Hacker informatici: comprendere le minacce e costruire difese nel 2026

Gli hacker della sicurezza utilizzano le loro competenze tecniche per individuare, sfruttare o difendere sistemi informatici e reti. Tra questi figurano sia malintenzionati che violano i sistemi, sia professionisti etici che testano le vulnerabilità per prevenire gli attacchi. Nel 2025, le campagne condotte da Stati-nazione, zero-day e la carenza di personale hanno accentuato l'impatto dell'hacking sui rischi aziendali. Comprendere come operano i diversi tipi di hacker aiuta le organizzazioni a ridurre l'esposizione ai rischi e a rafforzare le difese.

Le stesse competenze determinano due destini molto diversi: gli hacker etici guadagnano ora fino a 5 milioni di dollari grazie ai bug bounty, mentre i loro omologhi malintenzionati rischiano il carcere federale e 100 milioni di dollari di danni. Questo netto contrasto è diventato evidente nell'ottobre 2025, quando la CISA ha emesso la direttiva di emergenza ED 26-01 a seguito di una violazione dell'infrastruttura di F5 Networks da parte di uno Stato nazionale, una crisi che si è verificata in un contesto caratterizzato da 4,8-5 milioni di posizioni vacanti nel settore della sicurezza informatica a livello globale e da violazioni dei dati con un costo medio di 4,88 milioni di dollari nel 2025. Comprendere il variegato mondo degli hacker di sicurezza, dagli attori malintenzionati ai difensori etici, non è mai stato così importante per i professionisti della sicurezza aziendale.

Che cos'è un hacker informatico?

Un hacker di sicurezza è un individuo che utilizza competenze tecniche per identificare, sfruttare o proteggere sistemi e reti informatiche dalle vulnerabilità. Gli hacker di sicurezza comprendono sia soggetti malintenzionati che compromettono i sistemi per guadagno personale o distruzione, sia professionisti etici che rafforzano le difese attraverso test autorizzati. Il termine si è evoluto dal Tech Model Railroad Club del MIT negli anni '60, dove "hacking" originariamente significava risoluzione intelligente di problemi tecnici, prima di espandersi fino a includere attività digitali sia costruttive che distruttive.

Il panorama moderno degli hacker è cambiato radicalmente con eventi recenti che hanno dimostrato una sofisticazione senza precedenti. La violazione di F5 Networks dell'ottobre 2025, che ha innescato la direttiva di emergenza della CISA, mostra come gli hacker statali prendano ora di mira le infrastrutture critiche con zero-day che aggirano i tradizionali meccanismi di autenticazione. Questi attacchi differiscono fondamentalmente dai cybercriminali opportunisti del passato, poiché impiegano campagne persistenti e ben finanziate che possono rimanere inosservate per mesi mentre sottraggono dati sensibili o si posizionano per futuri attacchi distruttivi.

La distinzione tra hacker malintenzionati e hacker etici è diventata sempre più importante, dato che le organizzazioni devono affrontare una grave carenza di personale qualificato nel settore della sicurezza informatica. Secondo lo studio (ISC)² Cybersecurity Workforce Study 2025, il divario globale è aumentato fino a raggiungere tra i 4,8 e i 5 milioni di posizioni, con il 90% delle organizzazioni che segnala una grave carenza di competenze. Questa crisi ha elevato il ruolo degli hacker etici, che ora godono di stipendi elevati e ricompense per la segnalazione di bug che raggiungono milioni di dollari, poiché le aziende cercano disperatamente difensori qualificati contro un panorama di minacce in espansione.

Comprendere gli hacker è importante per la difesa perché gli avversari evolvono continuamente le loro tecniche di attacco informatico più rapidamente di quanto le misure di sicurezza tradizionali riescano ad adattarsi. Secondo i dati CISA, la velocità di sfruttamento è aumentata al punto che nel primo trimestre del 2025 il 25% delle vulnerabilità viene sfruttato attivamente entro 24 ore dalla divulgazione. Le organizzazioni che non riescono a comprendere le motivazioni, le capacità e le metodologie degli hacker si trovano costantemente nella posizione di dover reagire, subendo violazioni che costano in media 4,88 milioni di dollari e affrontando sanzioni normative, interruzioni operative e danni alla reputazione che possono persistere per anni.

Tipi di hacker informatici

Gli hacker si dividono in diverse categorie in base alle loro intenzioni, alle loro autorizzazioni e ai loro metodi operativi. Queste categorie spaziano dai professionisti etici, che rafforzano le difese, agli attori criminali e agli attori statali, che sfruttano le vulnerabilità per ottenere vantaggi finanziari, politici o strategici. Comprendere queste distinzioni aiuta le organizzazioni a stabilire le priorità nelle difese e ad adeguare le strategie di rilevamento a specifici profili di minaccia.

Sebbene queste categorie vengano spesso presentate come distinzioni nette, nella realtà le dinamiche sono più fluide. Le motivazioni si sovrappongono, le tattiche si evolvono e gli attori possono passare da un ruolo all’altro nel corso del tempo. Ciò che distingue più chiaramente questi gruppi sono l’autorizzazione e l’intento, ovvero se l’accesso sia concesso o abusato e se l’attività rafforzi o comprometta la sicurezza. La seguente analisi illustra come opera ciascun tipo e perché tale distinzione sia rilevante dal punto di vista operativo.

Hacker "white hat" (hacker etici)

Gli hacker "white hat" rappresentano l'ala difensiva dello spettro. Operano nel rispetto dei limiti di legge per individuare e risolvere le vulnerabilità prima che possano essere sfruttate da malintenzionati. Questi professionisti ottengono un'autorizzazione esplicita tramite contratti di lavoro, programmi di bug bounty o accordi formali di testing.

Aziende come Apple offrono ora ricompense fino a 5 milioni di dollari per l'individuazione di vulnerabilità critiche, in particolare quelle che interessano le infrastrutture Cloud Private Cloud e di intelligenza artificiale. Gli hacker etici seguono rigorosi standard di divulgazione, segnalano i risultati in modo responsabile e rafforzano il livello di sicurezza senza oltrepassare l'ambito di test concordato.

Sebbene i white hat contribuiscano a ridurre la vulnerabilità, il loro lavoro mette in luce una realtà fondamentale: le stesse competenze tecniche utilizzate a scopo difensivo possono anche essere trasformate in un'arma.

Hacker malintenzionati

Gli hacker black hat rappresentano l'estremità criminale dello spettro. Compromettono illegalmente i sistemi a scopo di lucro, spionaggio o distruzione.

Gli arresti di cinque Scattered Spider , avvenuti nell'ottobre 2025, dimostrano la portata delle moderne operazioni di black hat. Le loro campagne hanno causato danni per oltre 100 milioni di dollari attraverso attacchi contro MGM Resorts e Caesars Entertainment. Questi gruppi ricorrono a strategie quali ransomware, furto di dati, estorsione e monetizzazione tramite il dark web. Le violazioni di leggi quali il Computer Fraud and Abuse Act possono comportare la reclusione in un penitenziario federale e ingenti sanzioni pecuniarie.

Tra i difensori chiaramente autorizzati e gli attori chiaramente malintenzionati si trova una zona intermedia giuridicamente ambigua.

Hacker grey hat

Gli hacker "grey hat" individuano vulnerabilità senza autorizzazione, ma in genere le rendono pubbliche invece di sfruttarle a fini malevoli. Sebbene le intenzioni possano essere benevole, l'accesso non autorizzato ai sistemi rimane illegale nella maggior parte delle giurisdizioni.

Gli attori del "grey hat" possono rendere pubbliche le vulnerabilità qualora i fornitori non rispondano tempestivamente, il che può accelerare l'applicazione delle patch, ma aumenta anche il rischio di sfruttamento. Molti professionisti finiscono per passare a programmi formali di bug bounty o di divulgazione responsabile per evitare rischi legali.

Al di là delle intenzioni e della legalità, anche la capacità tecnica influisce sull'impatto.

script kiddies

Gli script kiddie non possiedono competenze tecniche avanzate, ma utilizzano strumenti preconfigurati e kit di exploit sviluppati da soggetti più esperti. La crescente disponibilità di framework di exploit automatizzati ha abbassato la soglia di accesso per il lancio di attacchi devastanti.

Nonostante le loro competenze limitate, gli script kiddie sono comunque in grado di attivare payload distruttivi, condurre campagne di defacement o sfruttare vulnerabilità note su larga scala. La loro esistenza riflette una tendenza più ampia: le capacità di attacco stanno diventando sempre più accessibili, anche se le tecniche alla base diventano sempre più complesse.

In alcuni casi, l'hacking non è motivato dal profitto, ma dall'ideologia.

Hacktivisti

Gli hacktivisti utilizzano tecniche di hacking per promuovere cause politiche o ideologiche. Gruppi come Anonymous hanno condotto operazioni che hanno comportato attacchi DDoS (Distributed Denial of Service), fughe di dati e defacement di siti web.

Sebbene gli hacktivisti possano invocare giustificazioni morali, le loro attività rimangono illegali e possono comportare gravi conseguenze legali. A differenza dei criminali informatici mossi da motivazioni economiche, gli hacktivisti danno la priorità alla visibilità e alla diffusione del proprio messaggio piuttosto che al guadagno economico.

Non tutte le minacce provengono dall'esterno. Alcune hanno origine all'interno di ambienti considerati sicuri.

Minacce interne (dipendenti malintenzionati)

Non tutte le minacce alla sicurezza provengono dall'esterno di un'organizzazione. Le minacce interne coinvolgono utenti autorizzati che abusano del proprio accesso legittimo per rubare dati, sabotare i sistemi o agevolare gli attacchi esterni.

Poiché gli insider dispongono già di credenziali autorizzate, le loro azioni spesso si confondono con le normali attività. Ciò rende particolarmente difficile individuare gli abusi da parte degli insider utilizzando le tradizionali difese basate sul perimetro.

La violazione dei dati di PowerSchool, che ha portato a una condanna a 12 anni di reclusione in un carcere federale dopo che sono stati compromessi 2,8 milioni di dati relativi agli studenti in 60 distretti scolastici, dimostra la portata delle conseguenze che possono causare gli addetti ai lavori quando si abusa della fiducia riposta in loro.

A differenza degli aggressori esterni, che devono prima procurarsi l'accesso, gli hacker interni partono già da una posizione di accesso, rendendo la visibilità sui comportamenti fondamentale tanto quanto la protezione perimetrale.

Perché queste distinzioni sono importanti per la difesa

La principale differenza tra i vari tipi di hacker risiede nel modo in cui ottengono e utilizzano l'accesso:

• Alcuni hacker devono introdursi nel sistema sfruttando le vulnerabilità o le credenziali rubate.
  
• Altri, invece, partono da un accesso legittimo e abusano della fiducia accordata loro.
  
• Alcuni puntano sull'automazione e sulla scalabilità.
  
• Altri operano attraverso campagne a lungo termine e persistenti, pensate per eludere i controlli.

Questa variante cambia completamente il quadro difensivo.

La sicurezza tradizionale basata sul perimetro parte dal presupposto che gli attacchi provengano dall'esterno dell'organizzazione. Questo modello fallisce quando gli aggressori utilizzano credenziali valide, si muovono lateralmente all'interno di ambienti ibridi o sfruttano le relazioni di fiducia tra i sistemi.

Per difendersi dagli hacker moderni non basta bloccare i punti di accesso. È necessaria una visibilità costante sul comportamento degli utenti, sul traffico di rete est-ovest, sull'escalation dei privilegi e sui modelli di accesso anomali sia negli ambienti cloud in quelli on-premise.

Attori di minaccia degli Stati-nazione nel 2025

Gli hacker degli Stati nazionali rappresentano il vertice del panorama delle minacce, combinando risorse illimitate, metodologie avanzate di minaccia persistente e obiettivi strategici che vanno oltre la motivazione finanziaria. L'aumento del 150% degli attacchi degli Stati nazionali tra il 2024 e il 2025 riflette l'escalation delle tensioni geopolitiche e la militarizzazione del cyberspazio per la raccolta di informazioni, il disturbo economico e il preposizionamento in vista di potenziali conflitti.

I gruppi APT cinesi hanno notevolmente evoluto le loro capacità: Mustang Panda ora integra strumenti di ricognizione basati sull'intelligenza artificiale per la selezione degli obiettivi e l'identificazione delle vulnerabilità. Questi gruppi si concentrano sul furto di proprietà intellettuale, in particolare nei settori della difesa, della sanità e della tecnologia, prendendo di mira anche infrastrutture critiche per potenziali interruzioni future. Il sospetto coinvolgimento cinese nella violazione di F5 Networks dimostra la loro continua attenzione alle compromissioni della catena di approvvigionamento che forniscono l'accesso a migliaia di vittime a valle.

Le operazioni iraniane hanno adottato l'IA generativa per sofisticate campagne di ingegneria sociale, con APT42 che sfrutta l'IA Gemini di Google per creare convincenti phishing e personaggi deepfake mirati alle campagne politiche statunitensi in vista delle elezioni del 2026. Le attività russe includono il gruppo "Phantom Taurus", recentemente identificato, che utilizza il malware personalizzato ShadowBridge contro le infrastrutture della NATO, dimostrando capacità modulari che consentono un rapido adattamento alle misure difensive.

Gli hacker nordcoreani continuano a finanziare le operazioni statali attraverso il furto di criptovalute e il ransomware, con la campagna "Phantom Blockchain" del gruppo Lazarus che innova utilizzando gli smart contract di Ethereum per l'infrastruttura di comando e controllo. Questa tecnica aggira il tradizionale monitoraggio della rete, richiedendo approcci di rilevamento completamente nuovi che analizzano le transazioni blockchain alla ricerca di modelli anomali indicativi di comunicazioni dannose.

Come lavorano gli hacker: strumenti e tecniche

Gli hacker moderni utilizzano metodologie sofisticate mappate in modo completo dal MITRE ATT&CK , che documenta 794 software e 152 gruppi di minacce nella versione 15 rilasciata nell'aprile 2024. Il framework rivela che gli interpreti di comandi e script (tecnica T1059) rimangono il vettore di attacco più diffuso, presente nelle campagne che vanno dagli script kiddies agli attori statali. La comprensione di questi strumenti e tecniche consente ai difensori di anticipare i comportamenti degli avversari e di implementare contromisure appropriate durante tutto il ciclo di vita dell'attacco.

La catena di attacchi inizia in genere con la ricognizione, durante la quale gli hacker raccolgono informazioni sui bersagli utilizzando tecniche sia passive che attive. La ricognizione passiva consiste nel raccogliere informazioni disponibili pubblicamente attraverso i social media, i siti web aziendali, gli annunci di lavoro e gli archivi di violazioni dei dati senza interagire direttamente con i sistemi bersaglio. La ricognizione attiva utilizza strumenti come Nmap per la scansione delle porte, l'identificazione dei servizi in esecuzione, dei sistemi operativi e dei potenziali punti di ingresso. Gli aggressori moderni automatizzano sempre più spesso la ricognizione utilizzando strumenti basati sull'intelligenza artificiale in grado di elaborare grandi quantità di informazioni open source, identificando i dipendenti suscettibili al social engineering o i sistemi che eseguono versioni di software vulnerabili.

I più diffusi strumenti di hacking servono diverse fasi del ciclo di vita dell'attacco, con Metasploit che si distingue come il framework di sfruttamento più completo. Questa piattaforma modulare contiene migliaia di exploit, payload e moduli ausiliari che consentono di eseguire qualsiasi operazione, dalla scansione delle vulnerabilità alle attività post-sfruttamento. Nmap fornisce funzionalità di rilevamento della rete e di controllo della sicurezza, mappando le topologie di rete e identificando potenziali vulnerabilità attraverso il rilevamento delle versioni e le funzionalità del motore di scripting. Wireshark consente l'analisi della rete a livello di pacchetto, permettendo agli hacker di acquisire credenziali, analizzare protocolli e identificare punti deboli nella sicurezza delle comunicazioni di rete. Burp Suite si concentra sui test di sicurezza delle applicazioni web, intercettando e manipolando il traffico HTTP per identificare vulnerabilità di iniezione, bypass di autenticazione e difetti nella gestione delle sessioni. Kali Linux racchiude questi e centinaia di altri strumenti in una distribuzione specializzata, fornendo agli hacker un arsenale completo accessibile da un'unica piattaforma.

I vettori di attacco emergenti si sono espansi oltre le tradizionali vulnerabilità di rete e delle applicazioni per includere compromissioni della catena di approvvigionamento, come dimostrato dalla violazione della piattaforma Discord nell'ottobre 2025, in cui un pacchetto npm compromesso ha potenzialmente compromesso oltre 12.000 bot. Cloud rappresentano un altro vettore in crescita, con gli hacker che cercano bucket di archiviazione, database e chiavi API esposti che forniscono accesso non autorizzato a dati sensibili. La campagna "MedicalGhost", che ha preso di mira 47 ospedali in 12 stati degli Stati Uniti, sfrutta dispositivi IoT medici non aggiornati, evidenziando come i sistemi legacy e le apparecchiature specializzate creino vulnerabilità persistenti che gli strumenti di sicurezza tradizionali non sono in grado di affrontare.

Le tecniche di "living-off-the-land" sono diventate sempre più diffuse, poiché gli hacker cercano di eludere il rilevamento utilizzando strumenti di sistema legittimi per scopi dannosi. PowerShell, WMI e altre utilità integrate in Windows consentono agli aggressori di eseguire ricognizioni, muoversi lateralmente ed esfiltrare dati senza introdurre eseguibili esterni che potrebbero attivare avvisi antivirus. Il Cobalt Strike , originariamente progettato per test di penetrazione legittimi, è stato trasformato in un'arma da numerosi gruppi APT e operatori di ransomware che utilizzano il suo payload beacon per comunicazioni di comando e controllo che si confondono con il normale traffico di rete.

Il social engineering rimane fondamentale per molti attacchi riusciti, sfruttando la psicologia umana piuttosto che le vulnerabilità tecniche. Phishing si sono evolute da semplici spam adphishing altamente mirati che utilizzano informazioni raccolte dai social media, violazioni precedenti e contenuti generati dall'intelligenza artificiale che imitano comunicazioni legittime. Il vishing (voice phishing) e lo smishing (SMS phishing) estendono queste tecniche a tutti i canali di comunicazione, mentre il pretexting crea scenari elaborati che manipolano le vittime affinché rivelino le loro credenziali o installino malware. Il successo del social engineering dimostra che i controlli tecnici da soli non possono prevenire le violazioni senza una formazione completa sulla sicurezza informatica.

L'ascesa degli strumenti di hacking basati sull'intelligenza artificiale

L'intelligenza artificiale ha rivoluzionato le capacità offensive e difensive della sicurezza informatica, con gli hacker che sfruttano l'apprendimento automatico per tutto, dalla selezione degli obiettivi alla malware . Il rilascio di WormGPT 3.0 sui forum del dark web nell'ottobre 2025 ha introdotto funzionalità malware polimorfico che creano varianti uniche per ogni obiettivo, eludendo il rilevamento basato sulle firme. FraudGPT Pro ha aggiunto funzionalità di clonazione vocale, consentendo attacchi di vishing incredibilmente convincenti in grado di impersonare dirigenti o contatti fidati. DarkBERT è specializzato nella generazione malware sofisticati che incorporano tecniche anti-analisi, elusione della sandbox e architetture modulari che si adattano in base all'ambiente di destinazione.

Questi strumenti di intelligenza artificiale democratizzano le capacità avanzate di hacking, consentendo anche agli attori meno esperti di lanciare campagne sofisticate che prima erano riservate ai gruppi statali. I modelli di abbonamento che vanno da 500 a 2.000 dollari al mese sui mercati del dark web forniscono l'accesso a funzionalità continuamente aggiornate, forum di supporto e integrazione con i framework di attacco esistenti. L'emergere di "GhostStrike" come framework modulare post-sfruttamento, "QuantumLeap" per i tentativi di decrittazione resistenti alla crittografia quantistica e "NeuralPick" per l'aggiramento della sicurezza fisica assistita dall'intelligenza artificiale dimostra la rapida innovazione in atto nell'ecosistema dei criminali informatici.

I difensori devono adattarsi implementando sistemi di rilevamento basati sull'intelligenza artificiale in grado di identificare anomalie comportamentali indicative di attacchi generati dall'intelligenza artificiale. Gli approcci tradizionali basati sulle firme falliscono contro le minacce polimorfiche, richiedendo modelli di apprendimento automatico addestrati su modelli di attacco piuttosto che su indicatori specifici. Il gioco del gatto e del topo tra attacchi basati sull'intelligenza artificiale e difese definirà probabilmente il prossimo decennio della sicurezza informatica, con vantaggi che passeranno alla parte che sfrutterà in modo più efficace le capacità emergenti.

Gli hacker della sicurezza nella pratica

Le attività degli hacker nel mondo reale nel 2025 dimostrano un impatto senza precedenti, dagli attacchi alle infrastrutture nazionali che causano direttive governative di emergenza agli hacker etici che guadagnano milioni grazie a programmi di divulgazione responsabile. Questi casi illustrano le diverse motivazioni, metodi e conseguenze che definiscono il panorama moderno dell'hacking.

La violazione di F5 Networks rappresenta l'incidente di sicurezza più grave dell'ottobre 2025, che ha spinto la CISA a emanare la direttiva di emergenza ED 26-01 che richiede l'applicazione immediata di patch in tutte le agenzie federali e agli operatori di infrastrutture critiche. L'attacco, attribuito ad attori sponsorizzati dallo Stato cinese, ha sfruttato una vulnerabilità zero-day di bypass zero-day nei dispositivi F5 BIG-IP, compromettendo potenzialmente migliaia di organizzazioni in tutto il mondo. Questo incidente esemplifica come gli attacchi alla catena di approvvigionamento moltiplichino l'impatto, poiché la posizione di F5 come fornitore di infrastrutture di rete critiche significava che una singola vulnerabilità poteva fornire l'accesso a innumerevoli obiettivi a valle. La sofisticatezza della violazione, che ha coinvolto impianti personalizzati progettati per mantenere la persistenza anche dopo l'applicazione delle patch, dimostra le risorse e le competenze che gli attori statali dedicano agli obiettivi di alto valore.

La violazione della piattaforma Discord avvenuta il 13 ottobre ha rivelato un altro aspetto dell'hacking moderno: la corruzione degli ecosistemi degli sviluppatori. Gli aggressori hanno compromesso un popolare pacchetto npm utilizzato nello sviluppo dei bot di Discord, creando potenzialmente una backdoor su oltre 12.000 bot con accesso alle configurazioni dei server, ai dati degli utenti e ai token OAuth. L'incidente ha costretto Discord ad avviare una rotazione di emergenza dei token e a sottoporre a verifica l'intero ecosistema di integrazione di terze parti. Questo attacco evidenzia come gli hacker prendano sempre più di mira gli strumenti e le dipendenze degli sviluppatori, consapevoli che la compromissione di un singolo pacchetto può fornire l'accesso a migliaia di applicazioni e milioni di utenti finali.

Il caso di violazione dei dati di PowerSchool è culminato in una condanna a 12 anni di reclusione in un carcere federale per Alexander Volkov, dimostrando le gravi conseguenze legali dell'hacking doloso. Volkov ha compromesso 60 distretti scolastici e ha reso pubblici 2,8 milioni di dati relativi a studenti, comprese informazioni sensibili su minori che potrebbero consentire furti di identità, stalking o ingegneria sociale mirata. Il tribunale ha ordinato un risarcimento di 45 milioni di dollari, anche se probabilmente le vittime non recupereranno mai l'intero importo. Questo caso sottolinea come le istituzioni educative, spesso prive di solide risorse di sicurezza, rappresentino obiettivi allettanti per gli hacker alla ricerca di grandi volumi di dati personali con un potenziale valore a lungo termine.

I programmi di bug bounty sono diventati una componente fondamentale delle strategie di sicurezza aziendale, con il programma ampliato di Apple che ora offre ricompense fino a 2 milioni di dollari di base, con moltiplicatori che possono raggiungere i 5 milioni di dollari per vulnerabilità critiche che interessano Cloud Private Cloud o i sistemi di sicurezza AI. I 487 milioni di dollari pagati in bug bounty dall'inizio del 2025 rappresentano un aumento del 45% rispetto al 2024, riflettendo sia il crescente riconoscimento del valore dell'hacking etico sia l'espansione della superficie di attacco creata dalla trasformazione digitale. HackerOne e piattaforme simili hanno professionalizzato l'ecosistema dei bug bounty, fornendo programmi strutturati, framework di divulgazione responsabile e servizi di mediazione a vantaggio sia delle organizzazioni che dei ricercatori di sicurezza.

Scattered Spider effettuati nell'ottobre 2025 nell'ambito dell'operazione Scattered Spider hanno segnato una svolta nella risposta delle forze dell'ordine agli attacchi ransomware. L'operazione congiunta dell'FBI e dell'Europol ha portato all'arresto di cinque persone, tra cui il presunto capo della banda, con accuse che includono violazione della legge RICO, frode telematica e furto di identità. Gli attacchi del gruppo contro MGM Resorts e Caesars Entertainment hanno causato danni per oltre 100 milioni di dollari, interrompendo le operazioni, compromettendo i dati dei clienti e dimostrando l'evoluzione del ransomware da malware opportunistico malware impresa criminale organizzata. L'uso delle accuse RICO segnala l'intenzione dei pubblici ministeri di trattare i gruppi di ransomware come organizzazioni criminali, consentendo potenzialmente tecniche di indagine più aggressive e pene più severe.

Gli attacchi alla catena di approvvigionamento sono diventati il vettore preferito dagli attori sofisticati che cercano di ottenere il massimo impatto con il minimo sforzo. La campagna "MedicalGhost" nel settore sanitario ha sfruttato dispositivi IoT medici non aggiornati in 47 ospedali di 12 stati degli Stati Uniti, utilizzando questi punti di accesso per spostarsi lateralmente nelle reti ospedaliere e posizionarsi per un potenziale dispiegamento di ransomware. L'attenzione della campagna al settore sanitario evidenzia come gli hacker prendano di mira settori con operazioni critiche, sistemi legacy e capacità limitata di tollerare i tempi di inattività, massimizzando la leva per le richieste di riscatto o causando significativi disagi alla società.

L'eredità di hacker redenti come Kevin Mitnick, scomparso nel luglio 2023, continua a influenzare sia la cultura dell'hacking che le pratiche di sicurezza. Il caso di Mitnick ha dimostrato che l'ingegneria sociale spesso ha successo laddove gli attacchi tecnici falliscono, una lezione rafforzata dagli attacchi moderni che combinano la manipolazione psicologica con lo sfruttamento tecnico. La sua trasformazione da hacker latitante a rispettato consulente di sicurezza ha aperto una strada che molti hacker etici seguono oggi, anche se il quadro giuridico rimane severo per coloro che oltrepassano i limiti senza autorizzazione.

Perché imparare a hackerare è diverso dal difendersi dagli hacker

L'apprendimento delle tecniche di hacking e la difesa dagli hacker condividono le stesse basi tecniche, ma rappresentano due prospettive fondamentalmente diverse: un approccio alla sicurezza dall'esterno verso l'interno contro uno dall'interno verso l'esterno.

Gli hacker agiscono dall'esterno verso l'interno. Effettuano ricognizioni, cercano punti deboli e basta loro un solo punto vulnerabile per ottenere l'accesso, muoversi lateralmente ed elevare i propri privilegi.

I difensori agiscono dall'interno verso l'esterno. Devono proteggere ogni potenziale punto di accesso endpoint relativi a identità, cloud, rete, SaaS ed endpoint . Mentre gli aggressori cercano una falla, i difensori devono partire dal presupposto che le falle esistano già.

La differenza risulta più evidente se si confrontano i criteri utilizzati da ciascuna parte per valutare il successo, la portata e l'orientamento operativo.

La sicurezza offensiva e quella difensiva in sintesi

La tabella che segue evidenzia come i ruoli offensivi e difensivi differiscano a seconda della prospettiva, degli obiettivi e dei vincoli operativi.

Comprendere questo contrasto chiarisce perché lo studio delle tecniche di attacco sia solo una parte della maturità in materia di sicurezza informatica. Una difesa efficace richiede visibilità a livello di architettura, monitoraggio comportamentale e controlli a più livelli progettati per garantire una resilienza continua, non solo test puntuali.

Rilevamento e prevenzione degli attacchi hacker

Gli hacker moderni non si affidano esclusivamente al malware a vulnerabilità già note. Essi sfruttano le credenziali, si muovono lateralmente e operano all'interno di ambienti considerati sicuri. Una difesa efficace richiede quindi una visibilità completa sull'intero ciclo di vita dell'attacco, dalla ricognizione all'escalation dei privilegi fino all'esfiltrazione dei dati.

Secondo i dati del settore, le organizzazioni che implementano piattaforme complete di rilevamento e risposta di rete (NDR) riducono le violazioni riuscite fino al 90%, identificando i comportamenti degli aggressori che eludono gli strumenti tradizionali basati sulle firme. Considerando che nel primo trimestre del 2025 il 25% delle vulnerabilità è stato sfruttato entro 24 ore dalla loro divulgazione, il rilevamento comportamentale rapido e il contenimento sono diventati fondamentali.

Le tre caratteristiche seguenti definiscono la moderna difesa dagli hacker.

endpoint della rete e endpoint durante l'intero ciclo di vita dell'attacco

Gli aggressori devono muoversi. Effettuano ricognizioni, si insediano nei sistemi, ottengono privilegi più elevati e si spostano da un sistema all'altro. Per individuare questi comportamenti è necessaria una visibilità che vada oltre i controlli perimetrali.

NDR analizza il traffico di rete est-ovest per individuare modelli anomali legati al movimento laterale e alle attività di comando e controllo. EDR integra questa funzione monitorando i processi a livello di host, le modifiche ai file e le catene di esecuzione sospette. Una volta correlati, endpoint provenienti dalla rete e endpoint generano avvisi più precisi e riducono il rumore rispetto ai sistemi basati esclusivamente sulle firme.

A differenza dei tradizionali sistemi di rilevamento delle intrusioni, il monitoraggio comportamentale adatta il rilevamento alle metodologie degli aggressori documentate in framework come MITRE ATT&CK, rendendolo efficace contro zero-day "living-off-the-land" e " zero-day ".

Analisi comportamentale per individuare abusi relativi alle credenziali e da parte di soggetti interni

Gli hacker moderni preferiscono sempre più spesso accedere ai sistemi piuttosto che violarli. Le credenziali compromesse e gli abusi da parte di personale interno spesso sembrano legittimi a prima vista.

I sistemi di analisi comportamentale e UEBA tracciano un profilo dell'attività normale degli utenti e degli account di servizio, individuando anomalie quali:

• Elevazione anomala dei privilegi
  
• Modelli di accesso geografico insoliti
  
• Accesso atipico ai dati o esportazioni in blocco
  

Queste funzionalità si sono rivelate fondamentali in casi come la violazione di PowerSchool, in cui sono stati compromessi 2,8 milioni di dati relativi agli studenti nonostante fossero state inserite credenziali valide. Per individuare gli abusi di identità è necessario un monitoraggio continuo del comportamento, non solo la verifica del corretto esito dell'autenticazione.

Contenimento rapido e resilienza architettonica

La semplice individuazione non basta a prevenire le conseguenze. Le organizzazioni devono tradurre i segnali in misure immediate di contenimento.

I programmi efficaci combinano:

• Manuali di risposta agli incidenti
  
• Isolamento automatico e sospensione dell'account
  
• Microsegmentazione per limitare il movimento laterale
  
• Tecnologie di rilevamento delle frodi per individuare le interazioni non autorizzate
  

Zero-day esisteranno sempre. La maturità difensiva dipende meno dalla capacità di prevenire ogni singolo attacco e più dalla capacità di limitare l'estensione dell'impatto e ridurre il tempo di permanenza una volta che si verifica una compromissione.

Concentrandosi sul comportamento piuttosto che sugli strumenti, le organizzazioni migliorano l'individuazione delle minacce sia note che sconosciute, comprese quelle messe a punto da sofisticati attori statali.

Costruire una strategia di difesa approfondita

Le strategie di difesa approfondita riconoscono che nessun singolo controllo di sicurezza è in grado di prevenire tutti gli attacchi, richiedendo quindi più livelli di protezione che garantiscano ridondanza e resilienza. Questo approccio combina controlli preventivi, investigativi e reattivi a livello di persone, processi e tecnologia per creare posture di sicurezza complete in grado di adattarsi alle minacce in continua evoluzione.

L'integrazione delle piattaforme Extended Detection and Response (XDR) unifica la telemetria di sicurezza proveniente da reti, endpoint, cloud e sistemi di identità in piattaforme centralizzate che correlano gli indicatori tra i vari domini. L'XDR colma le lacune di visibilità create dalle soluzioni puntuali, consentendo ai team di sicurezza di identificare attacchi complessi che coinvolgono più vettori. Queste piattaforme riducono il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR) automatizzando i flussi di lavoro di correlazione, indagine e risposta che sarebbero troppo onerosi per gli analisti umani.

La ricerca proattiva delle minacce integra il rilevamento automatico cercando attivamente gli indicatori di compromissione che eludono i controlli di sicurezza. I cacciatori di minacce sfruttano indagini basate su ipotesi, informazioni sulle minacce e analisi delle anomalie per identificare minacce dormienti, minacce persistenti avanzate che mantengono l'accesso a lungo termine e nuove tecniche di attacco non ancora incorporate nelle regole di rilevamento. La combinazione di competenze umane e rilevamento automatico crea sinergie che nessuno dei due approcci può ottenere da solo.

Quadri giuridici e conformità

Il panorama giuridico relativo alle attività di hacking varia notevolmente da una giurisdizione all'altra, con il Computer Fraud and Abuse Act (CFAA) degli Stati Uniti che funge da principale statuto federale che criminalizza l'accesso non autorizzato ai computer. La comprensione di questi quadri normativi si rivela essenziale sia per i professionisti della sicurezza che conducono test autorizzati sia per le organizzazioni che intendono perseguire gli autori di atti dolosi.

Il Computer Fraud and Abuse Act, codificato come 18 U.S.C. § 1030, criminalizza l'accesso non autorizzato ai computer o il superamento dei limiti di accesso autorizzato, con sanzioni che includono fino a cinque anni di reclusione in un carcere federale per le prime violazioni e fino a dieci anni per le violazioni successive. La formulazione generica del CFAA ha generato polemiche, poiché potenzialmente criminalizza attività come la violazione dei termini di servizio dei siti web o la condivisione delle password. La sentenza della Corte Suprema del 2021 nella causa Van Buren contro gli Stati Uniti ha ristretto l'ambito di applicazione del CFAA, stabilendo che le persone con accesso autorizzato ai computer non possono essere perseguite ai sensi della disposizione "superamento dell'accesso autorizzato" semplicemente per aver abusato di tale accesso. Tuttavia, la legge rimane potente, come dimostrano la condanna a 12 anni inflitta all'hacker di PowerSchool e i procedimenti giudiziari in corso contro gli operatori di ransomware.

La legislazione internazionale in materia di criminalità informatica crea un complesso mosaico di leggi che complicano sia l'azione penale che la difesa. La Convenzione di Budapest sulla criminalità informatica, ratificata da 68 paesi, stabilisce definizioni e quadri comuni per la cooperazione internazionale nelle indagini e nel perseguimento dei reati informatici. Tuttavia, alcuni paesi importanti che non hanno firmato la convenzione, tra cui Russia, Cina e molti paesi in via di sviluppo, creano rifugi sicuri per i criminali informatici che operano oltre confine. Questa frammentazione consente ai gruppi di ransomware di operare da giurisdizioni con una debole applicazione delle leggi sulla criminalità informatica o con rapporti conflittuali con i paesi vittime, complicando notevolmente gli sforzi delle forze dell'ordine.

I requisiti di autorizzazione per l'hacking etico richiedono un permesso scritto esplicito prima di condurre qualsiasi test di sicurezza, indipendentemente dall'intento o dalla metodologia. I programmi di bug bounty forniscono strutture organizzate per l'autorizzazione, definendo l'ambito, le tecniche accettabili e le procedure di divulgazione che proteggono i ricercatori da azioni legali, garantendo al contempo una divulgazione responsabile delle vulnerabilità. Le organizzazioni devono redigere con cura documenti di autorizzazione che delineino chiaramente le attività consentite, i sistemi esclusi e i tempi per i test. La mancata ottenimento di un'autorizzazione adeguata espone gli hacker etici a procedimenti penali, cause civili e conseguenze professionali, indipendentemente dal loro intento benefico.

Le tutele legali relative ai bug bounty si sono evolute attraverso disposizioni di salvaguardia che proteggono i ricercatori da azioni penali quando operano nel rispetto delle linee guida del programma. La politica aggiornata del Dipartimento di Giustizia in materia di frodi e abusi informatici (Computer Fraud and Abuse Act) impone ai pubblici ministeri di non perseguire i ricercatori di sicurezza in buona fede che accedono ai computer esclusivamente per testare, indagare o correggere falle di sicurezza. Tuttavia, queste protezioni rimangono limitate e richiedono ai ricercatori di documentare accuratamente le loro attività, conservare le prove dell'autorizzazione e interrompere immediatamente i test se superano inavvertitamente l'ambito previsto. I rischi legali inerenti alla ricerca sulla sicurezza continuano ad allontanare i ricercatori di talento dalla divulgazione delle vulnerabilità, lasciando potenzialmente scoperti difetti critici.

I quadri di conformità come il NIST Cybersecurity Framework, ISO 27001 e PCI DSS stabiliscono standard di sicurezza che le organizzazioni devono implementare per soddisfare i requisiti normativi e le migliori pratiche del settore. Questi quadri sottolineano sempre più l'importanza di valutazioni periodiche della sicurezza, inclusi test di penetrazione e scansioni delle vulnerabilità, creando domanda per servizi di ethical hacking. I requisiti di conformità stimolano anche gli investimenti in capacità di rilevamento e risposta, poiché normative come il GDPR impongono scadenze rigorose per la notifica delle violazioni che richiedono un rapido rilevamento e una rapida valutazione degli incidenti di sicurezza. Le organizzazioni che non soddisfano gli standard di conformità sono soggette a sanzioni sostanziali, tra cui multe che raggiungono il 4% del fatturato globale ai sensi del GDPR, rendendo i programmi di sicurezza robusti un imperativo aziendale piuttosto che un investimento facoltativo.

Il panorama giuridico in continua evoluzione riflette il crescente riconoscimento dell'importanza fondamentale della sicurezza informatica per la sicurezza nazionale e la stabilità economica. La legislazione proposta include la segnalazione obbligatoria delle violazioni per le infrastrutture critiche, la responsabilità del software per le vulnerabilità di sicurezza e l'inasprimento delle sanzioni per le operazioni di ransomware. Questi cambiamenti aumenteranno probabilmente la domanda di hacker etici, creando al contempo nuovi obblighi legali per le organizzazioni di identificare e correggere in modo proattivo le vulnerabilità prima che possano essere sfruttate da malintenzionati.

Approcci moderni alla difesa dagli hacker

La semplice rilevazione non è più sufficiente. I moderni programmi di sicurezza si stanno evolvendo da un approccio reattivo alla gestione degli incidenti verso modelli di difesa predittivi, integrati e continui, che partono dal presupposto che gli avversari siano persistenti e capaci di adattarsi.

L'attuale maturità difensiva è caratterizzata da tre cambiamenti fondamentali.

Perché i modelli di difesa integrati e proattivi sono più efficaci rispetto a una sicurezza basata su compartimenti stagni

Gli autori degli attacchi moderni sfruttano le lacune esistenti tra strumenti di sicurezza isolati. Le piattaforme integrate, come l'XDR, mettono in correlazione i dati telemetrici provenienti da endpoint, reti, sistemi di gestione delle identità e cloud per individuare attacchi in più fasi che, se considerati singolarmente, risulterebbero innocui.

Allo stesso tempo, le metodologie proattive rafforzano la resilienza:

• La ricerca delle minacce conferma il modello basato sul presupposto di una violazione.
  
• I programmi di bug bounty continui individuano le vulnerabilità prima che lo facciano gli hacker.
  
• L'orchestrazione moderna del SOC automatizza le fasi di arricchimento, triage e contenimento per ridurre i tempi di permanenza.
  

Il risultato è un approccio alla sicurezza incentrato sulla verifica continua, sulla visibilità trasversale e sul contenimento rapido, piuttosto che sulla sola prevenzione perimetrale.

Come Vectra AI gli hacker informatici

Vectra AI il rilevamento degli hacker attraverso Attack Signal Intelligence™, concentrandosi sull'identificazione dei comportamenti degli aggressori piuttosto che affidarsi esclusivamente alle firme o agli indicatori di compromissione noti. Questa metodologia riconosce che, mentre gli hacker evolvono costantemente i loro strumenti e le loro tecniche, alcuni comportamenti fondamentali rimangono costanti: gli aggressori devono effettuare ricognizioni per comprendere l'ambiente, stabilire canali di comando e controllo per l'accesso remoto, muoversi lateralmente per raggiungere risorse di valore e, infine, raggiungere i loro obiettivi, che si tratti di furto di dati, distribuzione di ransomware o spionaggio.

Analizzando il traffico di rete, cloud e i comportamenti delle identità attraverso la lente della progressione degli attacchi, la piattaforma Vectra AI identifica minacce che gli strumenti di sicurezza tradizionali non riescono a rilevare. I modelli di machine learning della piattaforma sono addestrati sui comportamenti di attacco reali osservati in migliaia di organizzazioni, consentendo il rilevamento sia di minacce note, come le tecniche Scattered Spider, sia di attacchi innovativi da parte di attori statali emergenti. Questo approccio comportamentale si rivela particolarmente efficace contro le minacce interne e le credenziali compromesse, identificando attività anomale che violano i modelli stabiliti anche quando si utilizzano metodi di accesso legittimi.

Attack Signal Intelligence si integra perfettamente con gli investimenti esistenti in materia di sicurezza, arricchendo le capacità di rilevamento anziché sostituire gli strumenti attuali. Concentrandosi su rilevamenti comportamentali ad alta fedeltà, la piattaforma riduce il rumore degli avvisi che sovraccarica i team di sicurezza, garantendo al contempo che le minacce reali ricevano l'attenzione adeguata. Ciò consente ai team di sicurezza di passare da una risposta reattiva agli incidenti a una ricerca proattiva delle minacce, identificandole ed eliminandole prima che raggiungano i loro obiettivi.

Conclusione

Il panorama degli hacker nel 2025 rappresenta un ecosistema complesso in cui gli attori statali che utilizzano strumenti basati sull'intelligenza artificiale coesistono con hacker etici che guadagnano milioni grazie ai bug bounty, ridefinendo radicalmente il modo in cui le organizzazioni affrontano la sicurezza informatica. I drammatici eventi dell'ottobre 2025, dalla direttiva di emergenza della CISA a seguito della violazione di F5 Networks agli Scattered Spider , sottolineano che gli approcci tradizionali alla sicurezza non sono in grado di tenere il passo con la velocità e la sofisticazione delle minacce moderne. Con il 25% delle vulnerabilità sfruttate entro 24 ore dalla loro divulgazione e una carenza globale di personale specializzato in sicurezza informatica che si avvicina ai 5 milioni di posizioni, le organizzazioni devono adottare strategie complete che combinino tecnologie di rilevamento avanzate, ricerca proattiva delle minacce e coinvolgimento strategico con hacker etici.

Comprendere l'intero spettro degli hacker, dagli script kiddies che utilizzano strumenti automatizzati agli attori statali che conducono campagne di spionaggio a lungo termine, consente ai team di sicurezza di implementare misure difensive adeguate e personalizzate in base al loro profilo di minaccia. L'evoluzione dal rilevamento basato su firme all'analisi comportamentale e Attack Signal Intelligence la realtà che gli aggressori innovano costantemente i loro strumenti, mentre i comportamenti fondamentali rimangono coerenti. Le organizzazioni che abbracciano questo cambiamento di paradigma, implementando difese a più livelli che includono piattaforme NDR, EDR e XDR, pur mantenendo solide capacità di risposta agli incidenti, ottengono risultati significativamente migliori quando vengono inevitabilmente prese di mira da avversari sofisticati.

In prospettiva, l'integrazione dell'intelligenza artificiale nelle capacità offensive e difensive subirà un'accelerazione, dando vita a una corsa agli armamenti in cui i vantaggi passeranno rapidamente dagli attaccanti ai difensori. Le organizzazioni dovranno trovare un equilibrio tra gli investimenti nella tecnologia e le competenze umane, riconoscendo che i sistemi automatizzati eccellono su larga scala, mentre gli analisti umani forniscono il pensiero critico e la creatività essenziali per identificare minacce nuove. Il panorama normativo e giuridico continuerà ad evolversi per affrontare le minacce emergenti, aumentando probabilmente gli obblighi relativi alle misure di sicurezza proattive e fornendo al contempo quadri più solidi per la cooperazione internazionale contro la criminalità informatica.

Per i professionisti della sicurezza che desiderano rafforzare le difese della propria organizzazione contro il panorama in continua evoluzione delle minacce hacker, esplorare come Attack Signal Intelligence identificare le minacce nascoste nel proprio ambiente rappresenta un passo fondamentale nella creazione di programmi di sicurezza resilienti.

‍