Microsoft: più di metà degli hacker attacca per soldi

Secondo il nuovo Microsoft Digital Defense Report, oltre l’80% degli incidenti informatici analizzati lo scorso anno ha visto gli attaccanti impegnati nel tentativo di rubare dati, spinti principalmente da motivazioni prettamente finanziarie. Oltre la metà degli attacchi con cause note, circa il 52%, è frutto di campagne di estorsione o ransomware, mentre solo il 4% è avvenuto con finalità di spionaggio. Insomma, pur con un clima globale di tensione in cui le minacce da parte di stati-nazione restano rilevanti, la maggior parte degli attacchi che le organizzazioni affrontano quotidianamente proviene da criminali opportunisti in cerca di profitto.

Il colosso di Redmond rileva inoltre che la diffusione di strumenti automatizzati e di tecniche di intelligenza artificiale ha reso più facile anche per cybercriminali con competenze limitate ampliare le proprie operazioni, generando un panorama di minacce sempre più esteso e pervasivo.

Servizi critici sempre più nel mirino

Tra i bersagli preferiti dei malfattori vi sono ospedali, amministrazioni locali e istituzioni pubbliche: si tratta di realtà che giocoforza gestiscono grosse quantità di dati sensibili e che spesso devono fare i conti con budget limitati e software obsoleti, con la conseguenza di una postura di sicurezza non esattamente robusta. Quando queste realtà sono vittima di un attacco informatico, le conseguenze si ripercuotono nel concreto:  ritardi nell’assistenza medica d’emergenza, interruzioni nei servizi pubblici, chiusure di scuole e blocchi nei trasporti.

Le vulnerabilità di questi servizi danno modo ai criminali di compromettere più facilmente i sistemi informatici, consentendo poi loro di far leva sull'urgenza del ritorno all'operatività per spingere le vittime a pagare riscatti per ripristinare i sistemi bloccati. Microsoft sottolinea come questo contesto richieda una maggior collaborazione tra settore pubblico e privato per la protezione delle infrastrutture critiche e la continuità di servizio nelle operazioni essenziali per la società.

Espansione delle operazioni degli stati-nazione

Come dicevamo, le attività di cosiddetto cyber-espionage condotte da stati-nazione rappresentano una piccola porzione degli attacchi complessivi, ma stanno diventando più pervasive e sofisticate. Tra gli attori principali individuati dal report figurano Cina, Iran, Russia e Corea del Nord, ciascuno con obiettivi specifici.

Secondo le rilevazioni di Microsoft, la Cina continua a puntare al furto di dati sensibili, colpendo anche ONG e istituzioni accademiche per ottenere vantaggi strategici. L’Iran amplia la propria portata geografica, includendo Europa e Nord America, con attacchi diretti a società di logistica e trasporto. La Russia, oltre al conflitto in Ucraina, ha intensificato le operazioni contro piccole aziende nei paesi membri della NATO, con un aumento del 25% rispetto all’anno precedente. La Corea del Nord, infine, prosegue nella generazione di profitti tramite lavoratori IT sotto copertura all’estero, che in alcuni casi ricorrono persino all’estorsione.

AI: strumento per attaccanti e difensori

L'altro importante trend del momento è la crescita, più incisiva nel 2025, dell'uso dell’intelligenza artificiale generativa sia da parte degli aggressori che dei difensori. Gli attaccanti la impiegano per automatizzare campagne di phishing, ottimizzare attività di ingegneria sociale e realizzare contenuti sintetici sempre più realistici. Allo stesso tempo, l’AI viene utilizzata da chi si deve difendere per rilevare minacce, chiudere falle di sicurezza e contrastare le campagne di phishing in modo più rapido ed efficace.

Si tratta delle due facce di una medaglia che pone nuove sfide: da un lato gli aggressori riescono ad essere sempre più efficienti ed efficaci, dall'altro i difensori devono a loro volta proteggere i propri strumenti AI da possibili compromissioni e al contempo sviluppare competenze interne per utilizzarli in modo sicuro e strategico.

Identità digitali nel mirino

Oltre il 97% degli attacchi rivolti all’identità è oggi riconducibile a tentativi di violazione delle password. Solo nella prima metà del 2025, questo tipo di minacce è cresciuto del 32%. Gli aggressori accedono a credenziali compromesse sfruttando quanto è possibile trovare nei grandi database di fughe di dati o per mezzo dei famigerati software “infostealer”, in grado di rubare informazioni dagli account degli utenti. Questi dati vengono poi rivenduti sul dark web per ulteriori scopi criminali, compresa la diffusione di ransomware.

Microsoft evidenzia che l’uso dell’autenticazione multifattore (MFA) resistente al phishing può prevenire oltre il 99% di questi attacchi, anche quando gli aggressori dispongono delle credenziali corrette.

La sicurezza informatica come responsabilità condivisa

Microsoft sottolinea con forza che la cybersicurezza non è solo una sfida tecnica, ma anche una priorità di governance. Le sole contromisure difensive non bastano a scoraggiare gli attori statali: servono politiche di deterrenza, attribuzioni trasparenti e sanzioni chiare. Sempre più governi stanno adottando queste misure, contribuendo a costruire una maggiore responsabilità collettiva nel cyberspazio. La capacità di costruire un futuro digitale sicuro richiede un impegno coordinato e condiviso, prima ancora dell'indispensabile innovazione tecnica.