L’evoluzione della cybersecurity nel 2025 è segnata da tre grandi fattori: la cyberwar con l’AI, l’evoluzione del ransomware e le vulnerabilità nelle infrastrutture cloud ed edge. È quanto emerge dal Threat Intelligence Report Emea di Check Point Software Technologies, presentato in occasione del Cpx Vienna 2025.
Il report di Check Point offre un’analisi dettagliata del panorama delle minacce nell’area Emea (Europa, Medio Oriente e Africa), e rivela la crescente sofisticazione degli attacchi informatici e le strategie adottate dai cybercriminali. Negli ultimi sei mesi, le organizzazioni Emea hanno subito in media oltre 1.600 attacchi settimanali, un dato leggermente inferiore alla media globale ma comunque indicativo di una pressione costante sul tessuto economico e istituzionale della regione.
Alcuni settori sono particolarmente bersagliati, in particolare il mondo dell’istruzione e della ricerca, che registra in media 4.247 attacchi settimanali per organizzazione. Anche comunicazioni, difesa, sanità e retail sono nel mirino dei cybercriminali, con uno spostamento delle minacce che riflette l’evoluzione delle strategie offensive degli hacker.

Dal punto di vista geografico, il report evidenzia che l’Etiopia è il Paese più attaccato dell’area Emea , seguita da Uganda, Angola e Ghana, a dimostrazione del fatto che il cybercrime sta ampliando il proprio raggio d’azione, colpendo economie in crescita con infrastrutture spesso meno protette.
In relazione ai temi di cyberwar, il report rivela che con l’AI non vengono solamente portati attacchi mirati per la paralisi di infrastrutture critiche, ma si parla di operazioni più subdole, finalizzate a influenzare l’opinione pubblica, destabilizzare governi e minare la fiducia nelle istituzioni.
Secondo i dati raccolti, l’AI è stata utilizzata per manipolare il consenso elettorale in almeno un terzo delle principali elezioni tra settembre 2023 e febbraio 2024. Gruppi informatici legati a Russia, Iran e Cina avrebbero impiegato deepfake e campagne di fake news per influenzare il voto negli Stati Uniti, a Taiwan, in Romania e Moldavia. Anche le Olimpiadi di Parigi, lo scorso anno, sono state tra gli obiettivi primari del cybercrime. Lotem Finkelsteen, director, Threat Intelligence and Research Area di Check Point Software: “L’incremento della disinformazione alimentata dall’intelligenza artificiale rimodella il panorama della sicurezza informatica. Dagli attacchi politici generati da deepfake alle campagne di influenza su larga scala, stiamo assistendo a un’escalation senza precedenti della guerra informatica guidata dall’AI”.
Evoluzione ransomware
ll ransomware continua a rappresentare una delle minacce più gravi, ma con un’evoluzione significativa: i gruppi criminali abbandonano la crittografia dei file per passare direttamente all’estorsione dei dati aziendali. Invece di bloccare i file delle vittime, i cybercriminali rubano informazioni sensibili e minacciano di divulgarle se il riscatto non viene pagato. Un modello pericoloso perché può causare danni reputazionali enormi alle aziende colpite.

Inoltre, il recente giro di vite delle forze dell’ordine sui principali gruppi di ransomware, come LockBit e Alphv, ha portato alla frammentazione del panorama del ransomware, favorendo l’ascesa di nuovi gruppi, tra cui RansomHub. “Lo spostamento verso l’estorsione con fuga di dati – commenta Omer Dembinsky, Data Research Group manager di Check Point Software – presenta un rischio più insidioso: le organizzazioni non devono più affrontare solo interruzioni operative, ma anche l’esposizione pubblica di dati sensibili”.
Infostealer e broker d’accesso, ‘business’ promettenti
Il report evidenzia un aumento del 58% degli attacchi basati su malware infostealer, con oltre 10 milioni di credenziali rubate in vendita nei mercati clandestini della criminalità informatica. Strumenti come AgentTesla, Lumma Stealer e FormBook prendono di mira credenziali Vpn e token di autenticazione, e permettono ai criminali di ottenere accesso non autorizzato ai sistemi aziendali. Le sessioni “dirottate” a piacere dal cybercrime (session hijacking) sono diventate una tecnica primaria per bypassare l’autenticazione a più fattori (Mfa) e ottenere un accesso persistente agli obiettivi.
Inoltre il report sottolinea il ruolo crescente delle vulnerabilità negli ambienti cloud e edge. Configurazioni errate, controlli di accesso deboli e vulnerabilità nei dispositivi IoT rendono più difficile proteggere le infrastrutture aziendali.

Soprattutto gli Advanced Persistent Threat (Apt) di matrice cinese sfruttano dispositivi IoT compromessi per ottenere accesso persistente alle reti globali, mentre le violazioni delle configurazioni cloud portano alla compromissione di dati governativi, sanitari e finanziari. “Le organizzazioni devono ripensare la sicurezza del cloud – afferma quindi Michael Abramzon, Threat Intelligence and Research architect di Check Point Software – perché gli aggressori non si limitano più a violare i sistemi on-premise, ma sfruttano le vulnerabilità cloud per muoversi lateralmente all’interno delle reti”.
E un ultimo spunto di riflessione è offerto ancora dal report su DeepSeek. Si assiste ad attacchi diretti alle infrastrutture di intelligenza artificiale. Un esempio eclatante è l’attacco subito da DeepSeek AI, costretta a limitare le registrazioni di nuovi utenti a seguito di un incidente informatico su larga scala. Sconosciuti gli autori dell’attacco, l’episodio solleva interrogativi sulla sicurezza delle piattaforme di IA e sui rischi associati alla crescente dipendenza da questi sistemi.
© RIPRODUZIONE RISERVATA