Nel panorama tecnologico globale, la democratizzazione della cyber security emerge come un messaggio fondamentale, una necessità urgente per affrontare l’evoluzione delle minacce informatiche. Il rapido progresso delle tecnologie e l’accessibilità delle risorse hanno dato vita a un paradosso inquietante: mentre gli attori malevoli dispongono di strumenti sempre più avanzati, molte organizzazioni e individui rimangono vulnerabili, privi delle competenze e delle risorse necessarie per proteggersi.
L’espansione del crimine informatico
Il modello di business delRansomware as a Service (RaaS) rappresenta un esempio lampante di questa trasformazione. Grazie alla disponibilità di piattaforme as-a-service, chiunque, anche senza particolari competenze tecniche, può accedere a strumenti di attacco sofisticati.LockBit, uno dei principali gruppi di RaaS, è nato nel 2019 e si è rapidamente imposto come una delle minacce più diffuse nel panorama cyber. Con l’introduzione di LockBit 4.0, il gruppo ha perfezionato il proprio arsenale tecnologico, integrando l’intelligenza artificiale per personalizzare gli attacchi e massimizzare l’efficacia delle sue operazioni. Questo ransomware è stato utilizzato per colpire organizzazioni di ogni dimensione, sfruttando modelli di business collaborativi che incentivano affiliati a condurre attacchi sempre più mirati e sofisticati.
Questa “democratizzazione del crimine” ha moltiplicato le minacce. Secondo il World Economic Forum’s Global Cybersecurity Outlook 2025, l’adozione di nuove tecnologie da parte degli attori malevoli ha portato a un aumento esponenziale delle intrusioni, con oltre il 70% delle violazioni attribuite a gruppi che sfruttano modelli di business incentivanti e tecniche collaborative.
Questa “democratizzazione del crimine” ha moltiplicato le minacce. Secondo il World Economic Forum’s Global Cybersecurity Outlook 2025, l’adozione di nuove tecnologie da parte degli attori malevoli ha portato a un aumento esponenziale delle intrusioni, con oltre il 70% delle violazioni attribuite a gruppi che sfruttano modelli di business incentivanti e tecniche collaborative.
Il Big Game Hunting e la collaborazione tra IAB, RaaS e operatori
Nel contesto del Big Game Hunting, gli attacchi si concentrano su grandi organizzazioni e infrastrutture critiche per massimizzare i profitti. Questa strategia è resa possibile grazie alla collaborazione tra Initial Access Broker(IAB), fornitori di RaaS e operatori di attacco. Gli IAB si occupano di acquisire accessi iniziali alle reti aziendali, spesso sfruttando phishing o vulnerabilità note. Un esempio significativo è il gruppo Fxmsp, che ha venduto accessi a reti di multinazionali e istituzioni governative di alto profilo.
Un altro noto IAB è il gruppo Lapsus$, che si è distinto per le sue tecniche di attacco uniche e la capacità di mantenere punti di accesso persistenti alle reti violate. Lapsus$ si concentra principalmente sullo sfruttamento di credenziali rubate e attacchi di social engineering per ottenere accessi privilegiati. Una volta compromessi, questi accessi vengono affittati ripetutamente a diversi attori malevoli, massimizzando il ritorno economico. Questo approccio ha reso Lapsus$ un protagonista centrale nel mercato degli accessi illeciti, evidenziando l’elevato grado di organizzazione e la redditività del loro modello di business.
Gli IAB beneficiano di un modello di business virtuoso: più accedono a reti preziose, maggiore è il valore economico degli accessi che possono vendere. Questo incentivo ha portato a una crescente specializzazione nel loro operato, aumentando il volume e la qualità degli accessi offerti. Parallelamente, i fornitori di RaaS promuovono attivamente i propri servizi attraverso strategie di marketing che includono test gratuiti, programmi di affiliazione e supporto tecnico personalizzato. Questo approccio abbassa ulteriormente le barriere di ingresso per nuovi attori, attirando un numero crescente di affiliati.
Gli operatori, infine, massimizzano i profitti sfruttando la flessibilità degli strumenti RaaS. Possono personalizzare gli attacchi in base agli obiettivi, utilizzando tecniche avanzate come il Living Off The Land (LOTL) per mascherare le loro attività. Ormai, però, non si limitano più a queste tecniche: le metodologie di evasione sono diventate altrettanto diffuse, permettendo di rendere inefficaci molte soluzioni diEndpoint Detection and Response(EDR). Gli EDR hanno perso gran parte della loro capacità preventiva, risultando incapaci di individuare gli attacchi nelle prime fasi di preparazione e di bloccare l’esfiltrazione dei dati.
Il guadagno per gli attori malevoli, inoltre, non deriva più solo dalla cifratura dei dati e dei sistemi, ma sempre più dalla loro esfiltrazione. Questa strategia punta sul ricatto per evitare la pubblicazione dei dati sottratti, creando un’ulteriore leva per estorcere denaro alle vittime. Le conseguenze della pubblicazione di dati riservati possono essere devastanti per le aziende, sia dal punto di vista economico che reputazionale. La diffusione di informazioni sensibili può compromettere la fiducia dei clienti, causare perdite di mercato e generare cause legali, amplificando enormemente i danni subiti.
Il guadagno per gli attori malevoli, inoltre, non deriva più solo dalla cifratura dei dati e dei sistemi, ma sempre più dalla loro esfiltrazione. Questa strategia punta sul ricatto per evitare la pubblicazione dei dati sottratti, creando un’ulteriore leva per estorcere denaro alle vittime. Le conseguenze della pubblicazione di dati riservati possono essere devastanti per le aziende, sia dal punto di vista economico che reputazionale. La diffusione di informazioni sensibili può compromettere la fiducia dei clienti, causare perdite di mercato e generare cause legali, amplificando enormemente i danni subiti.
La frammentazione delle soluzioni di difesa
Mentre le minacce evolvono, le difese rimangono spesso frammentate. Le aziende investono in soluzioni verticali come l’Endpoint Detection and Response(EDR) o il backup, ma questi approcci non sempre garantiscono una protezione completa. In particolare, il concetto tradizionale di backup si dimostra inadeguato rispetto a un approccio più moderno di cyber ripristino. Soluzioni avanzate come le panic room o le sandbox post-attacco consentono alle organizzazioni di isolare rapidamente i sistemi compromessi e analizzare in sicurezza le minacce, riducendo l’impatto operativo e minimizzando le perdite. La mancanza di integrazione tra strumenti diversi e l’assenza di standardizzazione amplificano ulteriormente la vulnerabilità delle organizzazioni.
Inoltre, la continua crescita del numero di vulnerabilità – oltre 19.000 individuate solo nel 2024 – dimostra quanto sia difficile per le difese tenere il passo con l’evoluzione degli attacchi. Le organizzazioni, grandi e piccole, si trovano spesso a lottare contro un nemico più agile e meglio organizzato. Tra i riferimenti più completi e autorevoli nel settore cibernetico, ENISA (European Union Agency for Cybersecurity) pubblica ogni anno l’ETL (European Threat Landscape). Questo documento analizza le principali minacce emerse e le tendenze future, fornendo dati e statistiche fondamentali per comprendere il panorama globale delle minacce. L’ETL rappresenta una guida essenziale per aziende e governi nella costruzione di strategie di difesa efficaci.
Secondo l’ultimo rapporto ETL, il ransomware continua a essere la minaccia più diffusa, con un aumento del 40% degli incidenti segnalati rispetto all’anno precedente. Le tecniche di evasione e l’uso di intelligenza artificiale da parte degli attori malevoli sono citati come i principali fattori alla base di questa crescita. ENISA sottolinea l’importanza di adottare approcci di sicurezza integrati e di rafforzare la cooperazione internazionale per affrontare queste sfide.
Democratizzare la cyber security: un nuovo paradigma
La risposta a questa sfida risiede nella democratizzazione della sicurezza informatica stessa. Mentre gli attaccanti hanno utilizzato l’intelligenza artificiale per automatizzare il lavoro e rendere accessibile a costi ridotti l’esecuzione di attacchi sofisticati, noi continuiamo a rispondere con soluzioni verticali e isolate, spesso difficili da comprendere e implementare. Queste soluzioni consumano una grande parte del budget destinato alla sicurezza, ma affrontano solo porzioni del problema complessivo. Ciò significa che è necessario rendere accessibili strumenti di difesa avanzati, formare utenti e organizzazioni, e promuovere una maggiore collaborazione tra pubblico e privato. I governi e le istituzioni internazionali devono assumere un ruolo guida, fornendo risorse, standard e piattaforme comuni per una protezione più efficace.
L’adozione di soluzioni come la segmentazione della rete, l’autenticazione multifattoriale e l’analisi del comportamento anomalo deve diventare una prassi diffusa. Tuttavia, i moderni Security Operations Center (SOC) automatizzati dall’intelligenza artificiale stanno emergendo come uno dei metodi più promettenti per affrontare le minacce in tempo reale. Questi SOC utilizzano l’apprendimento automatico e l’automazione per monitorare, analizzare e rispondere alle minacce in modo proattivo, riducendo drasticamente il tempo necessario per rilevare e mitigare gli attacchi. Inoltre, l’intelligence condivisa sulle minacce rappresenta una risorsa cruciale per anticipare e mitigare i rischi, completando l’efficacia di queste soluzioni integrate.
Conclusione
La democratizzazione della cyber security è una necessità improrogabile per bilanciare l’asimmetria tra attaccanti e difensori. Solo attraverso un approccio collettivo e integrato, che unisca tecnologie, competenze e collaborazione globale, sarà possibile costruire un ecosistema digitale sicuro per tutti. Nel mondo interconnesso di oggi, la sicurezza non è solo un privilegio, ma un diritto fondamentale. E la sua democratizzazione rappresenta il primo passo per garantire che questo diritto sia effettivamente accessibile a tutti.
Il corso illustra i principi cardine della sicurezza informatica, imprescindibile per la corretta e affidabile gestione di qualsiasi organizzazione. Insegnerà a riconoscere e prevenire le minacce cyber e dimostrerà come le nuove tecnologie possono intervenire in caso di incidenti informatici attraverso la Digital Forensics, la scienza forense che si occupa dell’individuazione, del recupero e dell’analisi delle prove digitali.
Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.
Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.
