Report IBM: il furto di credenziali su larga scala si intensifica, con un aumento delle e-mail di phishing

IBM ha pubblicato l'X-Force Threat Intelligence Index 2025, evidenziando che i criminali informatici hanno continuato a orientarsi verso tattiche più furtive, con un aumento dei furti di credenziali di basso profilo, mentre gli attacchi ransomware alle aziende sono diminuiti. IBM X-Force ha osservato un aumento dell'84% delle e-mail portatrici di infostealer nel 2024 rispetto all'anno precedente, un metodo su cui gli attori delle minacce hanno fatto molto affidamento per scalare gli attacchi d'identità.

Il report 2025 tiene conto delle tendenze e dei modelli di attacco nuovi ed esistenti, attingendo alle attività di incident response, al dark web e ad altre fonti di intelligence sulle minacce.

Alcuni risultati del report 2025:

• Le organizzazioni che gestiscono le infrastrutture critiche hanno rappresentato il 70% di tutti gli attacchi a cui IBM X-Force ha risposto lo scorso anno, con oltre un quarto di questi attacchi causati dallo sfruttamento delle vulnerabilità.
• Un numero maggiore di criminali informatici ha scelto di rubare i dati (18%) rispetto a crittografarli (11%), poiché le avanzate tecnologie di rilevamento e l'aumento degli sforzi delle forze dell'ordine spingono i criminali informatici ad adottare percorsi di uscita più rapidi.
• Quasi un incidente su tre tra quelli osservati nel 2024 ha portato al furto di credenziali, poiché gli aggressori investono in più percorsi per accedere, esfiltrare e monetizzare rapidamente le informazioni di accesso.

"I criminali informatici spesso irrompono senza violare nulla, capitalizzando sulle lacune di identità che sono numerose negli ambienti cloud ibridi complessi, e offrono agli aggressori più punti di accesso", ha dichiarato Mark Hughes, Global Managing Partner of Cybersecurity Services di IBM. "Le aziende devono abbandonare una mentalità focalizzata sulla prevenzione e concentrarsi su misure proattive come la modernizzazione della gestione dell'autenticazione, l'eliminazione delle falle di autenticazione a più fattori e la conduzione di una ricerca delle minacce in tempo reale per scoprire quelle nascoste prima che espongano i dati sensibili".

Nel 2024, IBM X-Force ha osservato un aumento delle e-mail di phishing che forniscono infostealer e i primi dati per il 2025 rivelano un aumento ancora maggiore del 180% rispetto al 2023. Questa tendenza al rialzo che alimenta le acquisizioni di account successivi può essere attribuita agli aggressori che sfruttano l'intelligenza artificiale per scalare la distribuzione.

Il phishing delle credenziali e gli infostealer hanno reso gli attacchi all'identità economici, scalabili e altamente redditizi per gli attori delle minacce. Gli infostealer consentono la rapida esfiltrazione dei dati, riducendo il tempo trascorso sul bersaglio e lasciando pochi residui forensi. Nel 2024, i primi cinque infostealer da soli hanno avuto più di otto milioni di annunci pubblicitari sul dark web e ogni elenco può contenere centinaia di credenziali. Gli attori delle minacce stanno anche vendendo kit di phishing AIM (Adversary-in-the-middle) e servizi di attacco AITM personalizzati sul dark web per eludere l'autenticazione a più fattori (MFA). La disponibilità dilagante di credenziali compromesse e metodi di bypass MFA indica un'economia ad alta domanda di accesso non autorizzato che non mostra segni di rallentamento.

Mentre il ransomware ha rappresentato la quota maggiore di casi di malware con il 28% nel 2024, IBM X-Force ha osservato una riduzione complessiva degli incidenti ransomware rispetto all'anno precedente, con attacchi di identità in aumento per colmare la differenza.

Gli sforzi internazionali di rimozione stanno spingendo gli attori del ransomware a ristrutturare i modelli ad alto rischio verso operazioni più distribuite e a basso rischio. Ad esempio, IBM X-Force ha osservato che famiglie di malware precedentemente consolidate, tra cui ITG23 (alias Wizard Spider, Trickbot Group) e ITG26 (QakBot, Pikabot) hanno interrotto completamente le operazioni o si sono rivolte ad altri malware, incluso l'uso di nuove famiglie di breve durata, mentre i gruppi di criminali informatici tentano di trovare sostituti per le botnet che sono state eliminate lo scorso anno.

Ulteriori risultati del report 2025 includono:

• Evoluzione delle minacce d'intelligenza artificiale. Sebbene gli attacchi su larga scala alle tecnologie di intelligenza artificiale non si siano concretizzati nel 2024, i ricercatori che si occupano di sicurezza stanno facendo a gara per identificare e correggere le vulnerabilità prima che i criminali informatici le sfruttino. Problemi come la vulnerabilità dell'esecuzione di codice in modalità remota che IBM X-Force ha scoperto in un framework per la creazione di agenti di intelligenza artificiale diventeranno più frequenti. Con l'adozione destinata a crescere nel 2025, aumenteranno anche gli incentivi per gli opponenti a sviluppare toolkit di attacco specializzati rivolti all'AI, rendendo imperativo che le aziende proteggano la pipeline di AI fin dall'inizio, compresi i dati, il modello, l'utilizzo e l'infrastruttura che circonda i modelli.

• L'Asia e il Nord America sono le regioni più attaccate. Rappresentando collettivamente quasi il 60% di tutti gli attacchi a cui IBM X-Force ha risposto a livello globale, l'Asia (34%) e il Nord America (24%) hanno subito più attacchi informatici di qualsiasi altra regione nel 2024.

• La produzione industriale ha risentito degli attacchi ransomware. Per il quarto anno consecutivo, l'industria manifatturiera è stata l'industria più attaccata. Di fronte al più alto numero di casi di ransomware lo scorso anno, il ritorno sull'investimento per la crittografia è forte per questo settore grazie alla sua tolleranza estremamente bassa per i tempi di inattività.

• Minacce Linux. In collaborazione con RedHat Insights, IBM X-Force ha rilevato che più della metà degli ambienti dei clienti Red Hat Enterprise Linux presentava almeno un CVE critico non risolto e il 18% presentava cinque o più vulnerabilità. Allo stesso tempo, IBM X-Force ha scoperto che le famiglie di ransomware più attive (ad esempio, Akira, Clop, Lockbit e RansomHub) supportano ora entrambe le versioni Windows e Linux dei loro ransomware.