Nel 2024 il furto di credenziali supera il ransomware, colpendo soprattutto infrastrutture critiche e industria, con un aumento degli infostealer e del phishing.
Autore: Redazione SecurityOpenLab
Il furto di credenziali è la strategia preferita dagli attaccanti, anche a scapito del ransomware, la cui incidenza risulta in calo rispetto agli anni precedenti. Il dato scaturisce dal nuovo IBM X-Force Threat Intelligence Index 2025, che offre una panoramica dettagliata sulle principali tendenze delle minacce cyber nel corso del 2024. L’analisi, basata su attività di incident response, monitoraggio del dark web e collaborazioni con partner di settore, tratteggia un quadro in cui le tattiche degli attaccanti si fanno sempre più silenziose e mirate.
Secondo il report, quasi il 50% degli attacchi cyber ha avuto come esito la sottrazione di dati o credenziali, mentre quasi un incidente su tre tra quelli gestiti da IBM X-Force nel 2024 ha portato al furto di credenziali di accesso. L’abuso di identità digitali è diventato il principale vettore di ingresso nei sistemi delle vittime, favorito dalla complessità degli ambienti cloud ibridi che moltiplicano i punti di accesso e dalle difficoltà delle aziende nel gestire efficacemente i processi di autenticazione.
In particolare, si registra un aumento dell’84% delle email contenenti infostealer rispetto al 2023, mentre i primi dati del 2025 indicano un ulteriore incremento del 180% rispetto a due anni fa. Gli infostealer sono malware progettati per sottrarre in modo silente dati sensibili come credenziali, dati di navigazione e informazioni personali e sono diventati strumenti centrali per l’esfiltrazione rapida di dati, tanto da permettere una riduzione del tempo di permanenza degli attaccanti sui sistemi.
La disponibilità di credenziali compromesse e di kit di phishing di tipo adversary-in-the-middle (AitM) sul dark web ha reso gli attacchi all’identità economici, scalabili e redditizi. Gli attaccanti sfruttano anche servizi personalizzati per eludere l’autenticazione a più fattori, alimentando una vera e propria economia dell’accesso non autorizzato che non mostra segni di rallentamento. Nel solo 2024, i cinque principali infostealer hanno generato più di otto milioni di annunci pubblicitari sul dark web, ciascuno dei quali può contenere centinaia di credenziali.
Un altro elemento di rilievo riguarda il settore delle infrastrutture critiche, che ha rappresentato il 70% degli incidenti gestiti da IBM X-Force nell’ultimo anno. Più di un quarto di questi attacchi è stato reso possibile dallo sfruttamento di vulnerabilità note, spesso legate a sistemi legacy e a cicli di patching lenti. Le vulnerabilità più discusse nei forum clandestini sono collegate a gruppi criminali sofisticati, compresi quelli sponsorizzati da stati nazionali, con rischi che spaziano dall’interruzione dei servizi allo spionaggio, fino all’estorsione. La condivisione di exploit e informazioni operative tra gruppi con motivazioni finanziarie e APT accentua la necessità di un monitoraggio costante delle attività nel dark web, sia per migliorare la strategia di patching sia per individuare tempestivamente potenziali minacce.
Il report segnala anche una trasformazione nelle strategie degli operatori ransomware. Sebbene il ransomware rappresenti ancora il 28% dei casi di malware, la sua incidenza è in diminuzione, complice l’efficacia delle operazioni di contrasto internazionali e il miglioramento delle tecnologie di rilevamento. I gruppi responsabili di famiglie di malware storicamente note, come ITG23 (Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot), hanno interrotto le attività o si sono riconvertiti verso nuove tipologie di malware, spesso di durata limitata, nel tentativo di sostituire le botnet smantellate nel 2024. Questa evoluzione suggerisce una preferenza per modelli operativi più distribuiti e meno rischiosi, in cui il furto di dati viene privilegiato rispetto alla cifratura dei dati.
Dal punto di vista geografico, Asia e Nord America sono risultate le regioni più colpite con il 34% e il 24% degli attacchi globali, rispettivamente. La produzione industriale, in particolare il settore manifatturiero, si conferma per il quarto anno consecutivo il più bersagliato, soprattutto a causa della sua scarsa tolleranza ai tempi di inattività, che rende il ransomware ancora un’opzione redditizia per gli attaccanti.
Il documento dedica attenzione anche ai rischi emergenti legati all’intelligenza artificiale. Pur non essendosi verificati attacchi su larga scala alle tecnologie AI nel 2024, IBM X-Force ha identificato vulnerabilità critiche, come l’esecuzione di codice da remoto in framework per la creazione di agenti AI, che potrebbero essere sfruttate in futuro. L’adozione crescente di soluzioni AI espone le aziende a nuove superfici di attacco, rendendo necessario proteggere non solo i dati e i modelli, ma anche le pipeline e l’infrastruttura di supporto.
Infine, la collaborazione tra IBM X-Force e Red Hat Insights ha evidenziato come più della metà degli ambienti Red Hat Enterprise Linux presenti almeno una vulnerabilità critica non risolta, mentre il 18% ne conta cinque o più. I gruppi ransomware più attivi, tra cui Akira, Clop, Lockbit e RansomHub, stanno inoltre ampliando il proprio raggio d’azione supportando sia versioni Windows che Linux dei loro malware.