Il report Yarix 2025 e l’assedio permanente alla sicurezza: +56%

lo Yarix Report 2025 rivela un aumento esponenziale degli attacchi informatici, con ransomware, hacktivismo e AI protagonisti. Manifatturiero e IT i settori più colpiti. Cresce la risposta difensiva.

 

Arriva lo Y-report 2025, Yarix, la divisione per la cybersecurity di Var Group, ha aperto il suo annuale “libro delle invasioni” – il report Yarix 2024 – mostrando con numeri, storie e tendenze perché la sicurezza informatica non è (più) un problema IT, ma il baricentro stesso della sopravvivenza digitale delle imprese.

“Ci immaginiamo il cybercriminale come un ragazzino in una cameretta. La verità è che dietro gli attacchi ci sono organizzazioni strutturate, con economisti che negoziano riscatti e analisti che studiano i bilanci aziendali meglio dei CFO.” Lo dice Mirko Gatto, Head of Cybersecurity di Var Group e fondatore di Yarix, ma lo raccontano anche i numeri: i riscatti chiesti oggi superano facilmente i 10 milioni di dollari. Una cifra che fa tremare non solo i budget, ma anche le coscienze.

Il nemico è evoluto, più spregiudicato e sofisticato. Parla il linguaggio delle PMI, conosce le falle normative e sfrutta ogni possibilità. “La vostra avidità vi ucciderà”, ha detto un attaccante a una vittima. Il cinismo è lucido, chirurgico, privo di remore.

Il SOC Yarix compie dieci anni

Il Security Operation Center di Yarix ha compiuto 10 anni. E se fosse un soldato, avrebbe le medaglie di guerra: 1.300.000 attacchi monitorati, e 320.000 attacchi sventati, con un’impennata nel solo 2024 del +56% rispetto all’anno precedente.

Marco Iavernaro, Global SOC Manager di Var Group, ha mostrato numeri che parlano chiaro: il 2024 ha registrato 485.000 eventi di sicurezza, con un aumento del 170% degli incidenti critici. Gli attacchi non scelgono più i bersagli per settore, ma per vulnerabilità. È pesca a strascico: si lancia la rete e si decide se vale la pena affondare i denti.

Nessuno è al sicuro. Nemmeno chi crede di esserlo

“Non c’è un settore al sicuro”, spiega Iavernaro. La manifattura, l’IT, la sanità… tutti finiscono nel mirino. E se le banche sembrano meno esposte, è solo perché sono partite prima nella corsa alla sicurezza, con più soldi e normative più stringenti.

Nel frattempo, l’industria si è digitalizzata senza proteggersi: controlli remoti, IoT, robotica avanzata. È la cosiddetta “tecnologia senza cintura”. Si corre veloci, ma al primo schianto, non ci si salva.

Cyber Intelligence

Diego Marson, Chief Security Officer di Yarix, ha tracciato la mappa dell’intelligence. I numeri sono impressionanti: oltre 3.300 alert significativi segnalati ai clienti nel solo 2024. Riguardano fughe di dati, vulnerabilità, domini fake registrati per phishing. La realtà è questa: l’attacco non parte quando ce ne accorgiamo, ma molto prima, nei mercati neri, nei domini civetta, nei data leak di cui nessuno parla finché non è troppo tardi.

E poi c’è un altro numero: 900 milioni di credenziali trafugate raccolte globalmente. Un mare oscuro di password, identità e accessi compromessi. Un pozzo avvelenato da cui gli attaccanti attingono con facilità disarmante.

Il team d’élite di incident response – “gli incursori” li ha chiamati Marson – ha gestito 146 incidenti nel 2024, di cui 108 ransomware. Il più colpito? Sempre lui: il manifatturiero. L’industria che ha corso veloce sulla digitalizzazione produttiva, ma ha lasciato aperta la porta sul retro.

L’intelligenza artificiale: arma a doppio taglio

 

E poi c’è lei, l’ospite inevitabile, l’elefante in ogni stanza IT: l’intelligenza artificiale. Marco Iavernaro ne ha parlato come di un alleato indispensabile. Hyperautomation, anomaly detection, riduzione dei falsi positivi. Oggi l’AI aiuta il SOC a risparmiare fino all’80% del tempo nella gestione degli alert. Ma c’è un però.

Gli attaccanti usano l’AI allo stesso modo. L’infrastruttura di un malware oggi può includere moduli generativi che dialogano con LLM per adattarsi, ingannare, colpire con più precisione. E allora la domanda resta: chi è in vantaggio?

“La prima mossa è sempre dell’attaccante”, ha detto Iavernaro. E ha ragione. Difendere tutto mentre l’altro deve trovare solo un varco è una partita in salita. Ma arrendersi non è un’opzione. Perché oggi, in gioco, c’è molto più che il perimetro IT: c’è la continuità stessa del business, la fiducia dei clienti, la reputazione sul mercato.

Una nuova cultura della sicurezza

Il vero nodo non è solo tecnologico. È culturale. È il mindset con cui le aziende decidono – o non decidono – di investire in sicurezza. Le normative europee stanno arrivando, ma come ricordava un famoso giurista, “la legge arriva sempre in ritardo”. E allora serve visione, serve consapevolezza, serve strategia.

La sicurezza non è un costo. È un investimento. Non è un problema tecnico. È un asset strategico. Non è un tema per pochi. È una responsabilità collettiva.

 

I dati: un attacco ogni 65 secondi

Nel 2024, il Security Operation Center (SOC) di Yarix ha analizzato oltre 485.000 eventi di sicurezza, segnando un incremento del +56% rispetto al 2023. Una cifra che da sola racconta la crescita della minaccia digitale. Ma ciò che preoccupa di più è la qualità degli attacchi: 141.000 eventi si sono evoluti in veri e propri incidenti di sicurezza (+70%), con un incremento del 269% di quelli di gravità critica.
Un attacco ogni 65 secondi. E ogni giorno, in media, più di mille segnali di pericolo.

Manifattura e IT nel mirino

Due settori in particolare risultano martoriati:

• Il Manifatturiero (12,5%) il più vulnerabile digitale, per dispositivi obsoleti, impianti connessi e sedi produttive decentrate, spesso prive di governance strutturata.
• L’IT (11,8%), paradossalmente tra i più digitalizzati, paga l’esposizione dei servizi e la delicatezza dei dati gestiti.

La distribuzione degli attacchi, tuttavia, è democratica nella sua brutalità. Nessuno è al sicuro.

 

Yarix report 2024: ransomware e affiliazioni low cost

Il ransomware continua a dominare la scena. Nel 2024, 4.721 eventi ransomware sono stati mappati a livello globale (+5,5%), con il 54% rivolti alle PMI. A spiccare tra i 92 gruppi attivi c’è RansomHub, responsabile da solo del 9,8% degli attacchi.

L’Italia non resta a guardare: è il 4° Paese più colpito al mondo, superando la Germania. Le aziende più bersagliate?

• Manifattura (32,5%)
• Consulenza (9%)
• IT (7,5%)
• Trasporti (7,5%)
• Costruzioni (6,5%)

Le regioni più colpite? Lombardia, Emilia-Romagna, Veneto. I soliti snodi della produttività italiana, oggi diventati vulnerabili anche sul piano digitale.

Quando l’attacco è politico: la nuova era dell’hacktivismo

La cyberwar non è più solo una guerra criminale per accaparrarsidei soldi, ma anche una guerra di ideologie. L’Italia è stata il 5° paese più bersagliato dagli hacktivisti nel 2024. I motivi?

• Il sostegno a Kiev nel conflitto Russia-Ucraina.
• Il supporto a Israele nel conflitto con Hamas.
• La partecipazione al G7 (soprattutto quello da Kiev).

Dietro gli attacchi, 97 gruppi hacktivisti mappati, con il collettivo filorusso NoName057 che da solo ha firmato oltre il 55% delle azioni nei settori Energia, Sanità, Finanza e Logistica.

Ma non solo Russia: l’Asia-Pacifico è in fermento. Dalle tensioni tra India e Pakistan al cyber-sostegno per la causa palestinese, ogni conflitto ha il suo braccio digitale. I DDoS non sono più solo attacchi: sono messaggi geopolitici, vendette digitali, sabotaggi silenziosi.

AI: l’arma che usano tutti (ma che non tutti sanno usare)

Il 2024 è stato l’anno in cui l’intelligenza artificiale è diventata pienamente operativa su entrambi i fronti. Gli attaccanti l’hanno usata per:

• generare script malevoli in automatico
• creare malware più rapidamente, anche da parte di attori inesperti
• cancellare le tracce dopo un attacco
• disabilitare i software di difesa (EDR Killer, +333%)
• usare driver legittimi con vulnerabilità (BYOVD) per aprire la strada al malware

Contemporaneamente, i difensori hanno risposto con tecnologie come Egyda, la piattaforma AI di Yarix, che ha ridotto del 50% il tempo medio di risposta agli eventi grazie a hyperautomation e machine learning.

Un cambio di paradigma epocale. Non si tratta più di capire “se” l’AI verrà usata, ma solo “chi” la userà meglio.

Nel 2024, il team di Incident Response ha gestito 146 compromissioni di sicurezza, in aumento del +75,9% rispetto all’anno precedente.
La maggior parte riguarda ransomware. La modalità? Colpire, criptare, chiedere un riscatto milionario. A volte in Bitcoin. A volte con una mail. Sempre con una pressione psicologica spietata.

Gli “incursori” di Yarix agiscono come forze speciali: entrano, isolano, ripuliscono. Ma spesso si trovano di fronte a un’infrastruttura devastata, e a una verità amara: la sicurezza non è mai stata una priorità, fino a che non è diventata una tragedia.

Tendenze osservate

Tra le principali tendenze osservate dal team di Yarix nel 2024:

• Adozione di strumenti personalizzati per la compromissione dei sistemi e impiego di diversi metodi per criptare i dati, rendendo più difficile il recupero.
• Abbassamento della soglia di selezione nei processi di affiliazione da parte di gruppi come Akira, LockBit e BlackBasta, con un livello di competenze eterogeneo tra i loro affiliati.
• Aumento del 333% di malware progettati per neutralizzare i controlli di sicurezza, con diffusione di “EDR Killer” per disabilitare i software di sicurezza sugli endpoint.
• Adozione di metodi sofisticati come il “Bring Your Own Vulnerable Driver” (BYOVD), che installa sul sistema bersaglio un driver legittimo ma contenente vulnerabilità.