Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Akamai ha pubblicato il suo rapporto annuale sullo stato di Internet, dedicato ad applicazioni, API e attacchi DDoS, documentando un significativo cambiamento nelle tattiche degli aggressori. Il dato principale emerso è chiaro: gli attacchi sono diventati più sistematici, più economici da scalare e strettamente legati all’infrastruttura attraverso cui le aziende creano servizi digitali e implementano l’intelligenza artificiale.
Le API sono al centro di questa pressione. Mentre fino a poco tempo fa molte aziende le consideravano un elemento secondario di difesa, ora stanno diventando sempre più il principale punto di accesso. I ricercatori osservano che gli aggressori si affidano sempre meno a campagne isolate e di alto profilo, finalizzate alla pubblicità e all’impatto sulla reputazione.
Gli attacchi sono molto più spesso strutturati come operazioni ben organizzate, che combinano l’abuso delle API , attacchi alle applicazioni web e attacchi DDoS al Livello 7 del modello OSI, ovvero a livello di applicazione. Questo approccio non solo interrompe la disponibilità dei servizi, ma aumenta anche i costi infrastrutturali della vittima. Più le aziende investono in intelligenza artificiale e automazione digitale, più gli aggressori sono disposti a prendere di mira le interfacce e i servizi che ne sono alla base.
Le statistiche di un nuovo rapporto mostrano che non si tratta più di picchi isolati. Negli ultimi due anni, il numero di attacchi DDoS di livello 7 è cresciuto del 104%. Il numero di attacchi alle applicazioni web è aumentato del 73% tra il 2023 e il 2025. Il numero medio di attacchi giornalieri alle API è balzato del 113% su base annua. Akamai cita anche i risultati di un sondaggio condotto tra le organizzazioni: l’87% dei partecipanti ha dichiarato di aver subito almeno un incidente di sicurezza correlato alle API nel 2025. Questi dati dimostrano che le API hanno da tempo cessato di essere un argomento tecnico di nicchia per gli sviluppatori e sono diventate una vera e propria difesa.
Secondo Akamai, anche la logica degli attacchi sta cambiando. Gli aggressori cercano sempre più non solo di violare la sicurezza e rubare dati, ma anche di degradare i servizi, rallentare le applicazioni, aumentare i costi di elaborazione e sfruttare l’automazione dell’IA a proprio vantaggio. Questo modello è vantaggioso per gli aggressori per diversi motivi. In primo luogo, l’automazione riduce i costi di preparazione. In secondo luogo, gli script preconfezionati consentono di ripetere rapidamente le stesse azioni su obiettivi diversi. In terzo luogo, gli attacchi alle API e alle applicazioni web spesso generano significativi profitti anche senza il tradizionale attacco informatico di alto profilo.
Il report evidenzia un altro problema: la sicurezza delle applicazioni e la sicurezza delle API non possono più essere considerate separatamente nella pratica. Molte aziende gestiscono ancora questi ambiti come due compiti distinti, con strumenti, team e aree di visibilità separati. Questa impostazione crea inevitabilmente delle lacune nel controllo. Per un malintenzionato, proprio questi punti ciechi diventano un comodo punto di ingresso, perché in un attacco reale, l’applicazione web e l’API vengono tipicamente utilizzate come un unico vettore.
Il documento contiene anche diverse osservazioni aggiuntive che illustrano chiaramente dove si sta spostando il rischio. Una di queste riguarda il cosiddetto “vibe coding”, ovvero la scrittura di codice a ritmo accelerato, spesso con un forte ricorso a strumenti di intelligenza artificiale e senza un’adeguata disciplina ingegneristica. Secondo Akamai, questo approccio introduce sempre più spesso nuove vulnerabilità ed errori di configurazione in produzione, che non vengono testati correttamente prima del lancio. In altre parole, le aziende stanno contemporaneamente accelerando lo sviluppo e riducendo i margini di sicurezza, e gli aggressori stanno sfruttando proprio queste interfacce implementate frettolosamente.
Una sezione separata del rapporto è dedicata all’attività DDoS legata agli hacktivisti. Akamai osserva che i gruppi con motivazioni politiche continuano ad aumentare la pressione e con la crescente disponibilità di botnet a noleggio . Questa infrastruttura ricorda sempre più le reti artigianali di dispositivi infetti di un tempo. I modelli DDoS-for-hire e DDoSaaS , in cui la capacità necessaria può essere ottenuta come servizio, stanno prendendo piede sul mercato. Più facile è l’accesso a tali noleggi, più bassa è la barriera d’ingresso per i nuovi operatori.
I ricercatori attribuiscono direttamente l’aumento del 104% degli attacchi L7 a questa maggiore accessibilità. Per gli aggressori sta diventando sempre più facile acquisire una botnet tramite servizi personalizzati e potenziarla con scenari di attacco basati sull’intelligenza artificiale. Ciò semplifica la selezione dei bersagli, riduce i costi operativi e accelera il lancio di campagne contro API e applicazioni web. Il rapporto menziona specificamente superbotnet come Aisuru e Kimwolf. Queste reti si basano sull’architettura resa celebre da Mirai e ora fungono da fondamento per gli ecosistemi DDoS-as-a-service. Inoltre, questa infrastruttura viene utilizzata non solo da gruppi di criminali informatici, ma anche da hacktivisti.
Akamai richiama inoltre l’attenzione sul più ampio contesto economico. Gli attacchi informatici moderni sono sempre più concepiti come un modello di business, che privilegia l’efficienza. Mentre in passato gli aggressori dovevano impiegare risorse considerevoli in complesse attività di preparazione manuale, ora alcune operazioni sono automatizzate e gli strumenti necessari possono essere noleggiati. Questo rende gli attacchi non solo scalabili, ma anche prevedibilmente ripetibili. Questa evoluzione è particolarmente preoccupante per i difensori, poiché non si tratta più di operazioni rare e complesse, bensì di una serie di campagne rapide ed economiche che possono essere lanciate ripetutamente.
Il nuovo rapporto include non solo statistiche generali, ma anche un’analisi delle tendenze regionali, una valutazione degli aspetti economici dei moderni attacchi informatici e un articolo a parte, a cura di un autore ospite, sulla difesa contro le nuove minacce associate ai sistemi di intelligenza artificiale basati su agenti. In questo contesto, per intelligenza artificiale basata su agenti si intendono in genere sistemi che non si limitano a rispondere alle richieste, ma sono in grado di eseguire sequenze di azioni, accedere a strumenti e interagire con servizi esterni. Questo modello è particolarmente sensibile alla sicurezza perché l’agente si basa quasi sempre su un’API, il che significa che una vulnerabilità o un errore nell’interfaccia ha un impatto immediato sull’intera catena di automazione.
La serie di report “State of the Internet” è giunta alla sua dodicesima edizione. Akamai basa tradizionalmente le sue conclusioni sui dati raccolti attraverso la propria infrastruttura di sicurezza globale, che elabora una quota significativa del traffico web mondiale. Nell’edizione attuale del documento, l’attenzione si è spostata sull’intersezione tra applicazioni, API, attacchi DDoS e intelligenza artificiale. In sostanza, il report descrive una realtà piuttosto dura: le aziende stanno accelerando la loro trasformazione digitale e gli aggressori si stanno adattando alla nuova architettura quasi senza indugio. E se le API sono diventate il fondamento dei servizi di intelligenza artificiale, allora la protezione dell’IA, in termini pratici, inizia sempre più con la protezione delle API.
