Check Point Software Technologies ha pubblicato The State of Global Cyber Security 2025, il 13° rapporto annuale con dati su 170 Paesi. Con un allarmante aumento del 44% degli attacchi informatici globali rispetto all’anno precedente, il rapporto svela le nuove tendenze informatiche, le tattiche emergenti degli attori delle minacce e le indicazioni per i CISO per navigare indenni in questo panorama in continua evoluzione. Con la continua evoluzione del mondo digitale, le minacce alle organizzazioni diventano sempre più sofisticate, pervasive e dirompenti. Il rapporto annuale sullo stato della sicurezza informatica per il 2025 di Check Point Software Technologies ha lo scopo di fornire ai leader della sicurezza informatica informazioni critiche sull’evoluzione del panorama delle minacce e di aiutarli a prepararsi alle minacce avanzate che le loro organizzazioni potrebbero affrontare nel corso dell’anno.
“La sicurezza informatica nel 2025 non riguarda solo la protezione delle reti, ma anche la salvaguardia della fiducia nei nostri sistemi e nelle nostre istituzioni”, dichiara Maya Horowitz, VP of Research di Check Point Software. “Lo State of Global Cyber Security 2025 report evidenzia la rapida evoluzione delle minacce e rafforza la necessità di resilienza di fronte ad avversari persistenti e complessi”.
Il 2024 è stato segnato dal ruolo crescente dell’IA generativa negli attacchi informatici. Dalle campagne di disinformazione ai video deepfake, la GenAI è stata utilizzata per accelerare gli attacchi informatici, rubare denaro e influenzare l’opinione pubblica. Allo stesso tempo, gli attacchi Infostealer sono aumentati del 58%, rivelando un ecosistema informatico in via di maturazione. Oltre il 70% dei dispositivi infettati erano personali, in quanto gli attori delle minacce hanno preso di mira gli ambienti BYOD per violare le risorse aziendali.
Il rapporto evidenzia lo stato della sicurezza informatica e le diverse tendenze chiave che ne plasmeranno il futuro, dal ruolo crescente dell’IA nella guerra informatica alla minaccia crescente dei pirati informatici, mostrando i 5 principali trend.
Nel 2025, l’IA sarà sempre più sfruttata nella guerra informatica, in particolare nel contesto delle campagne di disinformazione e di influenza. Sia gli attori nazionali, sia i criminali informatici utilizzano già strumenti di IA per amplificare le fake news, creare deepfake e manipolare l’opinione pubblica. Man mano che queste tecnologie diventano più avanzate e diffuse, cresce la capacità di manipolare i media, le elezioni e l’opinione pubblica, rendendo più difficile distinguere tra verità e contenuti inventati.
Un’altra tendenza preoccupante è l’aumento dell’hacktivismo affiliato agli Stati. Gli hacktivisti, spesso con l’appoggio o l’incoraggiamento dei governi, utilizzano gli attacchi informatici per portare avanti agende geopolitiche, promuovendo la disinformazione e destabilizzando i loro nemici. Queste attività potrebbero essere un precursore di guerre informatiche più gravi e di un cambiamento di strategia. Si potrebbe presto assistere a una transizione verso attacchi più grandi e sofisticati, con conseguenze a lungo termine, piuttosto che attacchi che si concentrano su danni ad alto impatto immediato che abbiamo visto in passato.
Il ransomware continua a essere una delle forme più diffuse e dannose di criminalità informatica. Le operazioni delle forze dell’ordine hanno fatto passi da gigante nello smantellare e distruggere le grandi reti di ransomware. Oggi ci si trova però davanti a gruppi più piccoli e dinamici in grado di cambiare rapidamente obiettivi e tattiche.
Si è anche assistito a una transizione dai tradizionali attacchi ransomware basati sulla crittografia, all’estorsione per esfiltrazione dei dati. Anziché limitarsi a bloccare i file e chiedere il pagamento di una chiave di decrittazione, i criminali informatici ora rubano i dati sensibili e minacciano di rilasciarli se le loro richieste non vengono soddisfatte. Questo cambiamento di tattica aggiunge un ulteriore livello di pressione sulle organizzazioni, in particolare su quelle che gestiscono dati riservati o personali, come quelle dei servizi finanziari, della sanità e dell’istruzione.
La sanità, un tempo il secondo settore più bersagliato dal ransomware, è diventata un obiettivo ancora più grande. Ben il 10% degli attacchi ransomware riguarda il settore sanitario. I criminali informatici non hanno limiti né morali né etici.
Gli infostealer registrano un incremento del 58% dei tentativi di infezione rispetto all’anno precedente.
Questi tipi di malware sono progettati per rubare token e informazioni sensibili, tra cui credenziali di accesso anche di VPN, spesso da configurazioni BYOD e possono fornire agli aggressori informazioni preziose, creando una backdoor per un ulteriore sfruttamento. Gli infostealer possono colpire sia i privati sia le reti aziendali, rappresentando una minaccia significativa per le aziende che cercano di salvaguardare l’accesso ai sistemi critici.
Nel 90% delle aziende violate, le credenziali sono finite nel registro di un ladro prima dell’attacco. Questa tendenza in crescita comporta rischi non solo per la sicurezza aziendale, ma anche per la privacy individuale e la protezione dei dati. Il loro aumento coincide con il declino delle botnet tradizionali e del malware bancario.
Gli edge device, come i dispositivi IoT, gli indossabili, l’hardware per il lavoro a distanza, I router e le VPN sono diventati obiettivi primari per i criminali informatici. Poiché operano ai margini di una rete, questi dispositivi possono essere meno sicuri e più difficili da monitorare, il che li rende un punto di accesso interessante per gli aggressori. La crescita dei dispositivi edge come vettore di attacco sottolinea la necessità di proteggere tutti gli endpoint connessi per prevenire le violazioni. Oltre 200.000 dispositivi sono stati controllati da botnet avanzate come Raptor Train, gestite da attori sponsorizzati dallo Stato
Nel 2024 si è anche assistito a un netto aumento delle vulnerabilità zero-day, che interessano i dispositivi edge, aprendo la porta alla possibilità che gli attori malintenzionati inizino a sfruttare maggiormente queste debolezze in futuro.
In un mondo in cui le aziende continuano a costruire la propria infrastruttura informatica di cloud ibrido, è cresciuta la complessità di gestire le configurazioni cloud, mantenere la conformità e garantire la visibilità delle risorse. Ambienti cloud mal configurati possono esporre dati sensibili e fornire un facile punto di ingresso per i criminali informatici. La protezione degli ambienti ibridi e multi-cloud è diventata fondamentale per tutti i CISO delle medie e grandi aziende.
Gli attori delle minacce ora conducono attacchi su larga scala di credential stuffing e attacchi brute-force “low and slow” ai provider SSO e ai servizi cloud. Gli aggressori stanno anche trovando il modo di sfruttare le soluzioni Large Language Model, tecnologia di IA avanzata basata sulla comprensione e l’analisi del testo.
Anche la sicurezza delle interfacce di programmazione delle applicazioni rimane un problema critico. Pratiche di sicurezza API inadeguate possono esporre le applicazioni basate sul cloud ad accessi non autorizzati, consentendo agli aggressori di rubare dati, interrompere i servizi o causare danni significativi agli ambienti cloud.
Le tendenze della sicurezza informatica per il 2025 indicano chiaramente una cosa: il panorama digitale diventa ogni giorno più complesso e pericoloso. E proprio mentre le difese informatiche migliorano, i criminali informatici e gli attori degli Stati nazionali continuano a evolvere le loro strategie e tattiche per eludere queste difese.
La prevenzione delle minacce continua a essere la migliore difesa contro le tecniche di attacco complesse, sia attraverso l’e-mail, i dispositivi edge, il cloud ibrido o altri metodi di attacco.