Barracuda full logo

Le operazioni di sequestro di cybercrime più interessanti del 2025

Argomenti:
3 dic 2025
|
Andrew Sanders

Come gli insider fidati sono diventati una delle maggiori minacce per la sicurezza informatica dell'anno

Conclusioni

  • Le operazioni di contrasto al crimine informatico più rilevanti del 2025 rivelano un passaggio dalle minacce esterne agli insider dannosi come principale preoccupazione per la sicurezza informatica.
  • Dipendenti fidati con accesso privilegiato, inclusi diversi esempi di alto profilo nel 2025, hanno sfruttato le loro posizioni per vendere informazioni sensibili a criminali informatici.
  • Gli sforzi delle forze dell'ordine sono stati efficaci nell'arrestare un numero considerevole di criminali informatici, ma le minacce interne restano particolarmente difficili da rilevare e prevenire.
  • Le organizzazioni devono riconoscere che nessun dipendente è al di sopra di ogni sospetto e dovrebbero rafforzare i protocolli di sicurezza interni per mitigare i rischi interni.

Ogni anno sembra portare con sé la "più grande violazione dei dati della storia". Ma, in un incoraggiante cambiamento degli eventi, sempre più attaccanti tra i più prolifici al mondo vengono catturati e arrestati. Il 2024 ha visto una violazione dei dati da record che ha compromesso oltre 2,9 miliardi di file sensibili in tutto il mondo, ma ha visto anche il rapido arresto della persona responsabile, un attaccante che si faceva chiamare USDoD. Un nuovo trend mostra che le violazioni dei dati da minacce esterne potrebbero essere l'ultimo dei tuoi problemi, però.

Ecco il problema: le più interessanti operazioni di smantellamento informatico del 2025 indicano una tendenza più preoccupante. Gli individui più prominenti presi di mira dalle forze dell'ordine quest'anno non sono esterni malevoli o attori statali. Invece, sono interni — esperti fidati che hanno deciso di rinunciare all'etica e utilizzare la loro competenza per guadagnare denaro infrangendo la legge.

L'uomo interno: un dirigente della difesa ha venduto segreti informatici

L'appaltatore della difesa L3Harris vale 21 miliardi di dollari in entrate e impiega quasi 50.000 persone in tutto il mondo. Vendono di tutto, dai droni sottomarini autonomi all'ottica satellitare. La loro divisione di sicurezza informatica, Trenchant, è specializzata nello sviluppo di strumenti di penetrazione per il governo degli Stati Uniti e gli alleati. Hanno anche imparato una lezione dolorosa: anche i dipendenti più fidati potrebbero rappresentare una minaccia interna.

Peter Williams, precedentemente direttore generale presso Trenchant, si è recentemente dichiarato colpevole di aver venduto materiale sensibile ad attori statali, incluso il governo russo. Questo materiale consisteva in otto exploit zero-day precedentemente sconosciuti, che avrebbero permesso ai suoi proprietari di compromettere e spiare sistemi come smartphone e browser web.

Secondo Techcrunch, Williams è riuscito a utilizzare il suo permesso da "super utente" per accedere a questo materiale — che normalmente risiedeva su sistemi sicuri e isolati — e poi trasferirlo su un hard disk personale. Dopo che le organizzazioni furono allertate che il loro codice veniva trapelato, Williams fu messo a capo dell'indagine e utilizzò questo potere per incastrare un altro dipendente.

Questo episodio dimostra che nella sicurezza informatica non esiste un dipendente che possa essere considerato al di sopra di ogni sospetto.

Il negoziatore di ransomware diventa attore di minacce

L'aumento di ransomware ha portato a un nuovo lavoro unico nel campo della sicurezza informatica. I negoziatori di ransomware parlano direttamente con gli attaccanti di ransomware dopo un'operazione di crittografia riuscita. Il loro lavoro consiste nel cercare di ridurre il pagamento complessivo del riscatto e, se necessario, ottenere supporto tecnico per garantire una decrittazione e un recupero dei file senza problemi.

I gruppi di minacce sono fortemente incentivati a lavorare a stretto contatto con i negoziatori. Se acquisiscono una reputazione di facilità negli affari, è più probabile che i loro obiettivi paghino un riscatto. Ma cosa succede quando un negoziatore di ransomware decide di lavorare per l'altra parte?

Un'accusa recentemente svelata da un gran giurì rivela che un responsabile della risposta agli incidenti e un negoziatore di ransomware sono stati accusati di aver utilizzato un ceppo di malware noto come ALPHV/BlackCat per prendere di mira ed estorcere vittime. In un caso, i collaboratori hanno estorto con successo un pagamento di 1,3 milioni di dollari da un produttore di dispositivi medici.

Anche se non ci sono prove che il negoziatore abbia utilizzato risorse della sua azienda per condurre attacchi, l'implicazione è preoccupante. Il responsabile della risposta agli incidenti in questo caso è stato ispirato a commettere attacchi ransomware per uscire dai debiti. Quali misure si stanno adottando per impedire ai professionisti della sicurezza informatica di essere attratti dal lato oscuro da grandi stipendi?

Rete di frode da €300 milioni smantellata dalla cooperazione internazionale

In notizie più promettenti, una operazione internazionale congiunta ha recentemente smantellato un'organizzazione multinazionale di frode con carte di credito che operava tra il 2016 e il 2021. Il gruppo operava creando abbonamenti fasulli con carte di credito, ciascuno individualmente inferiore a €50 al mese, prendendo di mira alla fine 19 milioni di clienti in quasi ogni paese del mondo.

La notizia meno incoraggiante è che almeno cinque dei 18 sospetti arrestati erano dipendenti e dirigenti presso importanti fornitori di servizi di pagamento. Queste persone hanno sfruttato la loro conoscenza dei sistemi a cui avevano accesso per poter nascondere transazioni fraudolente, riciclare denaro e distribuire i loro guadagni tramite una serie di società di comodo.

È interessante notare l'uso delle cosiddette aziende di "crime as a service" come parte dell'operazione illegale. Sebbene molte di queste organizzazioni siano create per fornire ransomware o attacchi denial-of-service, quelle utilizzate in questo schema hanno creato reti finanziarie difficili da tracciare come parte di un'operazione chiavi in mano. La creazione di reti di società di comodo ha reso quasi impossibile per i singoli consumatori scoprire esattamente dove stava andando il loro denaro.

Il 2025 è stato l'anno della minaccia interna?

Potresti aver notato un filo conduttore negli ultimi tre esempi. Nei più importanti smantellamenti informatici di quest'anno, professionisti esperti della sicurezza informatica ed esperti del settore dei pagamenti hanno collaborato con attori malintenzionati per guadagnare milioni.

  • Veterani dell'industria dell'intelligence hanno cospirato con broker di exploit russi
  • I negoziatori di ransomware hanno cospirato con gli operatori di ransomware-as-a-service
  • I dirigenti dell'industria dei pagamenti hanno utilizzato riciclatori di denaro professionisti.

Perché così tanti professionisti della sicurezza stanno improvvisamente cambiando schieramento? La risposta va oltre lo scopo di questo articolo (ma ho un'idea). Nel frattempo, questo sottolinea il fatto che anche l'insider più fidato non può essere al di sopra di ogni sospetto. Ora più che mai, le aziende devono implementare soluzioni di controllo degli accessi e di monitoraggio che possano segnalare le attività sospette che caratterizzano le minacce interne.

Con Barracuda, puoi aiutare a monitorare la tua rete per il tipo di comportamento che indica un insider che diventa canaglia. Che il loro account sia stato compromesso o che siano stati attirati da una tangente, Barracuda Managed XDR può aiutare a segnalare trasferimenti e cancellazioni di file inaspettati che possono indicare il furto di IP critici o un tentativo di coprire una transazione fraudolenta. Pianifica una conversazione con i nostri esperti e scopri come puoi evitare la prossima violazione interna.

Blocca le minacce con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Andrew Sanders

Andrew Sanders è un esperto copywriter su argomenti di tecnologia e sicurezza delle informazioni. Ha lavorato in precedenza con Gradient Cyber, Privitar (ora Informatica) e SentinelOne.

Post correlati:
Avviso FBI sul quishing avverte di una campagna di spear-phishing nordcoreana
Avviso FBI sul quishing avverte di una campagna di spear-phishing nordcoreana
 Il ransomware Qilin aumenta nel 2026
Il ransomware Qilin aumenta nel 2026
 Crimine informatico nel 2026: più veloce, più intelligente e completamente industrializzato
Crimine informatico nel 2026: più veloce, più intelligente e completamente industrializzato
 Fuori tema: CISA avverte di attacchi sofisticati di spyware
Fuori tema: CISA avverte di attacchi sofisticati di spyware
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.