Il lato commerciale del Malware: il “business model” del malware: abbonamenti, supporto e vendite via Telegram

Il malware principale Lumma Stealer è stato sviluppato utilizzando una combinazione di C++ e ASM, e progettato fin dall’inizio come una soluzione Malware-as-a-Service (MaaS). Gli abbonati accedevano a un pannello per generare varianti del malware, gestire comunicazioni C2 e visualizzare i dati rubati. Gli operatori di LummaC2 gestivano inoltre un bot Telegram dedicato alla vendita diretta dei dati rubati raccolti dagli affiliati.

Le credenziali sottratte – denominate “log” – venivano analizzate, indicizzate e rese disponibili su un marketplace riservato, dove gli acquirenti potevano acquistare crediti in criptovaluta e cercare le informazioni più redditizie. I log venivano anche raccolti da altri attori criminali che rivendevano l’accesso alle proprie collezioni, sempre attraverso Telegram.

L’offerta commerciale includeva piani di abbonamento mensili compresi tra 250 e 1.000 dollari, con la possibilità di acquistare l’accesso al codice sorgente per 20.000 dollari. Per facilitare l’utilizzo anche da parte di attori meno esperti, il gruppo aveva pubblicato una documentazione tecnica dettagliata su Gitbook, accessibile tramite un sito web dedicato collegato al progetto.

2023 – l’analisi di Darktrace e l’evoluzione delle campagne malevole

Nel periodo compreso tra gennaio e aprile 2023, Darktrace, azienda britannica specializzata in cybersicurezza basata su intelligenza artificiale auto-apprendente, ha osservato numerose attività legate a Lumma Stealer, in particolare in Europa e Nord America.

Il malware, venduto su forum underground e su Telegram fin dal 2022, era offerto a partire da 250 dollari ed era promosso da un attore noto come “Shamel”. Le infezioni rilevate da Darktrace sono avvenute tramite software craccati (come VLC e versioni contraffatte di ChatGPT), oppure attraverso e-mail con allegati o link malevoli, in alcuni casi mascherate da comunicazioni ufficiali di aziende note. Un esempio emblematico riguarda un attacco di spear-phishing in Corea del Sud che impersonava Bandai Namco.

Darktrace ha rilevato numerosi casi di esfiltrazione di dati tramite HTTP POST verso server C2 associati a Lumma, spesso caratterizzati dall’uso dell’user agent “TeslaBrowser/5.5” e della URI “/c2sock”. In un caso documentato, accedendo manualmente a un indirizzo IP sospetto, è stato possibile visualizzare un pannello di controllo in lingua russa, riconducibile all’infrastruttura di comando del malware.

Ulteriori analisi dei PCAP hanno confermato l’esfiltrazione di informazioni sensibili. In diversi dispositivi compromessi, sono state inoltre rilevate connessioni simultanee ad altri malware noti come Raccoon Stealer, RedLine, Vidar e Laplas Clipper, suggerendo che Lumma venga spesso utilizzato all’interno di pacchetti malware multipli.

Questi infostealer, anch’essi offerti come Malware-as-a-Service (MaaS), sono strumenti privilegiati dei traffer team, gruppi criminali specializzati nella raccolta e rivendita di credenziali su larga scala, attraverso modelli di business sempre più sofisticati e automatizzati.

2025 – ClickFix ed EtherHiding: l’evoluzione silenziosa di Lumma Stealer

Ad aprile 2025, Microsoft ha individuato diverse campagne mirate alla distribuzione di Lumma Stealer, sfruttando tecniche avanzate come EtherHiding e ClickFix. La prima consiste nell’utilizzare smart contract su blockchain (es. Binance Smart Chain) per ospitare codice malevolo, eludendo i tradizionali sistemi di rilevamento.

La tecnica ClickFix, invece, sfrutta l’ingegneria sociale attraverso finte schermate di errore, inducendo l’utente a incollare comandi nel prompt di Windows, che portano al download del malware. In un caso, siti compromessi iniettavano JavaScript per interrogare la blockchain, recuperare il codice ClickFix e presentarlo agli utenti. In un’altra campagna del 7 aprile, un’ondata di e-mail indirizzate a organizzazioni canadesi utilizzava falsi avvisi di fatture per reindirizzare le vittime a un sito malevolo, sfruttando un sistema di redirezione Prometheus TDS e la stessa tecnica ClickFix. Il codice finale scaricato tramite mshta e PowerShell installava Lumma Stealer, in alcuni casi associato al malware Xworm.

Un modello da replicare: disarticolata una minaccia globale con approccio congiunto

Lumma Stealer si è distinto nel panorama delle minacce informatiche non solo per l’ampiezza delle sue capacità tecniche, ma anche per l’approccio organizzativo e commerciale adottato dai suoi operatori. La struttura del servizio, infatti, ricalcava in modo inquietante quella di un software legittimo, offrendo piani di abbonamento, documentazione tecnica dettagliata e supporto.

Questi elementi, tipici delle piattaforme SaaS professionali, hanno reso Lumma particolarmente accessibile anche ad attori con competenze tecniche limitate, contribuendo alla sua rapida diffusione e all’efficacia delle campagne condotte. La combinazione di tecniche avanzate di evasione, distribuzione multi-vettoriale e modello commerciale scalabile ha fatto di Lumma uno dei MaaS più pericolosi degli ultimi anni.

Lo smantellamento della sua infrastruttura ha segnato una tappa fondamentale nella lotta alla criminalità informatica. Questo risultato è stato possibile grazie a un’azione congiunta tra agenzie governative e partner tecnologici, che ha visto Microsoft in prima linea, affiancata da Europol ed altri attori pubblici, insieme a partner privati e numerosi fornitori di sicurezza.

Il caso Lumma dimostra come la sinergia tra pubblico e privato sia oggi essenziale per contrastare minacce sofisticate che evolvono secondo logiche industriali. Se da un lato la criminalità informatica continua a professionalizzarsi, dall’altro solo una risposta coordinata e condivisa può garantire efficacia e impatto reale in un contesto in cui la sicurezza digitale è un obiettivo condiviso.

Riferimenti

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

https://www.bitsight.com/blog/lumma-stealer-is-out-of-business

https://www.cloudflare.com/it-it/threat-intelligence/research/report/cloudflare-participates-in-joint-operation-to-disrupt-lumma-stealer/

https://www.darktrace.com/blog/the-rise-of-the-lumma-info-stealer

https://ieu-monitoring.com/editorial/europol-and-microsoft-disrupt-worlds-largest-infostealer-lumma/822132?utm_source=ieu-portal

https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

https://socradar.io/disrupting-lumma-stealer-malware-microsoft-leads-global-action/

https://www.windowsblogitalia.com/2025/05/microsoft-mette-fine-malware-lumma-stealer/

Profilo Autore

Cyber Security Expert | Digital Forensics Examiner | Docente & Speaker

Lead Auditor ISO/IEC 27001:2022, opera nei settori della Cybersecurity e Digital Forensics, con oltre dieci anni di esperienza nella consulenza tecnica, nell’analisi forense e nella formazione.

È docente di Cybersecurity presso l’European Forensic Institute di Malta, dove ricopre il ruolo di responsabile del Master in Cyber Security, Digital Forensics & Crime Analysis.

Affianca all’attività di consulente un’intensa attività di relatore e docente, partecipando a eventi nazionali e internazionali e collaborando con il mondo accademico italiano.

Membro ONIF (Osservatorio Nazionale sull’Informatica Forense), fa parte della redazione del magazine L’Europeista occupandosi di Cybersecurity e normativa di settore.

https://www.ictsecuritymagazine.com/articoli/lumma-stealer/

Il panorama delle minacce informatiche sta subendo una profonda trasformazione, come illustrato dall’analisi esposta da Matteo Carli (CTO di una società di cyber intelligence ed esperto di sicurezza informatica) durante la 13ª Cyber Crime Conference, l’ecosistema ransomware è in continua evoluzione.

La presentazione ha rivelato come l’ecosistema dei ransomware stia attraversando un processo di democratizzazione allarmante, che rende questa minaccia sempre più accessibile anche a soggetti con competenze tecniche limitate.

«Nel 2024 gli attacchi a livello globale sono saliti del 12%» ha esordito Carli. La sua disamina si è poi focalizzata principalmente sui gruppi che adottano la strategia del “data leak site”, ossia la tattica attraverso cui i dati sottratti alle vittime che rifiutano di pagare vengono pubblicati online.

Questo approccio consente di misurare con una certa precisione la portata del fenomeno, sebbene l’esperto abbia sottolineato come, a causa della complessità dell’ecosistema criminale, i numeri possano variare tra i diversi report di settore.

Un cambiamento significativo rilevato nell’ultimo anno riguarda la natura dei bersagli: gli attacchi ransomware, tradizionalmente orientati verso organizzazioni di grandi dimensioni con maggiori capacità economiche, stanno ora ridefinendo il proprio raggio d’azione.

«Gli attacchi si stanno spostando su aziende di dimensioni più piccole rispetto al passato» ha spiegato l’esperto, evidenziando come questa tendenza sia emersa negli ultimi mesi del 2024 e stia proseguendo nel 2025, delineando una nuova strategia da parte dei gruppi criminali.

Gruppi Ransomware e ridefinizione economica del riscatto

Parallelamente al mutamento dei bersagli, Carli ha evidenziato un’evoluzione nella distribuzione degli importi richiesti a titolo di riscatto.

I dati presentati dall’esperto rivelano un cambiamento sostanziale: «In precedenza a prevalere erano importi bassi, mentre ora sono quasi uniformi fino ai 100.000 euro (e comunque ci sono attacchi che vanno ben oltre i 100.000 euro)». Una trasformazione che indica l’atteggiamento adattivo dei gruppi criminali, i quali calibrano le richieste economiche in base alla capacità delle vittime, massimizzando il potenziale guadagno senza compromettere le probabilità di pagamento.

Il panorama italiano presenta caratteristiche peculiari rispetto al contesto globale. Sebbene Carli abbia riportato che «gli attacchi sono calati in maniera considerevole rispetto al 2023», ha immediatamente messo in guardia contro interpretazioni eccessivamente ottimistiche di questo dato: «attenzione a non confondere questo dato come una vittoria» ha avvertito, ricordando che «il 2023 è stato l’anno peggiore per l’Italia» e che «i numeri del 2024 ci dicono che ancora siamo più alti rispetto al 2022».

La posizione dell’Italia nel contesto internazionale rimane preoccupante: «In questo momento siamo la quinta nazione al mondo nella classifica – purtroppo non positiva – dei paesi più attaccati e la terza a livello europeo» ha precisato il relatore, delineando un quadro che richiede attenzione continua e strategie di mitigazione efficaci.

La vulnerabilità del tessuto industriale italiano

Una delle rivelazioni più significative dell’analisi di Carli riguarda la peculiare vulnerabilità del settore manifatturiero italiano, che emerge come anomalia nel panorama globale.

«In Italia la manifattura è il settore più colpito, differentemente da tutto il resto del mondo» ha sottolineato l’esperto, analizzando poi le ragioni di questa specificità.

Tale vulnerabilità appare, infatti, attribuibile a due fattori principali: da un lato «una presenza molto importante delle PMI all’interno del tessuto economico italiano», con le piccole e medie imprese che rappresentano la spina dorsale dell’economia nazionale; dall’altro una carenza strutturale a livello di protezioni informatiche, poiché «all’interno di quel settore non c’è tutto ciò che dovrebbe esserci in termini di cybersecurity».

Questa combinazione di fattori rende il settore manifatturiero italiano un bersaglio particolarmente appetibile per i gruppi ransomware, che possono sfruttare le vulnerabilità sistemiche per massimizzare l’efficacia dei loro attacchi.

Perturbazioni nel regno del crimine digitale

Il 2024 ha segnato quello che Carli ha definito «un periodo difficile per i gruppi ransomware», a causa di una serie di eventi che hanno destabilizzato l’ecosistema criminale, contribuendo a ridisegnare la geografia del crimine informatico e costringendo i gruppi a riorganizzarsi per adattare le proprie strategie.

Il primo evento significativo è stato «il data leak delle chat del gruppo Conti, probabilmente uno dei più famosi», avvenuto in un momento particolarmente delicato poiché, «Nel momento in cui è iniziato il conflitto tra Ucraina e Russia, Conti aveva apertamente espresso il proprio sostegno alla Russia».

Questa dichiarazione politica, probabilmente a causa della presenza di membri ucraini all’interno dell’organizzazione, ha avuto ripercussioni interne, portando «a uno “sgretolamento” del gruppo stesso». La fuoriuscita delle conversazioni interne ha fornito a investigatori e ricercatori preziose informazioni sulle dinamiche operative e organizzative del gruppo, rivelandosi quindi molto positiva sul fronte dell’intelligence.

Un secondo episodio rilevante è stato «il data leak delle chat del gruppo Black Basta, molto noto perché ha condotto attacchi abbastanza importanti anche sulle aziende italiane»: anche in questo caso, le conversazioni trapelate hanno offerto uno sguardo privilegiato sulle metodologie operative e sulle relazioni interne alla gang.

Il terzo evento – verificatosi a marzo 2025 – è stato «il leak del database dei pannelli di controllo di MediaLand, probabilmente il più famoso e duraturo bullet-proof hosting» (servizi che forniscono infrastrutture protette per attività malevole come malware, phishing e ransomware).

Il leak ha esposto le informazioni tecniche relative all’infrastruttura utilizzata da numerosi gruppi criminali, includendo dettagli sugli indirizzi IP e sulle macchine coinvolte nelle operazioni malevole.

L’offensiva delle Forze dell’Ordine e le nuove frontiere legislative

Parallelamente ai data leak che hanno destabilizzato l’ecosistema criminale dall’interno, Carli ha sottolineato l’importanza delle operazioni di polizia internazionali che hanno contribuito ad annientare diverse organizzazioni criminali.

Queste operazioni, infatti, hanno portato non solo «all’arresto di affiliati o gestori di servizi ma anche allo smantellamento di intere infrastrutture tecniche» fondamentali per le attività criminali, infliggendo colpi significativi alla capacità operativa dei gruppi ransomware.

Sul fronte normativo, l’esperto ha evidenziato importanti sviluppi in corso: «è in corso un lavoro a livello legislativo, in USA e in UK, che mira a rendere illegale il fatto di pagare un riscatto per recuperare i propri dati o evitare che vengano pubblicati».

Tali iniziative rappresentano un cambiamento di paradigma nella lotta contro i ransomware, poiché mirano a interrompere il flusso finanziario che sostiene l’ecosistema criminale.

Un’iniziativa analoga, «che va nella direzione di rendere illegale il pagamento del riscatto per le aziende rientranti nel Perimetro Nazionale [di sicurezza cibernetica]», sta emergendo anche in Italia. Al riguardo, Carli ha evidenziato come questa proposta sembri ricevere un ampio consenso politico; questo approccio potrebbe rappresentare un ulteriore strumento nella lotta contro la proliferazione dei ransomware, sebbene sollevi interrogativi pratici sulla gestione delle emergenze informatiche da parte delle aziende colpite.

La frammentazione dell’Ecosistema Criminale

Le pressioni congiunte esercitate dai leak interni, dalle operazioni di polizia e dalle evoluzioni legislative hanno provocato una profonda trasformazione nell’ecosistema ransomware.

Il relatore ha osservato che «stiamo andando verso un’atomizzazione del fenomeno», con gruppi che puntano a target meno visibili o che scompaiono per poi ripresentarsi sotto nuove identità, nonché persino gang che si fondono con altre, condividendo infrastrutture per ottimizzare le risorse e minimizzare i rischi.

Questa frammentazione è tuttavia accompagnata da un fenomeno allarmante: «l’incremento di annunci di ransomware-as-a-service (RaaS)», ovvero di programmi già pronti per condurre attacchi, dove basta affiliarsi perché il gestore del servizio fornisca le risorse tecniche e di negoziazione.

Carli ha evidenziato «un 40% abbondante di aumento nel proporre nuovi RaaS», il che rende l’attività accessibile anche a individui con competenze tecniche limitate: «questo vuol dire anche meno skill e meno struttura, quindi un singolo può affiliarsi a una ransomware gang e iniziare a condurre attacchi» ha spiegato l’esperto, sottolineando come le organizzazioni siano diventate «più snelle, più semplici e capaci di variare molto velocemente nel tempo».

L’evoluzione verso strutture più agili e decentralizzate rappresenta una sfida significativa per le forze dell’ordine e per le strategie di difesa tradizionali, che si trovano a dover contrastare un avversario sempre più mutevole e sfuggente.

Gli Intermediari dell’Accesso: i facilitatori nell’ombra

Un altro trend significativo identificato nel 2024 è l’ascesa degli “Initial Access Broker” (IAB), descritti dal relatore come «soggetti o gruppi che di fatto sono facilitatori per gli affiliati ransomware». Questi attori specializzati «forniscono credenziali di accesso o accessi già pronti a VPN, dispositivi o firewall» delle aziende bersaglio, creando un ponte tra la fase di compromissione e l’implementazione finale dell’attacco.

«Abbiamo visto un 13% di aumento degli annunci di Initial Access Broker che mettevano a disposizione e vendevano accessi alle aziende di tutto il mondo» ha rivelato l’esperto, evidenziando la crescente professionalizzazione di questo segmento dell’ecosistema criminale.

Particolarmente preoccupante è la diretta correlazione osservata «tra l’aumento dei dati reperibili online – intesi come credenziali o altre informazioni che possono essere utilizzate per condurre un attacco – e l’aumento degli attacchi ransomware». Tale correlazione suggerisce un ecosistema criminale altamente interconnesso, dove i dati sottratti da malware specializzati nella raccolta di credenziali (infostealer) alimentano direttamente la catena di fornitura degli attacchi ransomware.

Ingegneria Sociale: l’antica arte della manipolazione in veste moderna

Dai leak delle chat, in particolare quelle di Black Basta, è emerso un ulteriore dato: «l’ingegneria sociale è ancora un tema».

Con questa osservazione il relatore ha sottolineato che, nonostante i progressi nelle difese informatiche, la manipolazione psicologica resta uno strumento primario e sorprendentemente efficace per gli attaccanti.

In merito Carli ha citato il caso emblematico di Hellcat, un ransomware-as-a-service che ha dichiarato come, «per condurre due noti attacchi contro aziende molto grandi, avesse usato credenziali sottratte alle vittime con del malware infostealer: credenziali che per quanto si sa erano lì da anni e nessuno – soprattutto le aziende – se n’era accorto, quindi erano ancora valide».

Le conversazioni interne di Black Basta hanno altresì rivelato come il gruppo si confrontasse «su metodologie di ingegneria sociale complesse» per aggirare le difese aziendali. Note come “Hands on Keyboard”, queste tecniche «inducevano le vittime ad aprire, installare o utilizzare applicazioni desktop remote», creando così un vettore di accesso che bypassava le protezioni tecnologiche attraverso la manipolazione dell’elemento umano.

La persistente efficacia di simili tecniche evidenzia una vulnerabilità strutturale nelle strategie di difesa cibernetica, che spesso privilegiano le soluzioni tecnologiche a discapito della formazione e della sensibilizzazione del personale.

L’Intelligenza Artificiale al servizio del crimine: un nuovo capitolo nella Minaccia Digitale

Un elemento emergente nel panorama delle minacce è l’integrazione dell’AI generativa negli arsenali dei gruppi criminali.

Carli ha fatto riferimento ai “MALLA”, intelligenze artificiali utilizzate in ambito offensivo, riferendo come si registri «sempre più interesse e offerta sui forum, canali Telegram e in generale nell’underground criminale» per questi strumenti sofisticati.

Sebbene questi strumenti non abbiano ancora portato «novità dirompenti o distruttive», secondo l’esperto si tratta di «tool che agevolano, migliorano o aumentano la produttività» delle risorse in mano agli attaccanti. Un esempio concreto è la capacità di creare «phishing kit veramente credibili, ben fatti sia nel design che nella parte di testo», aumentando significativamente la verosimiglianza delle esche utilizzate negli attacchi di ingegneria sociale.

L’esperto ha definito questo settore «interessantissimo da seguire, poiché questa velocità di sviluppo non si era mai vista nell’IT», così implicitamente suggerendo che l’integrazione dell’intelligenza artificiale nelle strategie offensive potrebbe rappresentare il prossimo salto evolutivo nella sofisticazione degli attacchi informatici.

La consapevolezza come fondamento della sicurezza: un richiamo all’azione

In conclusione della sua analisi, Carli ha offerto una riflessione che trascende la mera anticipazione delle tendenze future per concentrarsi sulle vulnerabilità attuali.

«È interessante pensare al domani; ma probabilmente, visto anche il problema dell’ingegneria sociale e le tecniche utilizzate dalle ransomware gang, dobbiamo guardare più all’oggi e capire effettivamente cosa abbiamo sbagliato finora».

Un invito accompagnato da un richiamo all’importanza della consapevolezza e della formazione: «Le tecnologie ci sono e l’awareness va promossa tra le persone, i dipendenti, i collaboratori… probabilmente dobbiamo ripartire da lì, prima di parlare di cosa succederà domani».

Il messaggio suona come un richiamo all’essenza stessa della sicurezza informatica, che non può essere delegata esclusivamente alle soluzioni tecniche ma deve sempre includere la dimensione umana. Se infatti l’ingegneria sociale continua a rappresentare un vettore di attacco privilegiato, la formazione e la sensibilizzazione del personale emergono come componenti indispensabili di qualsiasi strategia di difesa coerente ed efficace.

Oltre a offrire uno spaccato allarmante di un ecosistema criminale in rapida evoluzione – dove la democratizzazione degli strumenti d’attacco abbassa costantemente le barriera all’ingresso per potenziali attaccanti – l’intervento di Carli ha quindi rappresentato un promemoria della necessità di approcci alla sicurezza che integrino tecnologia e consapevolezza. A fronte della crescente accessibilità degli strumenti offensivi, la conoscenza e la preparazione rappresentano il più efficace baluardo contro la marea montante delle minacce informatiche.

https://www.ictsecuritymagazine.com/articoli/ransomware-minacce-informatiche/

Genevieve Stark, head of cybercrime analysis at Google Threat Intelligence Group, said DragonForce could be attempting to attract RansomHub’s affiliates. The hacking group is also believed to be behind attacks on the pages of other rivals, including BlackLock and Mamona, according to Sophos.

Stark warned that whatever the motive, the fallout brings with it an increased risk of cyberattacks. “Instability within the extortion ecosystem can have serious implications for ransomware and data theft extortion victims,” she said.

While double extortions remain rare, US company UnitedHealth Group was the victim of one last year due to a fallout between hacking groups.

In that case, RansomHub was approached by affiliate hacker group, Notchy, to try to extort a second ransom payment after an initial $22 million fee was stolen by Notchy’s original RaaS partner, which faked its disappearance in order to avoid splitting the proceeds, according to cybersecurity experts.

A person familiar with the UnitedHealth hack said multiple extortion attempts were commonplace in cyberattacks, but that follow-up attempts were often opportunistic and lacked credibility.

Rafe Pilling, director of threat intelligence at Sophos, said in a worst-case scenario, the conflict between DragonForce and RansomHub could see them both target the same victim in a battle for business.

“Cybercriminals are a ruthless bunch, and a betrayal between partners can result in a situation where the victim gets extorted twice,” he added.

The global cost of cybercrime is estimated to reach $10 trillion in 2025, according to Cybersecurity Ventures. The figure—which is up from $3 trillion in 2015—comes as hacker groups have increasingly looked to maximise profit through their attacks.

DragonForce, which was first identified in August 2023, listed a total of 82 victims on its dark-web site in the following 12 months, according to cybersecurity firm Group-IB, while RansomHub—which also came to prominence in 2023—reported about 500 victims on its site in 2024.

Jake Moore, global cybersecurity adviser at ESET, warned that the volatility of the situation could make companies’ defence and response tactics more vulnerable.

“Remember this is a Wild West, lawless environment where normal competition rules simply do not apply,” he said.

© 2025 The Financial Times Ltd. All rights reserved. Please do not copy and paste FT articles and redistribute by email or post to the web.

https://arstechnica.com/security/2025/07/no-honor-among-thieves-ms-hacking-group-starts-turf-war/

Nell’ecosistema della sicurezza informatica emerge, con sempre maggiore evidenza, un fenomeno che sta mettendo a dura prova investigatori ed esperti di digital forensics.

Si tratta della cosiddetta anti-forensics: un insieme di metodologie, tecniche e strumenti specificamente progettati per ostacolare le indagini digitali, cancellare tracce e rendere virtualmente impossibile l’identificazione degli autori di reati.

Con il suo intervento alla 13ª Cyber Crime Conference, Cosimo de Pinto (informatico forense, socio IISFA e ONIF, certificato CIFI e Consulente tecnico presso il Tribunale di Roma) ha delineato un quadro dettagliato della situazione attuale, mettendo in luce le principali sfide che attendono i professionisti della sicurezza.

Il crescente ostacolo dell’anti-forensics nelle indagini digitali

Il relatore ha aperto la presentazione evidenziando come «gli strumenti e le tecniche di anti-forensics si stiano rivelando un ostacolo formidabile per la comunità forense digitale».

Lungi dall’essere un’esagerazione, si tratta di una constatazione supportata da dati concreti: secondo un recente sondaggio citato nell’intervento, ben il 67% degli attacchi informatici analizzati includeva tecniche anti-forensi, con un tasso di crescita raddoppiato nell’ultimo anno.

«Mentre le tecniche forensi continuano ad evolversi», ha spiegato de Pinto, «gli strumenti anti-forensi sono diventati un arsenale strategico rilevante per praticare spionaggio industriale e sfuggire alle conseguenze legali, ma anche per motivi di cyberwarfare o di ricerca dell’anonimato».

Questa evoluzione non è casuale. Da un lato risponde, infatti, alla necessità dei criminali informatici di sfuggire a indagini forensi sempre più avanzate; dall’altro trova terreno fertile nell’esistenza di sistemi vulnerabili, trasmissioni di dati su linee non sicure o software obsoleti ancora molto diffusi.

Il fenomeno è reso ancora più preoccupante dalla scarsità di studi approfonditi sul tema.
«Se facessimo una ricerca utilizzando i termini “computer forensics” e “computer anti-forensics”, noteremmo una disparità significativa tra i lavori esistenti», ha osservato de Pinto, sottolineando come la maggior parte delle ricerche su tali tecniche riguardi le manipolazioni di immagini e video, trascurando altre aree cruciali per le investigazioni digitali.

Guarda il video dell’intervento completo di Cosimo de Pinto alla Cyber Crime Conference 2025:

Le molteplici facce dell’anti-forensics: dall’offuscamento all’anonimato

L’anti-forensics si manifesta attraverso due principali direttrici: l’offuscamento e l’anonimato.

Nel primo caso si ricorre a tecniche come la crittografia, la steganografia (che permette di nascondere informazioni all’interno di altre informazioni apparentemente innocue), la manipolazione dei sistemi e del codice: l’obiettivo è rendere invisibili o incomprensibili le tracce digitali, complicando enormemente il lavoro degli investigatori.

Sul piano dell’anonimato gli strumenti includono l’utilizzo di reti anonime come Tor, proxy che mascherano l’indirizzo IP dell’utente, crittografia delle comunicazioni, alias digitali e indirizzi email temporanei.

Tutte queste tecniche mirano a creare una disconnessione tra identità digitale e reale dell’attaccante, rendendo estremamente difficile risalire all’autore materiale di un crimine.

A rendere particolarmente insidiose queste tecniche è anche la loro crescente accessibilità: come ha sottolineato de Pinto, molti strumenti per la manipolazione di immagini e audio «sono accessibili anche a utenti con limitate conoscenze tecniche».

Di conseguenza, non è più necessario essere hacker esperti o possedere competenze avanzate di programmazione; chiunque, con un minimo di ricerca online, può accedere a strumenti che fino a poco tempo fa erano appannaggio esclusivo degli specialisti del settore.

Le tecniche avanzate: dalla manipolazione temporale all’esecuzione in memoria

Tra le tecniche più sofisticate di anti-forensics, la manipolazione temporale occupa un posto di rilievo.

Questa metodologia – che include il Time Stomping e Timestamp Spoofing – altera i metadati relativi alla cronologia di creazione, modifica e accesso ai file, rendendo estremamente arduo ricostruire la sequenza temporale degli eventi.

«I termini vengono utilizzati in modo intercambiabile, ma esistono differenze tecniche significative» ha precisato de Pinto. «Il Time Stomping è un sottoinsieme del Timestamp Spoofing che si concentra sulla manipolazione dell’orario di creazione o modifica dei file, mentre il Timestamp Spoofing include contesti esterni al file system come rete, blockchain o certificati digitali», complicando ulteriormente le attività investigative.

Un’altra tecnica insidiosa prevede l’esecuzione del codice malevolo senza lasciare tracce sul disco rigido: «gli attacchi In-Memory utilizzano la code injection per eseguire direttamente in memoria il codice malevolo, che viene riflesso nei processi legittimi lasciando un’impronta forense minima», ha spiegato l’esperto.

Questo approccio rappresenta una sfida formidabile per gli investigatori poiché le tradizionali tecniche di analisi forense, focalizzate sull’esame dei file presenti su un disco, risultano inefficaci di fronte a minacce che esistono esclusivamente nella memoria volatile di un sistema.

Il dominio delle tecniche anti-forensi: rete, immagini e audio

Le applicazioni delle tecniche di anti-forensics non si limitano a un singolo dominio, estendendosi trasversalmente a diverse tipologie di dati digitali.

A livello di rete la Network Steganography usa la protocol manipulation o il timing channel per nascondere o alterare il traffico, rendendo estremamente difficile tracciare le comunicazioni; la rilevazione di queste tecniche richiede «un’analisi statistica, l’identificazione di anomalie nei pattern di comunicazione, l’esame del contenuto e della struttura dei pacchetti», tramite l’utilizzo di strumenti specializzati.

Nel dominio delle immagini, strumenti di steganografia avanzata come OpenStego o Silenteye permettono di manipolare le immagini in modo da nascondere informazioni o alterare metadati cruciali; queste modifiche possono essere rilevate attraverso «strumenti in grado di riconoscere pattern sospetti all’interno dell’immagine, come StegDetect o FotoForensics».

Pur richiedendo maggiori competenze, nemmeno l’audio è immune da tecniche anti-forensi (oggi facilitate da strumenti quali Mp3Stego e DeepSound). Applicazioni come Adobe Audition, Audacity e SoundForge consentono infatti di modificare file audio in modi che possono compromettere la loro integrità come prove digitali.

La rilevazione di simili manipolazioni richiede «un’analisi spettrale, per ricercare discontinuità nell’audio; e un’analisi statistica per identificare distribuzioni insolite nei campioni».

Tuttavia – ha sottolineato de Pinto – queste tipologie di analisi «richiedono strumentazione professionale, competenze specifiche e un costante aggiornamento sia degli strumenti che degli operatori».

Crittografia avanzata: il baluardo dell’anti-forensics

Se esiste un settore dell’anti-forensics che rappresenta una sfida ardua per gli investigatori è senza dubbio la crittografia avanzata, definita «il problema più spinoso nell’ambito delle analisi forensi» dal relatore, il quale ha individuato tre principali varianti di questa tecnica.

La prima è la full disk encryption, che cripta l’intero contenuto di un disco rigido rendendo impossibile l’accesso ai dati senza la chiave di decrittazione: strumenti come VeraCrypt, BitLocker per Windows, FileVault per macOS e LUKS per Linux hanno reso questa tecnologia accessibile anche agli utenti meno esperti, diffondendola oltre la cerchia degli specialisti.

La seconda variante prevede l’utilizzo di chiavi effimere, che vengono rinnovate ogni 30 secondi e sono impiegate per cifrare temporaneamente i dati, offrendo «un certo regime di protezione completa dopo le compromissioni iniziali». Un approccio dinamico alla crittografia che complica notevolmente il lavoro degli investigatori; anche se riuscissero a ottenere una chiave, infatti, questa sarebbe valida solo per una minima frazione dei dati protetti.

Infine, la “crittografia compartimentale” rappresenta una strategia particolarmente sofisticata che suddivide il sistema in tanti compartimenti isolati, ognuno protetto da chiavi crittografiche indipendenti. Il vantaggio principale di questo approccio, come ha spiegato de Pinto, è «limitare l’esposizione dei dati in caso di violazione di una singola chiave, garantendo che solo una parte limitata delle informazioni venga compromessa».

Un esempio emblematico di queste tecniche sono i volumi nascosti creati con VeraCrypt, dove «vengono creati dei sistemi a doppio livello: c’è un volume “dummy” che viene presentato alle autorità e poi c’è un volume segreto dove ci sono i dati che l’autorità non deve ritrovare». Questa strategia rappresenta una sfida formidabile per le indagini forensi, poiché l’investigatore potrebbe non essere consapevole dell’esistenza di un secondo volume nascosto.

L’evoluzione storica: una corsa agli armamenti digitale

Negli ultimi anni l’evoluzione delle tecniche anti-forensi ha seguito una traiettoria di crescente sofisticazione, in quella che potrebbe essere definita una vera e propria corsa agli armamenti digitali.

De Pinto ha tracciato una cronologia di questa evoluzione, identificandone alcuni momenti chiave.

Nel periodo 2018-2019 si è assistito alla diffusione di ransomware come Lockbit 3.0, che includono tecniche di offuscamento per rendere più ardua la loro individuazione sui dispositivi colpiti; nonché alla nascita di criptovalute progettate specificamente per garantire l’anonimato nelle transazioni. Queste innovazioni hanno ampliato significativamente le possibilità di condurre attività illecite senza lasciare tracce finanziarie o digitali.

Il 2020 ha visto il sofisticato attacco SolarWinds, un Advanced Persistent Threat (APT) che ha saputo eludere i sistemi di detection di numerose organizzazioni – incluse le agenzie governative statunitensi – mostrando il livello di raffinatezza raggiunto dalle tecniche anti-forensi, ora capaci di compromettere anche sistemi teoricamente ben protetti.

Nel 2021, l’attacco a Colonial Pipeline ha rivelato l’uso di tecniche avanzate che hanno complicato notevolmente l’analisi post-incidente e l’attribuzione dell’attacco: l’evento ha evidenziato come le tecniche anti-forensi non siano più limitate a operazioni di spionaggio o attività criminali di basso profilo ma siano ormai integrate nelle strategie dei gruppi cybercriminali più sofisticati. Nello stesso anno la vicenda dello spyware Pegasus ha rivelato l’uso di zero-day per iOS e Android con tecniche di offuscamento avanzate, tra cui la cancellazione dei log sui dispositivi colpiti.

Il biennio 2022-2023 ha visto l’emergere di nuove frontiere dell’anti-forensics, con la diffusione di steganografia ibrida e l’uso di deepfake generati con intelligenza artificiale. «L’incorporazione di algoritmi di AI ha portato a tecniche più adattive e difficili da rilevare», ha spiegato l’esperto, sottolineando come queste possano «modificare il proprio comportamento in base all’ambiente e alla risposta difensiva».

L’evoluzione osservata non mostra segni di rallentamento: al contrario la diffusione dei paradigmi Cloud e IoT, nonché l’integrazione di tecnologie emergenti come l’intelligenza artificiale, hanno reso le tecniche anti-forensi ancora più efficaci e insidiose.

Come ha sintetizzato il relatore, «l’evoluzione delle tecniche anti-forensi ha subito un’accelerazione significativa negli ultimi anni, dovuta all’accelerazione tecnologica generale e alla crescente sofisticazione degli attori delle minacce».

Le contromisure: un approccio integrato e multidisciplinare

Di fronte alla minaccia rappresentata dalle tecniche anti-forensi, è necessario adottare un approccio olistico e multidisciplinare. Al riguardo de Pinto ha proposto una strategia articolata in quattro fasi: detection, training, prevention e response.

La detection (o rilevamento) consiste nell’identificare la presenza di tecniche anti-forensi in un sistema compromesso mediante un’analisi approfondita dei metadati, della memoria volatile e delle possibili anomalie presenti nel sistema. «L’analisi della memoria volatile ancora oggi è un grosso problema», ha sottolineato l’esperto, «perché nell’ambito delle perquisizioni informatiche, quando si sequestrano i dispositivi senza aver fatto alcuna analisi preliminare, molti archivi cifrati che potrebbero essere decifrati con l’analisi della memoria non vengono più analizzati».

Questa lacuna operativa rappresenta un grave limite per le indagini digitali, che potrebbe essere colmato con procedure più rigorose e una formazione specifica.

Il training (o formazione) è considerato da de Pinto «forse la fase più importante, per formare il personale su tecniche anti-forensi emergenti, aspetto che non viene quasi mai adottato adeguatamente».

La rapidità con cui evolvono le tecniche anti-forensi richiede un costante aggiornamento delle competenze degli investigatori, che devono essere in grado di riconoscere e contrastare metodologie sempre nuove; ciò implica non solo una formazione iniziale, ma un processo continuo di apprendimento e specializzazione.

La prevention (o prevenzione) mira a implementare misure che rendano più difficile l’applicazione di tecniche anti-forensi. Tale obiettivo richiede l’adozione di sistemi di logging avanzati, la protezione della memoria volatile e l’esecuzione di controlli di integrità capaci di rilevare manipolazioni dei dati.

Infine, la response (o risposta) riguarda le azioni da intraprendere quando si rileva l’uso di tecniche anti-forensi; il che richiede procedure specializzate e l’impiego di tecniche forensi avanzate, capaci di superare gli ostacoli posti dalle tattiche anti-forensi.

Riguardo alle contromisure specifiche de Pinto ha evidenziato diverse strategie, tra cui l’analisi di timestamp multipli. «Ci sono dei timestamp, all’interno di un sistema operativo, che non sono modificabili così facilmente» ha spiegato. «Si potrebbe fare un confronto per verificare se tutti hanno una coerenza temporale». Questa tecnica consente di identificare incongruenze nella cronologia digitale, che potrebbero indicare manipolazioni dei metadati temporali.

Un’altra contromisura cruciale è l’analisi dei log, che sono «l’obiettivo primario dei criminali» proprio perché contengono informazioni critiche sulle attività di un sistema. La manipolazione dei log, che può includere «l’eliminazione selettiva di tracce, l’inserimento di dati fasulli o l’offuscamento di informazioni», può essere contrastata attraverso l’implementazione di sistemi di logging ridondanti e distribuiti, che rendono più difficile alterare tutte le copie dei dati di log.

Il ruolo del machine learning nella lotta all’anti-forensics

Un aspetto emergente e promettente nella lotta contro le tecniche anti-forensi è l’applicazione del machine learning (ML).

«L’applicazione del machine learning e delle intelligenze artificiali migliora l’analisi forense con risultati più accurati» ha affermato de Pinto, evidenziando come gli algoritmi di apprendimento automatico possano fornire «analisi più precise e complete rispetto ai metodi tradizionali».

I vantaggi dell’utilizzo del ML nella forensics digitale sono molteplici: secondo i dati presentati l’adozione di queste tecnologie consentirebbe una riduzione del 60% dei tempi di analisi, un aumento del 75% della precisione nell’identificazione delle prove e un miglioramento dell’82% dell’efficacia investigativa complessiva. Questi numeri suggeriscono un potenziale trasformativo per il settore, che potrebbe vedere un salto qualitativo nelle proprie capacità investigative grazie all’integrazione di algoritmi di intelligenza artificiale.

Il machine learning si rivela particolarmente efficace in aree come la classificazione dei dati, il riconoscimento di pattern complessi e l’analisi di grandi volumi di informazioni. Tali caratteristiche lo rendono ideale per affrontare le sfide poste dall’anti-forensics, che spesso sfrutta proprio la complessità e la mole dei dati digitali per nascondere le proprie tracce.

Tuttavia, l’adozione di queste tecnologie non è priva di sfide.

Come ha ricordato de Pinto, l’utilizzo efficace del machine learning richiede «un allenamento costante dei modelli», che devono essere continuamente aggiornati per rimanere al passo con l’evoluzione delle tecniche anti-forensi. Inoltre è necessario disporre di dataset di addestramento adeguati, che includano esempi rappresentativi delle tecniche da contrastare; la creazione e la manutenzione di questi dataset rappresenta un impegno significativo, che richiede risorse dedicate e competenze specialistiche.

Il futuro dell’anti-forensics: nuove sfide all’orizzonte

Guardando al futuro, de Pinto ha approfondito alcune aree che potrebbero rappresentare le prossime frontiere dell’anti-forensics.

Tra queste il cloud forensics occupa un posto di rilievo, con «dati distribuiti geograficamente e spesso soggetti a giurisdizioni multiple» che complicano notevolmente le indagini digitali. Gli attaccanti sfruttano proprio questa complessità per nascondere le proprie tracce, approfittando delle difficoltà legali e tecniche associate all’analisi di sistemi cloud.

Un’altra area di crescente preoccupazione riguarda i dispositivi Internet of Things (IoT), che «presentano protocolli poco conosciuti e poco documentati» tali da complicare le indagini forensi tradizionali. La proliferazione di questi dispositivi, spesso caratterizzati da scarsa sicurezza e limitata capacità di logging, offre nuove opportunità per l’applicazione di tecniche anti-forensi.

Ma la sfida più significativa all’orizzonte è probabilmente rappresentata dall’intelligenza artificiale. Come ha sottolineato de Pinto, l’IA sta già rivoluzionando il panorama dell’anti-forensics, rendendo possibili «video modificati con perturbazioni specifiche per ingannare i rilevatori automatici» e «malware adversarial creati per apparire innocui agli scanner antivirus». Queste applicazioni avanzate dell’IA rappresentano una minaccia formidabile per la sicurezza informatica e richiedono contromisure altrettanto sofisticate.

In questo contesto in rapida evoluzione, assume particolare rilevanza quello che de Pinto ha definito “un approccio realistico” alla forensics digitale. «Non trovare nulla all’interno dei dispositivi», ha osservato l’esperto, «può essere sicuramente un’evidenza di qualcosa».

In altri termini, «l’assenza di tracce digitali che normalmente un sistema produce è spesso indicativa dell’uso di tecniche anti-forensi».

Tale consapevolezza rappresenta un cambio di paradigma nell’approccio investigativo: non si tratta più solo di analizzare ciò che è presente ma anche di interpretare ciò che manca, cercando di cogliere i segnali di possibili attività anti-forensi.

Conclusioni: verso un nuovo paradigma della digital forensics

L’anti-forensics rappresenta una sfida in continua evoluzione per investigatori, professionisti della sicurezza informatica e autorità giudiziarie.

Nell’efficace sintesi del relatore, «l’analisi forense è divenuta ormai una fase sostanziale nei procedimenti legali, indispensabile nelle indagini digitali approfondite e rivolta alla ricerca della verità processuale». La centralità della digital forensics nei processi contemporanei rende ancora più critica la comprensione delle tecniche anti-forensi, così da consentirne un efficace contrasto.

Tale missione richiede un approccio che combini formazione continua, aggiornamento tecnologico, procedure operative rigorose e applicazione di tecnologie emergenti come l’intelligenza artificiale; l’integrazione di competenze, strumenti e metodologie è assolutamente necessaria per mantenere l’efficacia delle indagini digitali a fronte di minacce sempre più sofisticate.

Il futuro della digital forensics sai preannuncia complesso ma stimolante, con un continuo rincorrersi di tecniche offensive e difensive in quella che appare come una vera e propria “corsa agli armamenti digitale”. Una competizione in cui formazione e preparazione rappresenteranno fattori decisivi, capaci di fare la differenza tra il successo e il fallimento delle indagini informatiche.

Come ha sottolineato de Pinto nelle conclusioni, «l’anti-forensics è un campo in continua evoluzione che richiede un costante aggiornamento delle competenze e degli strumenti»: una consapevolezza che rappresenta il primo, fondamentale passo verso lo sviluppo di strategie efficaci per affrontare le sfide poste dalle tecniche anti-forensi, garantendo che il meccanismo della giustizia possa continuare a funzionare anche in un panorama tecnologico in costante evoluzione.

https://www.ictsecuritymagazine.com/articoli/anti-forensics-digital/

Nel corso dellla 13ª CyberCrime Conference, Giulio Vada (Responsabile per il Sud Europa di Group-IB) ha offerto uno spaccato illuminante sul panorama della criminalità informatica in Europa.

La presentazione, incentrata sui risultati del report annuale “ High-tech Crime Trends Europe 2025″, ha dipinto il preoccupante quadro di un’economia criminale sempre più strutturata e accessibile, nonché in piena espansione.

«Potete trovarlo sul nostro sito o sui nostri social: è disponibile sia in inglese che in italiano ed è molto corposo» ha spiegato Vada in apertura. «Vi invito a usarlo come strumento di lavoro e guida di riferimento».

Un’esortazione che sottolinea non solo l’ampiezza dell’analisi condotta da Group-IB, ma anche la sua utilità pratica per professionisti e organizzazioni.

In quanto multinazionale specializzata nello sviluppo di soluzioni per investigare, prevenire e combattere il cybercrime, Group-IB rappresenta un osservatorio privilegiato su tale settore dell’economia mondiale. Non a caso, ha sottolineato Vada, l’azienda è stata recentemente nominata da Frost & Sullivan come “leader tecnologico per il 2025 nella cyber threat intelligence”.

La peculiarità di Group-IB risiede anche nella sua stretta collaborazione con forze dell’ordine e agenzie internazionali.

Come ha precisato Vada, «un nostro punto d’orgoglio è la collaborazione attiva a livello di condivisione di dati e informazioni di intelligence: con il nostro team investigativo partecipiamo alle operazioni delle forze di polizia internazionali – tra cui Interpol ed Europol – che portano allo smantellamento delle reti utilizzate dai criminali, all’identificazione e all’arresto di singoli o gruppi».

Una collaborazione che fornisce all’azienda dati di prima mano sull’evoluzione della criminalità informatica, successivamente riversati nel report annuale.

Guarda il video completo dell’intervento di Giulio Vada, Responsabile per il Sud Europa di Group-IB, durante la Cyber Crime Conference 2025:

Il panorama italiano nel contesto europeo

I dati presentati, relativi al 2024 e riferiti all’Europa, confermano un trend in costante crescita che evidenzia la rilevanza economica dell’industria criminale digitale. In questo contesto, l’Italia emerge come uno dei paesi europei più vulnerabili.

«L’Italia è tra le nazioni europee più colpite» ha evidenziato Vada «ed è in una posizione negativa anche a livello globale»: situazione che richiede la massima attenzione, soprattutto considerando l’evoluzione dei settori presi di mira.

Se in passato il settore finanziario era il principale obiettivo degli attacchi, oggi il panorama appare più diversificato. Comparti come il manifatturiero e i servizi hanno registrato incrementi significativi; segno che i criminali stanno ampliando il proprio raggio d’azione, colpendo anche realtà che si ritenevano indenni o comunque meno esposte a queste minacce.

«Tutte le discussioni su come contrastare, governare e gestire questo fenomeno non sono un mero affare tecnico» ha affermato il relatore, sottolineando come la risposta debba essere multidimensionale, coinvolgendo aspetti legislativi, culturali e di cooperazione internazionale, oltre che – naturalmente – tecnologici.

Ransomware: un’economia criminale strutturata

Contrariamente alle previsioni di alcuni anni fa, che lo davano come un “business ormai defunto”, il ransomware continua a rappresentare una delle minacce più significative nel panorama del cybercrime.

I numeri presentati da Vada mostrano un’industria in continua crescita, con un aumento del 44% (nel solo 2024) di nuovi programmi di affiliazione.

Ma cosa rende il ransomware così persistente? Vada ha offerto un’analisi delle ragioni di questo successo: «È una vera e propria economia, strutturata sul modello delle economie legittime, dove però la barriera tecnica all’ingresso è molto ridotta». Ciò significa che «chiunque può pensare di creare la propria impresa con un piccolo investimento; assumendosi un rischio importante, che è quello di finire arrestati, ma potendo ottenere guadagni significativi».

La facilità di accesso a questa “carriera criminale” è amplificata dal modello Ransomware-as-a-Service (RaaS), che ha democratizzato l’accesso al crimine informatico.

Come ha spiegato Vada «ci sono tutti gli strumenti a disposizione: parliamo di servizi che rappresentano ormai il framework alla base di questa industria, con business model e Terms and Conditions già pronti e “confezionati”».

I modelli di affiliazione offerti dai gruppi ransomware sono particolarmente attraenti dal punto di vista economico. I programmi per gli affiliati sono infatti ben dettagliati, ha rivelato Vada: «si definiscono chiaramente responsabilità e compensi. Lo split è migliorato ulteriormente, per cui oggi in media l’affiliato prende il 90% del guadagno, rispetto al 10% per il gruppo che sviluppa il programma».

Una proposta economica che rende questo settore particolarmente appetibile per chi è disposto a rischiare le conseguenze legali delle proprie azioni.

La Triade della Difesa: legislazione, blocco dei pagamenti e cooperazione investigativa

Di fronte a un fenomeno così strutturato e in espansione, quali possono essere le strategie di contrasto?

Secondo Vada, la risposta non può essere meramente tecnologica.
«Lasciando sola l’industria, gestire tutto questo è impossibile» ha affermato con pragmatismo; ricordando come gli investimenti in soluzioni IT, pur aumentati vertiginosamente negli ultimi anni, non possano rappresentare l’unica opzione.

La prima linea di difesa, allora, deve essere legislativa: «riteniamo che solo il legislatore, tramite strumenti di compliance, sia in grado di intervenire sugli operatori economici e sulle pubbliche istituzioni per aumentare la “postura media di sicurezza” e, quindi, aumentare gli strumenti di prevenzione adottati dalle organizzazioni».

Il secondo elemento cruciale è il blocco dei pagamenti dei riscatti. «Finché non ci sarà una legge condivisa da tutti i paesi non se ne uscirà», ha sostenuto il relatore; «i guadagni disponibili sono talmente elevati che è impossibile pensare che aumentando il numero di firewall, antivirus e sistemi di sicurezza si possa arginare il fenomeno».

Il blocco dei pagamenti avrebbe «il grande vantaggio di ridurre la facilità di guadagno», rendendo «meno appetibile, per i criminali, portare avanti attività di questo genere».

Infine – non meno importante – è necessaria una più stretta collaborazione a livello internazionale tra le forze dell’ordine. «Un maggiore coordinamento tra le forze dell’ordine sicuramente assesterebbe un duro colpo ai gruppi ransomware» ha ribadito Vada, evidenziando come questa cooperazione non sia sempre scontata nel contesto geopolitico attuale.

I protagonisti del crimine informatico in Europa

Nel corso della presentazione, Vada ha delineato i principali attori del panorama criminale informatico europeo, offrendo una sorta di “mappa” delle minacce più significative.

Tra i gruppi ransomware più attivi spicca LockBit, definito da Vada come «l’eterno veterano, presente dal 2003 sul mercato e sulla scena criminale»; nonostante sia stato bloccato diverse volte dalle forze dell’ordine, LockBit continua a operare grazie a nuovi affiliati che ne prendono le redini.

Accanto a questo storico gruppo si posizionano realtà più recenti ma altrettanto pericolose, come Clop – descritto come «un ransomware molto pericoloso per i suoi comportamenti e per i suoi recenti sviluppi” – Ransomhub e BlackBasta, altri attori significativi nel panorama europeo.

Il quadro è completato dai gruppi hacktivisti, la cui attività ha conosciuto un incremento significativo in relazione alle tensioni geopolitiche: Vada li ha descritti come «un mix di ragazzini ed esperti» con «efficacia discutibile dal punto di vista tecnico» ma notevole «dal punto di vista del branding, poiché cercano molta visibilità». Tra questi ha citato NoName057, che «ha avuto un lungo periodo di addestramento dopo la guerra in Ucraina» e CyberFork, «gruppo indiano che si definisce anche russo e opera con simili modalità».

Un capitolo a parte meritano i gruppi APT (Advanced Persistent Threat), descritti dal relatore come «coloro che non pubblicizzano le loro attività e sono «più difficili da tracciare, se non quando hanno portato a termine le loro operazioni». Tratti distintivi di questi gruppi sono «il lungo periodo di ingaggio su un target tipicamente di alto profilo» nonché «una complessità di azioni su fronti multipli, anche per confondere le attività di tracciamento delle forze di polizia».

Vada ha menzionato diversi gruppi APT attivi in Europa, tra cui APT28, «operato dai servizi segreti militari russi»; Gamaredon, attivo dal 2022 «a supporto diretto delle operazioni sul campo» in Ucraina; Sticky Werewolf, «emerso recentemente in Europa con attacchi a livello governativo»; e MuddyWater, che «lavora sul fronte dello spionaggio, concentrandosi sull’esfiltrare in maniera silente dati utilizzabili a fini non estorsivi».

Phishing e Scam: la porta d’ingresso degli attacchi

Nonostante l’evoluzione delle tecniche di attacco, il phishing rimane uno degli strumenti principali nel repertorio dei criminali informatici.

«Ancora oggi il phishing è uno degli strumenti principali di qualunque gruppo informatico criminale», ha affermato Vada, «siano essi motivati finanziariamente (quindi in particolare a fini estorsivi) o siano entità statuali che praticano attività di spionaggio, oppure volte a colpire organizzazioni governative o militari».

Come osservato per il ransomware, anche il phishing rappresenta un’industria in continua crescita, caratterizzata da barriere di ingresso estremamente basse. «È un’industria che cresce enormemente», ha spiegato Vada. «Le barriere di ingresso sono limitatissime ed è molto facile entrare: basta trovare il programma o la piattaforma giusta, che può mettere a disposizione pannelli di amministrazione con cui gestire tutta la propria campagna comodamente da casa, senza sforzi e anche con poche conoscenze tecniche».

Un aspetto interessante evidenziato nella presentazione è il progressivo spostamento verso settori considerati – rispetto al comparto finanziario, tradizionale target del cybercrime – più semplici da attaccare.

«Ci si sposta su settori molto più facili, in cui monetizzare velocemente, poiché sono ambiti poco presidiati»; a titolo di esempio Vada ha citato la logistica e il mondo dei trasporti, richiamando il recente attacco contro l’azienda di trasporti milanese ATM.

Nel panorama del phishing Vada ha altresì evidenziato come diversi gruppi criminali siano andati via via specializzandosi «sul mondo mobile, in particolare sui sistemi Android».

Le sfide del futuro: IA, Cloud e Geopolitica

Guardando oltre l’attualità, il relatore ha delineato alcune tendenze che caratterizzeranno il panorama della sicurezza informatica nel prossimo futuro.

L’intelligenza artificiale emerge come uno dei fattori di cambiamento più significativi. «Per il 2025 il grande “convitato di pietra” sarà l’intelligenza artificiale» ha anticipato, «sia come strumento a supporto degli attaccanti e dei difensori, per migliorare le capacità da entrambi i lati, ma soprattutto per la sicurezza degli stessi sistemi IA».

Un aspetto allarmante riguarda la compromissione degli account per accedere ai sistemi di IA.

«L’anno scorso abbiamo pubblicato una ricerca dove la compromissione di account per accedere a ChatGPT, anche da parte di utenti di aziende critiche – ad esempio del comparto militare o governativo – appariva significativa, con più di 5.000 account compromessi» ha rivelato Vada. Il problema nasce dal fatto che «le persone utilizzano l’account aziendale per accedere a ChatGPT con i vari abbonamenti e poi vi condividono documenti sensibili, che quindi non solo finiscono nel sistema di training ma diventano anche esposti a compromissioni».

Anche il contesto di instabilità globale continuerà a influenzare significativamente il panorama delle minacce informatiche, con «un aumento delle attività legate alla situazione geopolitica e alle minacce a livello Nation-State».

Parallelamente il cloud computing si affermerà come «nuova frontiera dello scontro», imponendo particolare attenzione sui problemi collegati all’autenticazione e ai sistemi di crittografia utilizzati per proteggere i propri dati».

Un’ulteriore sfida all’orizzonte è rappresentata dall’avvento del quantum computing, che potrebbe rivoluzionare tanto le capacità offensive quanto le strategie difensive nel campo della sicurezza informatica.

Un ecosistema criminale in evoluzione

La presentazione di Giulio Vada alla 13ª Cyber Crime Conference ha offerto uno spaccato dettagliato e preoccupante di un ecosistema criminale informatico sempre più strutturato e professionalizzato: un panorama in cui l’Italia si trova in una posizione particolarmente vulnerabile, richiedendo risposte coordinate a livello tecnologico, legislativo e di cooperazione internazionale.

Il report completo “High-tech Crime Trends Europe 2025”, disponibile sul sito di Group-IB, rappresenta uno strumento prezioso per comprendere a fondo queste dinamiche e sviluppare strategie di difesa adeguate. Come ha sottolineato il relatore, la sfida del cybercrime non può essere affrontata solo sul piano tecnologico, richiedendo un approccio integrato che coinvolga legislatori, forze dell’ordine e operatori del settore.

In questo scenario complesso e in rapida evoluzione, la conoscenza approfondita delle minacce e delle loro dinamiche rappresenta il primo, fondamentale passo per una difesa efficace: solo attraverso un approccio sistemico e collaborativo sarà infatti possibile contrastare efficacemente la crescente minaccia del crimine informatico in Europa e nel mondo.

https://www.ictsecuritymagazine.com/articoli/cybercrime-group-ib/