Security

Cyberattacchi AI: minacce accelerate nella catena

3 min di lettura

Riepilogo

Microsoft avverte che gli attori delle minacce stanno ora integrando l’AI nell’intero ciclo di vita del cyberattacco, dalla ricognizione e dal phishing fino allo sviluppo di malware e alle operazioni post-compromissione. Per i difensori, questo significa attacchi più rapidi e precisi, tassi di successo del phishing più elevati e una crescente necessità di rafforzare identità, protezioni MFA e visibilità sulle superfici di attacco guidate dall’AI.

Hai bisogno di aiuto con Security?Parla con un esperto

L'AI è ora una superficie completa di cyberattacco

Introduzione

Microsoft afferma che l’AI non è più solo uno strumento di produttività per gli attaccanti: sta diventando parte integrante dell’intero ciclo di vita dell’attacco. Questo cambiamento è importante perché le organizzazioni si trovano ora ad affrontare attacchi più rapidi da lanciare, più facili da affinare e più efficaci su larga scala, soprattutto nel phishing e nella compromissione delle identità.

Cosa c’è di nuovo

L’ultima analisi sulla sicurezza di Microsoft evidenzia diverse tendenze importanti:

  • L’AI è integrata, non emergente: gli attori delle minacce utilizzano l’AI nella ricognizione, nella creazione di malware, nel phishing, nella persistenza e nelle attività post-compromissione.
  • Il phishing sta diventando molto più efficace: Microsoft segnala che le campagne di phishing assistite dall’AI possono raggiungere tassi di clic del 54%, rispetto a circa il 12% delle campagne tradizionali.
  • L’identità resta il bersaglio principale: gli attaccanti combinano esche sofisticate generate dall’AI con infrastrutture adversary-in-the-middle progettate per aggirare MFA.
  • Il cybercrime si sta industrializzando: Microsoft ha indicato Tycoon2FA, collegato a Storm-1747, come una piattaforma di phishing in abbonamento che supportava il bypass di MFA su scala enorme.
  • L’interruzione resta fondamentale: la Digital Crimes Unit di Microsoft ha recentemente sequestrato 330 domini legati a Tycoon2FA in coordinamento con Europol e partner del settore.

Perché questo è importante per gli amministratori IT

Il messaggio principale per i team di sicurezza è che l’AI sta migliorando la precisione degli attaccanti, non solo il volume. Una localizzazione migliore, messaggi più credibili, impersonificazione in stile deepfake e iterazioni più rapide del malware riducono tutti il tempo tra la selezione del bersaglio e la compromissione riuscita.

Per gli amministratori, questo aumenta il rischio relativo a:

  • Email phishing e business email compromise
  • Bypass di MFA e furto di token di sessione
  • Sviluppo di malware assistito dall’AI
  • Scarsa visibilità su agent software e strumenti abilitati all’AI
  • Movimento laterale post-compromissione e triage dei dati

Microsoft avverte inoltre che l’ecosistema degli agent e la supply chain del software diventeranno una superficie di attacco importante. Le organizzazioni che non dispongono di un inventario chiaro di app, agent e identità distribuiti potrebbero avere difficoltà a rilevare rapidamente gli abusi.

Prossimi passaggi consigliati

Gli amministratori della sicurezza e di Microsoft 365 dovrebbero considerare le seguenti azioni:

  1. Rivalutare le difese contro il phishing con una protezione email più solida, segnalazione da parte degli utenti e programmi di simulazione.
  2. Rafforzare le protezioni dell’identità riesaminando la resilienza di MFA, la protezione dei token, Conditional Access e i criteri di rischio di accesso.
  3. Migliorare l’inventario di asset e agent affinché i team di sicurezza sappiano quali software, automazioni e servizi connessi all’AI sono distribuiti.
  4. Dare priorità a rilevamento e risposta per il dirottamento di sessione, gli accessi anomali e i comportamenti post-compromissione.
  5. Utilizzare threat intelligence integrata da Microsoft Defender e dagli strumenti di sicurezza correlati per monitorare l’evoluzione delle tattiche degli attaccanti.

In sintesi

Il messaggio di Microsoft è chiaro: l’AI sta cambiando l’economia del cybercrime rendendo le tattiche avanzate più economiche, più rapide e più facili da scalare. Per i leader IT e della sicurezza, la risposta deve concentrarsi sulla sicurezza dell’identità, su una migliore visibilità e su un rilevamento più rapido per tenere il passo con le minacce potenziate dall’AI.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Sherrod DeGrippo
AI securityphishingMFA bypassMicrosoft Defendercybercrime

Articoli correlati

Security

Webshell PHP con cookie su Linux: elusione

Microsoft avverte che gli attori delle minacce stanno usando cookie HTTP per controllare webshell PHP negli ambienti di hosting Linux, aiutando il codice malevolo a restare inattivo finché non sono presenti specifici valori dei cookie. La tecnica riduce la visibilità nei log di routine, supporta la persistenza tramite cron job e sottolinea la necessità di un monitoraggio più efficace, protezione web e rilevamento endpoint sui carichi di lavoro Linux ospitati.

Security

Compromissione supply chain Axios npm: guida

Microsoft ha avvisato che le versioni npm dannose di Axios 1.14.1 e 0.30.4 sono state usate in un attacco alla supply chain attribuito a Sapphire Sleet. Le organizzazioni che usano i pacchetti interessati dovrebbero ruotare subito i segreti, eseguire il downgrade a versioni sicure e verificare eventuali compromissioni su endpoint degli sviluppatori e sistemi CI/CD.

Security

Sicurezza infrastrutture critiche: preparazione 2026

Microsoft afferma che il modello di minaccia per le infrastrutture critiche è passato da attacchi opportunistici ad accessi persistenti basati sull’identità, pensati per causare future interruzioni. Per i responsabili IT e della sicurezza, il messaggio è chiaro: ridurre l’esposizione, rafforzare l’identità e validare subito la preparazione operativa, mentre aumentano regolamentazioni e attività degli stati nazione.

Security

Sicurezza AI per CISO: guida pratica Microsoft

Microsoft consiglia ai CISO di proteggere i sistemi AI usando gli stessi controlli fondamentali già applicati a software, identità e accesso ai dati. La guida evidenzia il principio del privilegio minimo, le difese contro il prompt injection e l’uso della stessa AI per individuare problemi di autorizzazione prima che lo facciano utenti o attaccanti.

Security

Campagna malware WhatsApp con backdoor VBS e MSI

Gli esperti di Microsoft Defender hanno scoperto una campagna di fine febbraio 2026 che usa messaggi WhatsApp per distribuire file VBS dannosi, quindi installa pacchetti MSI non firmati per persistenza e accesso remoto. L’attacco combina social engineering, utility Windows rinominate e servizi cloud affidabili per eludere il rilevamento, rendendo fondamentali i controlli sugli endpoint e la consapevolezza degli utenti.

Security

Copilot Studio: rischi OWASP per Agentic AI

Microsoft spiega come Copilot Studio e l’imminente disponibilità generale di Agent 365 possano aiutare le organizzazioni ad affrontare la OWASP Top 10 per le applicazioni agentic. Questa guida è importante perché i sistemi di agentic AI possono usare identità reali, dati e strumenti, creando rischi di sicurezza che vanno ben oltre output imprecisi.