IA e ransomware: una combinazione micidiale. Lo scenario della cybersecurity secondo Acronis

Anche nel 2025, la principale minaccia per la sicurezza delle imprese è rappresentata dal ransomware, in particolare per le aziende di medie e grandi dimensioni. A complicare il quadro la rapida adozione dell'IA generativa da parte dei gruppi di criminali informatici, che hanno rapidamente imparato a sfruttare questa tecnologia per automatizzare le campagne. Il phishing rimane il vettore iniziale in un attacco su quattro (25%) e sono incrementati del 22% gli attacchi mirati ai Managed Service Provider (MSP).

Sono i dati che emergono dall’Acronis Cyberthreats Report H1 2025, basati sui dati rilevati da oltre un milione di sensori della rete di sicurezza di Acronis.

Ransomware e phishing in aumento, MSP e manifatturiero sotto attacco e deepfake sempre più realistici. Le principali minacce nel 2025 secondo Acronis

A fine agosto Acronis ha reso disponibile l'ultima versione del proprio report sulla cybersecurity, un'analisi basata sui dati raccolti dai sensori dell'azienda nei primi sei mesi del 2025. Un report dal quale emerge che il ransomware è ben lungi dal rallentare: gli attacchi mirati all'estorsione continuano a crescere vertiginosamente.In particolare contro gli MSP: Acronis in sei mesi ha rilevato 3.642 incidenti informatici contro questa tipologia di aziende, registrando un incremento del 70% rispetto al precedente anno, a livello globale.   

Fra i Paesi più colpiti la Germania, con 179 attacchi ogni 10.000 workload, seguita da Giappone (119), Canada (106) e Italia (19). 

Passando ai settori, Acronis indica la manifattura come il bersaglio preferito dai criminali informatici. Questo comparto rappresenta il 15% di tutti gli incidenti rilevati, seguito da retail e alimentare (12%) e IT/telco/media (10%).

Analizzando nello specifico gli attacchi ai MSP, il principale vettore di accesso è il phishing, utilizzato nel 52% dei casi, seguito da vulnerabilità non ancora corrette (27%) e utilizzo di credenziali sottratte o compromesse (13%), Gli attacchi tramite RDP (Remote Desktop Protocol) rappresentano invece una minoranza: sono solo il 3%, sempre riferendosi agli MSP. 

Sempre più attacchi fanno leva sull'IA

Che l'IA sia utilizzata per automatizzare e potenziare campagne di phishing e realizzare deepfake non è una novità. Quello che cambia, però, è l'approccio, in particolare per quanto riguarda gli attaccanti più sofisticati, quelli che si ritiene legati a entità governative.

Gli attaccanti, infatti, non si limitano a cercare di sabotare i sistemi, ma mirano a infiltrarsi nelle imprese che sviluppano soluzioni di IA, cercando di farsi assumere come sviluppatori da grandi aziende tech negli USA o nell'UE e utilizzando deepfake per mascherare la loro identità. Acronis ha stimato in circa 150 gli infiltrati della Corea del Nord. Infiltrati che oltre a tentare sabotaggi dall'interno, ricevono anche degli stipendi, utilizzati per finanziare il programma di armamenti della Repubblica Popolare Democratica di Corea (DPRK).

Non usate DeepSeek

DeepSeek continua a fare discutere. L'IA superottimizzata sviluppata in Cina, che per un periodo ha fatto tremare i big USA per la sua grande ottimizzazione, è infatti considerata poco sicura. Non solo il modello è vulnerabile ad attacchi di tipo prompt injection, che consentirebbero a un attaccante di estrarre informazioni riservate e manipolare le risposte, ma anche le semplici comunicazioni sono protette in maniera inadeguata. Secondo Acronis, l'app mobile invia dati non cifrati ai server di Bytedance (che è uno degli intermediari che gestisce i dati di DeepSeek). Va detto che in Italia l'app non è più disponibile, ma DeepSeek rimane accessibile tramite sito, nonostante gli svariati richiami a rispettare le norme UE da parte del Garante della Privacy.

Attenzione al controllo remoto

Gli strumenti di Remote Monitoring and Management (RMM), nati per semplificare la gestione IT da remoto, si stanno trasformando in un’arma privilegiata per i criminali informatici. Secondo diverse fonti, piattaforme diffuse come Splashtop, ConnectWise ScreenConnect e Atera sono finite ripetutamente nel mirino degli attaccanti e sfruttate in intrusioni reali. L’elenco degli strumenti presi di mira è lungo e comprende nomi noti. SimpleHelp RMM, ad esempio, è stato utilizzato da diversi gruppi ransomware – incluso il collettivo Play – per colpire aziende attraverso la vulnerabilità CVE-2024-57727, ottenendo accesso remoto ed eseguendo comandi malevoli funzionali alla distribuzione di ransomware e al furto di dati sensibili.

TeamViewer figura invece come lo strumento MSP con il più alto numero di vulnerabilità critiche riscontrate dai clienti Acronis: il 4,56% degli utenti globali è stato interessato da patch urgenti, e lo stesso software è stato sfruttato per diffondere ransomware.

Anche AnyDesk viene considerato ad alto rischio, tanto che l’aggiornamento tempestivo delle patch è ormai una priorità assoluta per chi lo utilizza. Il vantaggio per gli aggressori è evidente: infiltrandosi attraverso gli RMM, possono confondersi con le normali attività amministrative, eludere i sistemi di difesa degli endpoint e installare in modo silenzioso payload malevoli. Una tecnica che rientra nelle strategie di “living off the land” (LotL), cioè l’abuso di applicazioni affidabili e già presenti nell’infrastruttura IT, al posto di file sospetti che potrebbero essere bloccati dai sistemi di sicurezza. Una volta ottenuto l’accesso, gli attaccanti possono disattivare i backup, propagare ransomware su più dispositivi e causare danni ingenti, spesso senza generare allarmi immediati.