A pochi passi dalle rive del Danubio, nel cuore di Bratislava, si trova la sede principale di Eset, realtà che, anche per la sua origine europea, evidenzia non pochi tratti singolari nel panorama della cybersecurity. L’azienda, nata in Slovacchia oltre trent’anni fa e ancora oggi “privata” (non è quotata), si muove sul mercato con una strategia dettata dal coinvolgimento diretto di alcuni dei fondatori, ancora attivi, ed ha scelto di preservare un modello di governance indipendente, che le consente di reinvestire costantemente nella ricerca: circa due terzi dei guadagni vengono infatti destinati allo sviluppo. Con un organico di circa 2.400 persone e una rete che comprende tredici centri di ricerca, di cui otto collocati all’interno dell’Unione Europea, Eset si presenta oggi come realtà strutturata a livello globale per presidiare le criticità in ambito cybersecurity su tutti i segmenti di business.
La sede di Bratislava ospita uno degli Eset Research Laboratory, cuore pulsante delle attività di analisi sulle minacce e terreno in cui l’intelligenza artificiale ‘proprietaria’ (sviluppata internamente dall’azienda) viene addestrata e affinata ed utilizzata per individuare e neutralizzare gli attacchi. Questa capacità tecnologica è alla base di un’offerta che spazia dalle soluzioni di protezione endpoint fino ai servizi managed detection and response (Mdr), pensati per affiancare le imprese con supporto locale, in lingua locale, con l’azienda oramai proiettata verso la proposta Xdr (extended detection and response). Tanto che l’azienda è riconosciuta come Strong Performer nell’analisi The Forrester Wave: Managed Detection And Response Services In Europe (Q3 2025). Secondo gli analisti di Forrester, Eset è capace di sfruttare la presenza nell’Europa centrale e orientale per raccogliere threat intelligence localizzata nei suoi servizi ed ha conquistato la fiducia del mercato grazie all’attenzione alla maturità degli endpoint e alla compliance regionale. In particolare, recita il report, “clienti di riferimento evidenziano la trasparenza e il supporto diretto di Eset, apprezzando le competenze linguistiche locali e i threat advisory come aspetti positivi”.
Eset, analisi e azione nelle operazioni di takedown
Proprio a Bratislava abbiamo occasione di incontrare, per un confronto diretto, Ondrej Kubovič, Eset Security Awareness Specialist, con cui mettiamo a fuoco a partire da alcuni dei temi emergenti dall’ultimo Eset Threat Report (H1, 2025), le capacità di Eset.
Con oltre dieci anni di esperienza sul campo, Kubovič racconta il lavoro svolto dall’azienda anche nel supportare le forze dell’ordine internazionali contro alcune delle campagne cyber più aggressive degli ultimi anni. “Quello che facciamo – spiega – è raccogliere intelligence tecnica: osserviamo i campioni di malware, tracciamo le infrastrutture di comando e controllo, analizziamo il comportamento delle botnet e poi trasferiamo tutte queste informazioni alle autorità competenti”.
Un esempio significativo è l’operazione condotta contro Lumma Stealer, servizio di info-stealing che ha portato a maturità il modello malware-as-a-service, integrando anche un marketplace per rivendere i dati trafugati senza passare dai tradizionali forum criminali. “Abbiamo individuato circa 3.300 server da chiudere, offrendo segnalazioni su come intervenire, così che le forze di polizia potessero smantellare l’infrastruttura a maggio 2025”, racconta Kubovič. L’operazione ha generato un impatto immediato, riducendo drasticamente le capacità del gruppo, ma non ne ha decretato la scomparsa. “Li abbiamo visti infatti anche cercare di ricostruire, usando piattaforme come Steam per nascondere parte delle comunicazioni – e si tratta di una lotta continua – noi segnaliamo, le autorità intervengono, e intanto monitoriamo i tentativi del cybercrime di ricostituire gli ambienti malevoli”. La dinamica è simile a quella osservata con DanaBot, nato come info-stealer emerso già nel 2018 e noto per la capacità di trasformare i computer infetti in botnet utilizzate per occultare traffico e lanciare nuove offensive. Dopo anni di attività investigativa, anche questo network è stato oggetto di un’operazione consistente di law enforcemente consistente e smantellato nel 2025. “L’operazione di disruption non significa sempre l’arresto del rischio – chiarisce infatti Kubovic -; vuol dire sì abbattere i server, sequestrare i sistemi e rendere l’operazione inutilizzabile, ma bisogna anche considerare che molti attori operano in Paesi come la Russia, al di fuori della portata delle indagini e la capacità evolutiva nel tempo che anche DanaBot ha evidenziato”.
Social engineering e la minaccia ClickFix
Il terreno su cui i criminali continuano a prosperare è spesso quello aperto loro dalle capacità di social engineering. Tra le tecniche più insidiose ClickFix sfrutta l’abitudine degli utenti ai Captcha per indurli a compiere azioni malevole. “È un esempio lampante di come la debolezza sia l’essere umano – osserva Kubovic -. In questo caso, le persone pensano di seguire una procedura di sicurezza e finiscono invece per eseguire un comando PowerShell che compromette il sistema”. Il meccanismo è semplice: un finto Captcha richiede alla vittima di copiare e incollare un codice, apparentemente innocuo, che in realtà avvia uno script malevolo. In pochi passaggi, l’utente infetta la propria macchina senza rendersene conto. Il fenomeno ha registrato una crescita del 500% in un solo anno, fino al brusco calo legato proprio al takedown di Lumma Stealer, che ne costituiva il principale vettore. Anche in questo caso Eset invita alla prudenza: “Abbiamo, infatti, notato segnali di una possibile ripresa, perché le tecniche criminali raramente spariscono, piuttosto si trasformano, per rivalorizzare gli investimenti effettuati dal cybercrime”.
Accanto agli attacchi “tradizionali”, emergono nuove minacce rivolte ai sistemi di pagamento contactless. In particolare, Eset ha documentato l’attività di NGate, malware che si maschera da applicazione bancaria legittima: “I criminali contattano la vittima con Sms o addirittura telefonate, convincendola a installare un’app per proteggersi, ma in realtà, quell’app intercetta le transazioni Nfc e consente agli attaccanti di ottenere sia il Pin sia i dati della carta”. Il fenomeno, inizialmente circoscritto a Polonia, Repubblica Ceca e Georgia, si è diffuso rapidamente ed è stato seguito da varianti, anche proposte come servizio in abbonamento per la clonazione delle carte. “All’inizio parlavamo di pochi attacchi a settimana – racconta Kubovic -. Ora siamo nell’ordine delle centinaia, e il trend è in crescita. È ancora una nicchia rispetto al ransomware, ma i segnali sono preoccupanti”.
Ransomware, nuovi modelli di affiliazione
Il ransomware resta al centro della scena, anche se lo scenario è in rapida evoluzione. Dopo le operazioni delle forze dell’ordine che hanno colpito gruppi storici come Logbit e BlackCat, la scena è dominata da RansomHub, che ha innovato il modello di affiliazione ribaltando i flussi di pagamento: “Non sono più i gestori a incassare e redistribuire, ma gli affiliati che trattengono i riscatti e versarne una parte alla gang. Una modifica che ha rafforzato la fiducia e accelerato la crescita del gruppo”. Il quadro si è complicato con l’arrivo di DragonForce, che ha scelto di attaccare direttamente i gruppi rivali. “È curioso vedere gang criminali che combattono tra loro – commenta Kubovic -. In questo caso le gang hanno preso di mira RansomHub e BlackLock, riuscendo perfino a fare defacing dei loro leak site”. Nonostante le lotte intestine, il problema resta che il numero complessivo di attacchi è in aumento. Intanto, secondo i dati citati, le vittime che hanno pagato sono diminuite del 35%, ma “il calo dei pagamenti non deve trarre in inganno. Gli attacchi aumentano e le aziende di medie dimensioni restano il target preferito. Sono abbastanza grandi da pagare cifre rilevanti, che comunque sono di fatto valutate in relazione alla reale portata del business, ma lo stesso non sempre dispongono di difese adeguate”.
PromptLock, l’AI al servizio del ransomware
PromptLock segna un cambio di paradigma nello scenario delle minacce. Scoperto di recente da Anton Cherepanov, senior malware researcher di Eset, proprio Cherepanov racconta a Bratislava i dettagli del malware che è in grado di sfruttare l’intelligenza artificiale generativa per creare in tempo reale codice malevolo, decidendo autonomamente se esfiltrare, cifrare o addirittura distruggere i dati presenti sul sistema compromesso. La scoperta è avvenuta grazie al monitoraggio quotidiano di piattaforme come VirusTotal, dove Cherepanov ha individuato alcuni file Linux sospetti non ancora rilevati da alcun motore antivirus. “È successo il 26 agosto – racconta -. Ho notato stringhe anomale nei file, come indirizzi Bitcoin e riferimenti a esfiltrazione e riscatto ed era evidente che ci trovassimo di fronte a qualcosa di nuovo e potenzialmente rivoluzionario”.
PromptLock si compone – di fatto – di due parti. La prima, scritta in Golang, è statica e funge da impalcatura del malware. La seconda, dinamica, utilizza un modello AI eseguito tramite Ollama per generare script Lua malevoli ad hoc. “Ogni esecuzione produce un codice leggermente diverso, rendendo l’attacco polimorfico e più difficile da rilevare”, sottolinea Cherepanov. In base ai file presenti sulla macchina, il modello decide se avviare l’esfiltrazione, la cifratura o – almeno teoricamente – la distruzione dei dati. “Nel campione che abbiamo analizzato, la funzione di distruzione era inattiva, ma la sola possibilità che venga implementata è inquietante”, specifica Cherepanov. Il ransomware utilizza l’algoritmo di cifratura Speck a 128 bit e genera script compatibili con Windows, Linux e macOS. Nonostante la lentezza nell’esecuzione, dovuta al passaggio tra Lua e Golang, l’architettura dimostra la fattibilità di un malware capace di adattarsi in tempo reale all’ambiente in cui opera. Secondo Eset, PromptLock nasce come proof of concept, probabilmente sviluppato in ambito accademico – un’università statunitense ha rivendicato la paternità di alcuni campioni – ma la sua rilevanza non va sottovalutata. “Anche se è un prototipo – spiega Cherepanov – indica chiaramente la direzione che il cybercrime potrebbe prendere. Con l’aiuto dell’AI, non serve più un team di sviluppatori esperti: basta un modello configurato ad hoc per generare malware complessi e adattivi”. Questa prospettiva apre scenari inquietanti. L’uso dell’AI non si limita più alla scrittura di ransom note o al miglioramento del codice – come già documentato da altri report – ma si estende alla creazione dinamica di componenti malevoli, personalizzati per ogni vittima. “Il modello elimina ore di ricognizione manuale e decide in pochi secondi cosa è più redditizio fare in un sistema compromesso”, osserva il ricercatore.
Dal punto di vista difensivo, Eset ha già inserito PromptLock nelle proprie firme come Filecoder.PromptLock.A, ma l’esperienza mostra che i criminali potrebbero presto raffinare l’approccio, sviluppando versioni più veloci e difficili da individuare. “Oggi riusciamo a rilevarlo per la sua componente statica – specifica Cherepanov – Ma se in futuro anche quella dovesse diventare dinamica, la rilevazione sarebbe enormemente più complessa”. Il ricercatore sottolinea quindi la necessità di un approccio multilivello alla sicurezza. Antivirus ed Edr restano strumenti fondamentali, ma non sufficienti. Servono soluzioni Mdr e i servizi Xdr con una capacità di correlazione che permetta di individuare tentativi anomali prima che l’attacco si concretizzi. “La sicurezza è questione sempre più complessa. Gli attaccanti evolvono i loro modelli, e noi dobbiamo evolvere i nostri. L’unico modo per difendersi è guadagnare tempo e avere le competenze per rispondere”, chiude Cherepanov.
Eset, la visione strategica
A valle delle analisi di Ondrej Kubovic e Anton Cherepanov che evidenziano la dimensione tecnica della ricerca Eset – dalle operazioni di takedown al caso PromptLock – la prospettiva di Pavol Holeczy, VP of Emea Sales di Eset, apre il quadro di come l’azienda intenda tradurre questa capacità tecnologica in valore per i clienti europei e italiani. Secondo Holeczy, i trend che caratterizzano il mercato della cybersecurity in Italia non si discostano molto da quelli osservati nell’Europa occidentale. “Non vedo grandi differenze tra Italia e resto dell’Europa – sottolinea -. Le sfide e le urgenze sono le stesse, e ciò che conta nei prossimi cinque anni sarà la crescita dei servizi professionali e della formazione degli utenti”. Per questo l’evoluzione del business Eset passa per un rafforzamento dell’offerta di servizi gestiti. “Se devo scegliere l’aspetto più importante, è quello dei professional services – spiega -. Garantire ai clienti che il loro ambiente sia sotto il nostro controllo diretto è essenziale. E questo vale anche per mercati come l’Italia, dove la presenza locale e il supporto in lingua sono fondamentali”. Un secondo asse riguarda la formazione. “La sfida è convincere i clienti che la sicurezza non può essere ridotta a una checklist per ottenere un’assicurazione cyber. È qualcosa di reale, che richiede consapevolezza da parte di ogni dipendente”, aggiunge Holeczy. Per le aziende di medie dimensioni, in alcuni casi restie a investire per mancanza di percezione del rischio, il compito di Eset è proprio quello di trasformare la minaccia in consapevolezza concreta.
Un punto centrale riguarda il posizionamento di Eset tra mid-market ed enterprise. Storicamente forte nel segmento Smb, l’azienda sta progressivamente estendendo il focus verso clienti di dimensioni maggiori (e la fonte delle revenue lo documenta). “Non possiamo permetterci di scegliere tra mid-market ed enterprise – chiarisce il Vp – Abbiamo uno zoccolo consolidato di clienti costruito sulle Pmi, ma stiamo crescendo anche nelle grandi imprese, grazie a una divisione corporate capace di sviluppare soluzioni su misura”.
Questo approccio duale si riflette nella collaborazione con Msp e Mssp, sempre più cruciali per raggiungere i clienti di piccole e medie dimensioni, mentre per i grandi account Eset punta su soluzioni personalizzate e su un rapporto diretto supportato da un forte presidio di canale: “La nostra esperienza in Italia, per esempio, dimostra che più comunichiamo insieme ai partner, più il cliente finale percepisce il valore del nostro approccio”.
Un tema trasversale che collega la visione di Holeczy con le esperienze di Kubovic e Cherepanov è quello della sovranità digitale europea. “Il fatto di essere un’azienda privata, con la stessa proprietà da oltre trent’anni e radici europee, ci differenzia in modo evidente – sottolinea il manager -. Non c’è bisogno di chiedersi chi sia il nostro azionista o dove vadano i dati: la risposta è trasparente. E questo i clienti lo riconoscono sempre di più”. La dimensione etica, insieme alla capacità di offrire data center e servizi interamente basati nell’Unione Europea, è poi diventata un fattore competitivo di rilievo “e noi abbiamo costruito fiducia grazie alla trasparenza e all’approccio etico. È un valore che oggi viene percepito dal mercato come determinante”.
Sul piano tecnologico, l’evoluzione è chiara: oltre il 90% delle soluzioni b2b vendute da Eset è già cloud-based. “Non è solo una questione di seguire un trend. Il cloud ha vantaggi tangibili per i clienti. Continuiamo a offrire l’opzione on-premise, ma la direzione è quella di spostare quanto più possibile sulla nuvola”, prosegue Holeczy. Con un modello di go-to-market che resta però fortemente channel-first: “Siamo quasi al 100% un’azienda di canale. Se in rari casi vendiamo direttamente un servizio, si tratta di eccezioni locali, specifiche. La regola è passare attraverso partner, integratori e Mssp, che sono il nostro motore”.
A differenziare Eset dai competitor, secondo Holeczy, è la combinazione tra ricerca avanzata e un approccio prevention-first: “Abbiamo un’esperienza unica nel comprendere le minacce e nel rifletterla nelle nostre soluzioni – spiega -. E in ambienti multi-vendor, capita spesso che i sistemi protetti da Eset restino intatti, mentre altri vengano compromessi. Questo conferma che la nostra filosofia funziona”.
Alla strategia tecnologica si affianca quella della formazione, con programmi di training pensati per ogni livello aziendale. Tuttavia, Holeczy riconosce che la percezione del brand non è ancora pienamente allineata con l’effettiva forza tecnologica di Eset, ma specifica: “Non lo definirei un problema, ma un’opportunità. Fino a pochi anni fa eravamo percepiti soprattutto come vendor consumer. Oggi stiamo correggendo questa immagine, puntando su awareness specifica e sul valore del nostro canale”. Quanto alle prospettive di crescita, Holeczy non esclude il ricorso a acquisizioni per integrare nuove tecnologie, pur ribadendo la preferenza per lo sviluppo interno e le partnership. “Il tema è sempre sul tavolo – ammette. Finora non abbiamo trovato il giusto equilibrio tra esigenze strategiche e bisogno di rivolgerci al mercato per acquisire, ma non escludiamo nulla se la soluzione giusta arriverà al prezzo corretto”. Intanto si allunga la lista dei clienti che hanno scelto Eset che include nomi rilevanti in diversi settori – tra cui anche l’IT – per esempio Intel, Sap e Accenture. “Il nostro obiettivo – conclude Holeczy – è essere riconosciuti come partner tecnologico affidabile tanto per la Pmi italiana quanto per la multinazionale globale. La sicurezza è diventata una questione complessa: il nostro compito è renderla gestibile, scalabile e sostenibile”.
© RIPRODUZIONE RISERVATA
