Il ransomware diventa robotico: l’IA trasforma il cybercrimine in una catena di montaggio globale

L’epoca degli hacker umani curvi sulle tastiere sta svanendo. Nel 2025, i cybercriminali hanno scatenato una nuova razza di ransomware - più veloce, più intelligente e quasi interamente gestita dall’intelligenza artificiale. Il risultato? Un impressionante totale di 7.831 vittime di ransomware nel mondo, mentre l’estorsione digitale si trasforma in un’operazione incessante su scala industriale.

L’industrializzazione del cybercrimine

Dimenticate l’hacker solitario. Oggi il cybercrimine è un business efficiente e multilivello, alimentato dall’IA e sostenuto da una vasta catena di fornitura sotterranea. Gli attaccanti ora impugnano strumenti come WormGPT, FraudGPT e BruteForceAI - piattaforme guidate dall’IA che automatizzano tutto, dalla ricognizione all’esecuzione. Con questi, anche i dilettanti possono lanciare attacchi sofisticati, mentre i cybercriminali esperti operano su una scala un tempo riservata alle multinazionali.

I numeri sono da capogiro. FortiGuard Labs riporta che gli incidenti ransomware sono aumentati di quasi il 389% su base annua, rispetto ai 1.600 casi del 2024. E non è solo una questione di volume - la velocità è la nuova arma. Nel 2025, gli attaccanti possono sfruttare vulnerabilità appena divulgate entro 24–48 ore, un crollo drastico rispetto alla precedente media di quasi cinque giorni. Alcuni attacchi, come quelli sulla vulnerabilità React2Shell, sono iniziati nel giro di poche ore.

IA: il grande livellatore

L’IA non si limita ad accelerare le cose - rende gli attacchi più intelligenti. Strumenti come HexStrike AI automatizzano la caccia ai punti deboli, mentre BruteForceAI usa modelli linguistici per indovinare password con un’accuratezza inquietante. Versioni potenziate di WormGPT e FraudGPT creano esche di phishing quasi perfette e script di ingegneria sociale. I forum underground pubblicizzano apertamente questi strumenti, vendendoli al miglior offerente e abbassando la soglia tecnica per gli aspiranti attaccanti.

Le conseguenze sono globali. Il manifatturiero ha sofferto di più, con 1.284 vittime di ransomware, seguito dai servizi alle imprese (824) e dal retail (682). I soli Stati Uniti hanno registrato 3.381 incidenti, a dimostrazione di come la ricchezza digitale attiri lupi digitali.

Cloud sotto assedio

Non tutti gli attacchi coinvolgono ransomware appariscenti. Il furto di credenziali è ora la principale causa delle violazioni del cloud. I malware infostealer - come RedLine, Lumma e Vidar - raccolgono dati di accesso, cronologie del browser e token di sessione a milioni. Gli attaccanti ora preferiscono gli “stealer log”, pacchetti di credenziali abbinati al contesto, rendendo le acquisizioni di account più rapide ed efficaci. È interessante notare che, mentre i tentativi di brute force sono diminuiti del 22%, l’IA li ha resi più precisi, puntando ad account di alto valore e riuscendo più spesso con meno tentativi.

I difensori inseguono

Le forze dell’ordine e le aziende di cybersecurity si affannano per tenere il passo. Operazioni come “Red Card 2.0” di INTERPOL hanno colpito l’infrastruttura criminale, e iniziative come Cybercrime Atlas mirano a mappare le reti tentacolari dietro questi attacchi. Eppure la lezione è chiara: mentre l’IA accelera la corsa agli armamenti, i difensori devono eguagliare il ritmo - o rischiare di essere lasciati indietro.

In questa nuova era, il cybercrimine non è più un’operazione da retrobottega. È un’industria ad alta velocità guidata dall’IA - che sta costringendo il mondo a ripensare cosa significhi davvero sicurezza digitale.

TECHCROOK

Fortinet FortiGate è un firewall/UTM perimetrale pensato per ridurre l’impatto di ransomware e furto credenziali, temi centrali negli attacchi automatizzati descritti nell’articolo. Integra ispezione del traffico, IPS per bloccare exploit noti, filtraggio web e controllo applicazioni, con funzioni di segmentazione per limitare il movimento laterale in rete. Le opzioni di VPN (IPsec/SSL) aiutano a proteggere l’accesso remoto, mentre la gestione centralizzata e i log facilitano risposta agli incidenti e hunting. È adatto a PMI e filiali, con modelli dimensionati per throughput e numero di utenti, e supporto a policy granulari per ambienti cloud-ibridi. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
• Tempo: Il tempo nella cybersecurity significa registrare quando avvengono gli eventi, consentendo l’analisi dei modelli di attività e l’individuazione di comportamenti sospetti o non autorizzati.
• Malware infostealer: Il malware infostealer è un software malevolo che raccoglie di nascosto informazioni sensibili, come password e dati finanziari, dai computer infetti.
• Brute: Un attacco brute force è un metodo di hacking automatizzato in cui gli attaccanti provano molte password o chiavi finché non trovano quella corretta per ottenere accesso non autorizzato.
• Stealer log: Uno stealer log è un file contenente dati rubati da malware infostealer, spesso venduto o scambiato nei mercati del cybercrimine per usi malevoli.