Nel 2024 il panorama della cybersecurity ha registrato un’evoluzione significativa delle minacce, con una centralità crescente degli attacchi basati sull’identità, sull’abuso delle API e sulle tecniche di ransomware-as-a-service (RaaS). A confermarlo è il report annuale “2024 Year in Review” pubblicato da Cisco Talos, la più grande organizzazione privata di threat intelligence a livello mondiale. Il documento rappresenta una delle analisi più complete sulla cybersecurity 2024.
Identità digitale nel mirino: il dato più allarmante
Secondo Talos, il 60% degli incidenti gestiti nel 2024 è stato causato da attacchi che sfruttavano l’identità digitale. Tecniche come il furto di credenziali, l’abuso di chiavi API e l’utilizzo di certificati digitali hanno consentito ai criminali di infiltrarsi nei sistemi aziendali impersonando utenti legittimi. Il 44% degli attacchi ha preso di mira Active Directory, e un attacco su cinque ha coinvolto applicazioni cloud, puntando soprattutto alle API per l’accesso ai dati sensibili.
Ransomware e accesso iniziale: l’evoluzione del rischio
Nel 70% dei casi di ransomware, gli attaccanti hanno sfruttato account legittimi per ottenere l’accesso iniziale. Questo evidenzia l’efficacia delle tecniche di social engineering, ulteriormente rafforzate dall’impiego dell’intelligenza artificiale generativa. Non solo: il 48% degli attacchi ransomware ha visto la disattivazione attiva delle soluzioni di sicurezza, un chiaro segnale della crescente sofisticazione delle intrusioni.
“Il report annuale di Cisco Talos per il 2024 mette in luce l’evoluzione delle minacce alla cybersecurity, con un focus sugli attacchi mirati all’identità e sull’abuso dell’autenticazione multifattore. Le tecniche di social engineering, potenziate dall’uso dell’intelligenza artificiale generativa, hanno reso gli attacchi più complessi e pericolosi. Inoltre, il fatto che gli hacker siano riusciti a disabilitare le soluzioni di sicurezza nel 48% degli attacchi ransomware evidenzia quanto sia importante rafforzare le difese per affrontare minacce sempre più sofisticate.” ha dichiarato Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia.
Settori maggiormente colpiti e contesto operativo
I settori maggiormente bersagliati sono stati l’istruzione, la pubblica amministrazione, l’industria e la sanità. Il settore educativo, in particolare, si è dimostrato particolarmente vulnerabile a causa della scarsità di risorse, delle complessità infrastrutturali e della carenza di personale specializzato. L’amministrazione pubblica soffre problematiche analoghe, mentre l’industria e la sanità sono costantemente sotto pressione per via del valore elevato dei dati trattati e dell’impatto diretto sui servizi erogati.
Vulnerabilità note: un problema ancora aperto
Il report mette in evidenza come molti attacchi abbiano sfruttato vulnerabilità note da anni, a dimostrazione della scarsa tempestività nell’applicazione delle patch. Tra i casi più eclatanti, Apache Log4j e la vulnerabilità Shellshock di Bash risultano ancora oggi sfruttabili in numerosi ambienti. Gli attacchi hanno colpito infrastrutture critiche esposte pubblicamente e sistemi endpoint mal configurati, spesso privi di protezioni elementari come le password per agenti e connettori. Questo conferma quanto la cybersecurity 2024 debba ancora affrontare sfide legate all’igiene digitale di base.
RaaS: LockBit resta il gruppo dominante
LockBit ha mantenuto la leadership tra i gruppi ransomware-as-a-service per il terzo anno consecutivo, nonostante l’intervento globale del marzo 2024. L’organizzazione ha dimostrato una capacità notevole di resilienza e adattamento. Subito dietro si è affermato RansomHub, un nuovo gruppo aggressivo noto per richieste di riscatto elevate e attacchi mirati alle grandi imprese.
Intelligenza artificiale: potenziamento delle minacce
Contrariamente alle aspettative, l’uso dell’intelligenza artificiale non ha introdotto nuovi metodi d’attacco, ma ha potenziato strumenti già esistenti. L’automazione delle operazioni, la creazione di contenuti per campagne di social engineering e l’occultamento del traffico dannoso sono stati i principali ambiti di applicazione. Il rischio, dunque, non deriva da nuove tecniche, bensì dal perfezionamento di quelle esistenti, uno dei temi cardine nell’evoluzione della cybersecurity 2024.
Le raccomandazioni strategiche di Cisco Talos per il futuro
Cisco Talos propone un approccio difensivo basato su cinque pilastri fondamentali: applicazione tempestiva delle patch, uso diffuso dell’autenticazione multifattore, segmentazione della rete, crittografia estesa dei dati e una maggiore attenzione alla sicurezza dell’infrastruttura IT. In particolare, l’investimento nella formazione del personale resta cruciale per limitare i rischi associati al fattore umano.
Il 2024 ha rappresentato un punto di svolta per la cybersecurity. Gli attacchi sono diventati più mirati, l’identità digitale è oggi il vettore d’accesso più sfruttato, e le tecniche di difesa tradizionali si dimostrano sempre più inefficaci. Servono strategie integrate, risorse aggiornate, e un cambiamento culturale profondo nella gestione della sicurezza IT. Il report Cisco Talos non è soltanto una fotografia delle minacce, ma un invito concreto ad agire con urgenza e consapevolezz
