18/06/2025
Cybercriminali sfruttano l'AI: le nuove minacce che colpiscono aziende e privati
Cisco Talos: identificati ransomware sofisticati che si mascherano da strumenti di intelligenza artificiale legittimi per ingannare gli utenti
I criminali informatici stanno affinando le loro strategie di attacco sfruttando la crescente popolarità dell'Intelligenza Artificiale. Cisco Talos, la più grande organizzazione privata al mondo dedicata all'intelligence per la cybersecurity, ha recentemente identificato diverse minacce informatiche che si presentano come versioni legittime di applicazioni di IA, mettendo a rischio dati sensibili e causando potenziali perdite economiche.
Tra le tecniche più insidiose emerge l'avvelenamento SEO, una strategia che manipola i risultati dei motori di ricerca per posizionare siti malevoli tra i primi risultati. Le aziende in cerca di soluzioni basate sull'IA rischiano così di scaricare inconsapevolmente applicazioni contraffatte contenenti malware, compromettendo la sicurezza dei propri sistemi.
Un caso emblematico è rappresentato dal CyberLock ransomware, diffuso attraverso un sito web falso "novaleadsai[.]com" che replica il legittimo "novaleads.app", una piattaforma per la monetizzazione dei lead. I cybercriminali attirano le vittime offrendo un tool gratuito per 12 mesi, seguito da un abbonamento mensile di 95 dollari. Una volta scaricato il file ZIP contenente l'eseguibile, lo script installa il ransomware che avvia la crittografia dei dati.
Attivo da febbraio 2025, CyberLock colpisce dati sensibili e aziendali, chiedendo un riscatto di 50.000 dollari in criptovalute Monero. I criminali utilizzano anche tattiche psicologiche sofisticate, dichiarando che i pagamenti finanzieranno aiuti umanitari in aree come Palestina, Ucraina, Africa e Asia. Il pagamento viene suddiviso in due portafogli cripto, rendendo più difficile il tracciamento da parte delle forze dell'ordine.
Un'altra minaccia identificata è Lucky_Gh0$t, un ransomware diffuso tramite un archivio ZIP autoestraente mascherato da "ChatGPT 4.0 full version - Premium.exe". Questo pacchetto include l'eseguibile del ransomware e strumenti IA legittimi di Microsoft, probabilmente inseriti per eludere i sistemi antivirus. All'apertura, lo script esegue il ransomware che elimina le shadow copy e i backup, cripta file inferiori a 1,2 GB e distrugge quelli più grandi sovrascrivendoli.
Cisco Talos ha inoltre identificato un nuovo malware soprannominato "Numero", che inganna gli utenti camuffandosi da installer di InVideo AI, una diffusa piattaforma online per la creazione di video. Il cybercriminale ha falsificato i metadati del file per far credere che il malware fosse un prodotto autentico di InVideo AI.
Per contrastare queste minacce, Cisco offre un portafoglio integrato di soluzioni di sicurezza. Cisco Secure Endpoint previene l'esecuzione di malware grazie a capacità avanzate di rilevamento e risposta sugli endpoint, mentre Cisco Secure Email blocca le e-mail dannose e le campagne di phishing.
Le appliance Cisco Secure Firewall come Threat Defense Virtual, Adaptive Security Appliance e Meraki MX sono in grado di rilevare le attività dannose, mentre Cisco Secure Network/Cloud Analytics analizza automaticamente il traffico di rete e avvisa gli utenti di attività potenzialmente indesiderate.
Cisco Secure Malware Analytics identifica i file binari dannosi e integra la protezione in tutti i prodotti Cisco Secure. Cisco Secure Access è la soluzione di Security Service Edge basata su cloud e principi di Zero Trust, mentre Cisco Umbrella funge da gateway Internet impedendo connessioni a domini, IP e URL dannosi.
Completano l'offerta Cisco Secure Web Appliance, che blocca automaticamente i siti potenzialmente pericolosi, e Cisco Duo, che fornisce autenticazione a più fattori per garantire che solo utenti autorizzati possano accedere alla rete e alle applicazioni aziendali.
