Attacchi con l'IA e contro l'IA: il panorama della sicurezza cyber secondo Acronis

Acronis ha reso disponibile il suo report sullo stato della cybersecurity relativo al secondo semestre 2024, intitolato "La diffusione delle minacce basate sull’intelligenza artificiale". Come suggerisce il nome, il focus principale è sull'intelligenza artificiale che, come noto, sempre più spesso viene usata per potenziare e rendere più efficaci le campagne di malware. Ma l'IA non viene solo usata come arma: le infrastrutture per l'IA, così come l'intera supply chain, sono sotto attacco.

Cybersecurity: cosa è successo nella seconda metà del 2024?

Il vettore di attacco più diffuso, come ormai da anni, rimane l'email, usata di sovente per attacchi di tipo phishing: rappresenta il 33% di tutti gli incidenti informatici rilevati dai sensori di Acronis. Al secondo posto (22%) gli attacchi a RDP, Remote Desktop Protocol, usato per controllare da remoto server ed endpoint di vario tipo. Seguono attacchi che sfruttano vulnerabilità non corrette (19%).

Questi dati però sono solamente parziali, e non offrono uno spaccato su come si sta evolvendo il cybercrimine. Fra gli aspetti maggiormente evidenziati da Acronis l'incremento di attacchi contro gli MSP (Managed Service Provider), sempre più presi di mira dagli APT. Il motivo è facilmente intuibile: violando le protezioni di un MSP, è possibile colpire con facilità un numero elevato dei suoi clienti.

IA sotto attacco

La parte più interessante del report è indubbiamente quella sugli attacchi tramite IA e contro l'IA. Dall'uscita di ChatGPT i criminali informatici hanno iniziato a sfruttare l'intelligenza artificiale per potenziare i propri attacchi, utilizzandola sia per creare nuovi malware in grado di sfuggire ai controlli dei sistemi di sicurezza, sia per confezionare campagne di phishing molto mirate.

Alcuni esempi concreti arrivano dall'APT TA547 (Scully Spider), che ha utilizzato un loader PowerShell generato tramite IA per distribuire l'infostealer Rhadamanthys. SweetSpecter, invece, un gruppo di criminali informatici cinese, ha fatto leva sull'IA per confezionare attacchi di phishing mirati ai dipendenti dei OpenAI, cercando di superare le difese della nota azienda.

Qualcuno potrebbe rimanere colpito dal fatto che vengano usati LLM per creare malware: in teoria, infatti, i guardrail inseriti dentro questi sistemi dovrebbero impedire all'IA di generare risposte pericolose. Questo è vero, ma bisogna tenere conto del fatto che i criminali non usano strumenti come ChatGPT per questo, ma si appoggiano ai cosiddetti "malla", LLM "sbloccati", ai quali sono state tolte le limitazioni. Alcuni esempio sono WormGPT, FraudGPT e DarkBERT.

Preoccupano anche gli attacchi alla supply chain dell'intelligenza artificiale: un esempio recente è quello di un grippo di criminali non meglio identificato che ha caricato pacchetti dannosi nel repository Python Package Index (PyPI), facendosi passare per modelli di AI molto diffusi come ChatGPT e Claude. Questi pacchetti, il cui download è stato eseguito migliaia di volte, contenevano un infostealer Java chiamato JarkaStealer. Dopo l'installazione, il malware ha sottratto dati sensibili, tra cui informazioni sul browser web e token di sessione.

Proprio per questo motivo Acronis ha aggiornato le proprie soluzioni di sicurezza, includendo funzionalità di monitoraggio proattivo e rilevamento delle minacce basato su IA.

La situazione in Italia

L'Italia è storicamente uno dei Paesi maggiormente presi di mira dai criminali informatici, prevalentemente per due motivi: le competenze digitali inferiori alla media di altri Paesi, e sorpattutto il tessuto produttivo fatto da numerose PMI, aziende che spesso non hanno le risorse per proteggere al meglio i propri sistemi. Non stupisce, di conseguenza, che a dicembre l'Italia abbia registrato la terza percentuale più elevata di rilevamenti di malware, preceduta da Emirati Arabi Uniti e Singapore.

Ci sono anche buone notizie: se a livello globlale il ransomware è crescito del 54,4%, in Italia si è assistito a un calo del 20% rispetto al precedente anno, classificandosi quinta per questo tipo di attacchi dopo USA, UK, Canada e Germania. Nel Bel Paese Calano del 17,4% anche i rilevamenti di URL pericolosi, contro un incremento del 7% a livello mondiale. Infine, una notizia inaspettata: secondo Acronis, l'ltalia è al vertice nell'lndice di Cybersicurezza Globale 2024 dell'lTU (ONU). È stata infatti inserita nella categoria "Role-Modeling" con 20 punti in tutti i pilastri. Tra i 194 paesi analizzati, I'ltalia è nel gruppo Tier-I, insieme a Regno Unito, Spagna, Germania, Francia e Grecia.

"Il report sulle minacce informatiche pubblicato dall'Acronis Threat Research Unit fornisce un'analisi semestrale sulla cybersecurity e offre spunti di riflessione sulle recenti tendenze degli attacchi e sulle vulnerabilità", dichiara Gerald Beuchelt, CISO di Acronis. "In particolare, quest’ultimo aggiornamento pone in evidenza l’allarmante aumento degli attacchi generati dall'AI e la crescente sofisticazione delle campagne ransomware. I trend analizzati e le raccomandazioni riportate nel report forniscono alle organizzazioni, agli MSP e all'intero settore della cybersecurity, gli strumenti per potenziare in modo proattivo le misure di difesa, anticipando i rischi più immediati".