Redazione RHC : 28 Agosto 2025 13:53
I criminali informatici stanno rapidamente padroneggiando l’intelligenza artificiale generativa, e non stiamo più parlando di lettere di riscatto “spaventose”, ma di sviluppo di malware a tutti gli effetti. Il team di ricerca di Anthropic ha riferito che gli aggressori si affidano sempre più a modelli linguistici di grandi dimensioni, fino all’intero ciclo di creazione e vendita di strumenti di crittografia dei dati.
Parallelamente, ESET ha descritto un concetto di attacco in cui i modelli locali, dal lato dell’aggressore, assumono le fasi chiave dell’estorsione. La totalità delle osservazioni mostra come l‘intelligenza artificiale rimuova le barriere tecniche e acceleri l’evoluzione degli schemi ransomware.
Secondo Anthropic, i partecipanti alla scena dell’estorsione utilizzano Claude non solo per preparare testi e scenari di negoziazione, ma anche per generare codice, testare e pacchettizzare programmi e lanciare servizi secondo il modello “crime as a service”. L’attività è stata registrata da un operatore del Regno Unito, a cui è stato assegnato l’identificativo GTG-5004.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dall’inizio dell’anno, l’operatore offre kit di attacco su forum underground a prezzi compresi tra 400 e 1.200 dollari, a seconda del livello di configurazione. Le descrizioni includevano diverse opzioni di crittografia, strumenti per aumentare l’affidabilità operativa e tecniche per eludere il rilevamento. Allo stesso tempo, secondo Anthropic, il creatore non ha una conoscenza approfondita della crittografia, delle tecniche di controanalisi o dei meccanismi interni di Windows: ha colmato queste lacune con l’aiuto di suggerimenti e della generazione automatica di Claude.
L’azienda ha bloccato gli account coinvolti e implementato filtri aggiuntivi sulla sua piattaforma, tra cui regole per il riconoscimento di pattern di codice distintivi e controlli basati sulle firme dei campioni caricati, per impedire in anticipo i tentativi di trasformare l’IA in una fabbrica di malware . Ciò non significa che l’IA stia già producendo in serie tutti i moderni trojan crittografici, ma la tendenza è allarmante: anche gli operatori immaturi stanno ottenendo un acceleratore che in precedenza era disponibile solo per gruppi esperti di tecnologia.
Il contesto del settore non fa che gettare benzina sul fuoco. Negli ultimi anni, gli estorsori sono diventati più aggressivi e inventivi, e i parametri di valutazione all’inizio del 2025 indicavano volumi record di incidenti e profitti multimilionari per i criminali. Alle conferenze di settore, è stato riconosciuto che i progressi sistemici nella lotta contro l’estorsione non sono ancora visibili. In questo contesto, l’intelligenza artificiale promette non solo un adattamento estetico dell’estorsione, ma un ampliamento dell’arsenale, dalla fase di penetrazione all’analisi automatizzata dei dati rubati e alla formulazione delle richieste.
Un capitolo a parte è la dimostrazione di ESET chiamata PromptLock (del quale abbiamo parlato ieri). Si tratta di un prototipo in cui un modello distribuito localmente può generare script Lua al volo per inventariare i file di destinazione, rubare contenuti e avviare la crittografia. Gli autori sottolineano che si tratta di un concetto, non di uno strumento visto in attacchi reali, ma illustra un cambiamento: i modelli di grandi dimensioni non sono più solo un “prompt” basato sul cloud e stanno diventando una componente autonoma dell’infrastruttura di un aggressore.
Certo, l’intelligenza artificiale locale richiede risorse e occupa spazio, ma i trucchi per ottimizzare e semplificare l’inferenza rimuovono alcune delle limitazioni, e i criminali informatici stanno già esplorando queste possibilità.
Il rapporto di Anthropic descrive anche un altro cluster, identificato come GTG-2002. In questo caso, Claude Code è stato utilizzato per selezionare automaticamente i bersagli, preparare strumenti di accesso, sviluppare e modificare malware e quindi esfiltrare e contrassegnare i dati rubati. Alla fine, la stessa IA ha contribuito a generare richieste di riscatto basate sul valore di quanto trovato negli archivi. Nell’ultimo mese, l’azienda stima che almeno diciassette organizzazioni del settore pubblico, sanitario, dei servizi di emergenza e delle istituzioni religiose siano state colpite, senza rivelarne i nomi. Questa architettura mostra come il modello diventi sia un “consulente” che un operatore, riducendo il tempo tra la ricognizione e la monetizzazione.
Alcuni analisti osservano che la totale “dipendenza dall’intelligenza artificiale” tra i ransomware non è ancora diventata la norma e che i modelli sono più comunemente utilizzati come primo step di sviluppo, per l’ingegneria sociale e l’accesso iniziale. Tuttavia, il quadro emergente sta già cambiando gli equilibri di potere: abbonamenti economici, sviluppi open source e strumenti di lancio locali rendono lo sviluppo e la manutenzione delle operazioni ransomware più accessibili che mai.
Se questa dinamica continua, i difensori dovranno considerare non solo i nuovi file binari, ma anche le catene decisionali delle macchine che questi file binari producono, testano e distribuiscono.
RedazioneLa campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di a...
Una vulnerabilità di tipo authentication bypass è stata individuata in Azure Bastion (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), il servizio g...
Microsoft ha reso nota una vulnerabilità critica in SharePoint Online (scoperta da RHC grazie al monitoraggio costante delle CVE critiche presente sul nostro portale), identificata come CVE-2025-5924...
Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Ro...
Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, i...
