Il quadro delle minacce cyber nel 2024 presenta uno scenario in costante evoluzione, segnato da una moltiplicazione dei fronti di rischio e da una netta accelerazione nella sofisticazione degli attacchi, alimentata anche dall’impiego crescente dell’intelligenza artificiale tanto da parte dei difensori quanto, in modo allarmante, dagli stessi criminali informatici. A restituire una fotografia dettagliata e documentata di questa dinamica in atto è la nuova edizione dello Y-Report 2025, l’analisi annuale curata da Yarix, centro di competenza per la cybersecurity di Var Group, giunta alla sua ottava edizione.

Il valore metodologico del report è dato da una raccolta dati continua e sistematica: Yarix (Vargroup) analizza gli eventi registrati dal proprio Security Operation Center (Soc) nel corso di tutto il 2024, integrando informazioni provenienti sia dalla propria base clienti — un panel eterogeneo di aziende italiane e multinazionali, attive in comparti come manufacturing, sanità, IT, energia, finanza e pubblica amministrazione — sia da attività di incident response condotte su realtà esterne ingaggiate per la gestione di crisi informatiche. Le aziende coinvolte presentano mediamente oltre 1.000 dipendenti e fatturati superiori ai 50 milioni di euro, configurando così un campione statisticamente rappresentativo delle dinamiche che attraversano l’intero sistema produttivo nazionale ed europeo. Tutti i dati sono stati normalizzati e aggregati, garantendo l’anonimizzazione completa delle informazioni sensibili e l’omogeneità degli output analitici, a sostegno di valutazioni qualitative e quantitative robuste. Accanto alle evidenze empiriche raccolte direttamente dai Soc team, il report integra contributi provenienti dai gruppi interni di Incident Response e Cyber Threat Intelligence, oltre a flussi informativi esterni derivanti da collaborazioni istituzionali e network internazionali come il First (Forum for Incident Response and Security Teams).

Y-Report 2025, i numeri

Il 2024 si è chiuso con numeri che testimoniano l’intensificarsi della pressione cyber a livello globale e nazionale.

Eventi suddivisi per gravità
Eventi suddivisi per gravità (fonte: Y-Report 2025, Yarix)

Il Security Operation Center di Yarix ha rilevato oltre 485.800 eventi di sicurezza informatica, segnando un incremento del 56% rispetto al 2023. Ancora più significativo il dato sui veri e propri incidenti: oltre 141.700 eventi (circa il 30%) si sono evoluti in incidenti di sicurezza conclamati, ossia in compromissioni effettive di dati, sistemi o continuità operativa, con un balzo del 70% rispetto all’anno precedente.

In termini di gravità, il trend più allarmante riguarda l’esplosione degli incidenti critici: il report Yarix registra un incremento del 269% degli eventi classificati come “critical”, ovvero con potenziali ripercussioni gravi su asset strategici, supply chain e servizi IT core delle aziende coinvolte. Alla base di questa escalation si rileva una sempre maggiore capacità degli attaccanti di sfruttare vulnerabilità presenti in componenti infrastrutturali fondamentali, come firewall, dispositivi di sicurezza perimetrali e piattaforme di accesso remoto, che restano fra i principali vettori di ingresso sfruttati per avviare le compromissioni.

Eventi di sicurezza per settore industriale
Eventi di sicurezza per settore industriale (fonte: Y-Report 2025, Yarix)

La distribuzione settoriale degli attacchi conferma come il comparto manufacturing rappresenti ancora una volta il perimetro più esposto, con il 12,5% degli eventi totali rilevati. In questo ambito pesano la forte presenza di dispositivi OT legacy, l’interconnessione crescente fra impianti fisici e reti IT, ma soprattutto la frammentazione nella governance centralizzata della sicurezza. Segue il settore IT (11,8%), penalizzato dall’elevata esposizione verso internet di servizi critici come Api, portali pubblici, infrastrutture SaaS e repository cloud, frequentemente oggetto di tentativi di esfiltrazione dati.

L’impatto del ransomware e lo scenario in Italia

A rafforzare ulteriormente il quadro di complessità tracciato da Yarix è la rilevanza crescente assunta dal fenomeno ransomware. Nel 2024 il team Cti ha censito globalmente 4.721 eventi ransomware, in aumento del 5,5% rispetto al 2023, riconducibili ad attività di ben 92 gruppi criminali attivi nel panorama ransomware-as-a-service (RaaS). Particolarmente rilevante l’ascesa di RansomHub, che ha sopravanzato LockBit, diventando il gruppo più attivo (9,8% delle rivendicazioni globali). Seguono LockBit stesso (9,25%), Play Ransomware (6,5%), Akira (5,75%) e Hunters International (4,3%).

Andamento ransomware nel 2024
Andamento mensile del ransomware nel 2024 (fonte: Y-Report 2025, Yarix)

Sul piano geografico l’Italia ha guadagnato una posizione, diventando il quarto paese al mondo più bersagliato dal ransomware, con il 2,9% degli attacchi totali globali. Solo Stati Uniti (52,3%), Regno Unito (5,25%) e Canada (5,20%) precedono il nostro Paese, mentre la Germania scivola al quinto posto. Nello scenario italiano, i settori più colpiti dal ransomware restano il manufacturing (32,5%), la consulenza (9%), l’IT (7,5%), i trasporti (7,5%) e le costruzioni (6,5%), con una netta concentrazione territoriale in Lombardia, Emilia-Romagna e Veneto.

Hacktivism e tensioni geopolitiche

Non meno preoccupante, nel bilancio 2024, è il forte incremento dell’attività hacktivista, trainata da tensioni geopolitiche che hanno moltiplicato i fronti di attacco anche sul nostro territorio. L’Italia risulta quinto paese più colpito dagli hacktivisti nel 2024, dietro Ucraina, Israele, Romania e India. Yarix ha censito 97 gruppi hacktivisti attivi globalmente, con la leadership operativa del collettivo filorusso NoName057, responsabile di oltre il 55% degli attacchi diretti verso infrastrutture energetiche, sanitarie, bancarie e logistiche. A spingere le campagne hacktiviste nel nostro Paese sono state sia le posizioni italiane a sostegno di Kiev nel conflitto Russia-Ucraina, sia la partecipazione indiretta al sostegno militare occidentale a Israele, nel contesto delle crisi in Medio Oriente.

Ma la variabile più rilevante registrata da Yarix nel 2024 è senza dubbio il crescente sfruttamento dell’intelligenza artificiale come arma offensiva da parte dei threat actor. Nei 146 incidenti critici gestiti durante l’anno (+75,9% rispetto al 2023), il team di incident response ha rilevato numerosi casi di utilizzo di AI generativa per la scrittura automatica di script malevoli. Si tratta di payload e comandi automatizzati, in diversi casi riconoscibili per la presenza di commenti contestuali in linguaggio naturale e capacità adattive rispetto al target colpito, resi accessibili anche a operatori criminali con competenze tecniche inferiori rispetto agli attaccanti professionisti.

In parallelo, il 2024 ha segnato un salto di qualità nelle tecniche di evasione dei controlli difensivi, in particolare nei confronti delle soluzioni di endpoint detection and response (Edr). Yarix segnala un aumento del 333% dei malware Edr Killer, strumenti progettati appositamente per disabilitare i software di sicurezza sugli endpoint, spesso prima ancora dell’avvio delle fasi distruttive di attacco. Particolarmente insidioso il ricorso a tecniche Byovd (Bring Your Own Vulnerable Driver), basate sull’installazione fraudolenta di driver firmati ma vulnerabili, sfruttati per ottenere privilegi kernel ed eludere ogni controllo di sicurezza.

Criteri e strumenti per una difesa efficace

In questo scenario complesso e in continua escalation, la risposta difensiva non può prescindere dall’integrazione strutturata di AI nei processi Soc. In tal senso Yarix ha proseguito lo sviluppo della propria piattaforma proprietaria Egyda, basata su hyper-automation, machine learning e AI cognitiva. Grazie a questi strumenti, nel 2024 il Mean Time To Response (Mttr) è stato ridotto di oltre il 50%, grazie all’automazione nella raccolta e normalizzazione degli alert su più di 1.000 scenari, e all’introduzione di motori di prioritizzazione basati su reinforcement learning.

Parallelamente, il modulo di machine learning Yuba, ha superato la soglia dei 120 milioni di login monitorati, migliorando ulteriormente la detection di anomalie comportamentali sui flussi di autenticazione cloud e privilegiati, con un netto abbattimento dei falsi positivi. Guardando al futuro, il Soc Yarix sta avviando l’introduzione di modelli Llm (Large Language Model), pensati per supportare gli analisti umani nella gestione contestuale dei dati raccolti, ottimizzando correlazioni, tracciamento degli IoC (Indicator of Compromise) e stesura automatica dei report di incidente customizzati per i diversi stakeholder.

Il bilancio tracciato dallo Y-Report 2025 non lascia spazio a interpretazioni ottimistiche: la cybersecurity globale e italiana, in particolare sta vivendo una fase di profonda trasformazione in cui i margini temporali di risposta si restringono, gli attaccanti evolvono le metodologie di attacco in modo industrializzato, e la simmetria informativa tra chi attacca e chi difende si sta sempre più assottigliando. Solo l’integrazione intelligente fra automazione, AI e competenze specialistiche può oggi garantire, come evidenziano i numeri Yarix, la resilienza necessaria per affrontare le prossime ondate di minacce digitali.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE