Dal cybercrime alla disruption: il nuovo modello delle minacce cyber

Il panorama delle minacce cyber sta attraversando una trasformazione profonda.
Ciò che fino a poco tempo fa era appannaggio esclusivo di attori statali altamente organizzati sta progressivamente migrando verso una rete più ampia e distribuita di gruppi semi-indipendenti.

L’approfondimento che segue descrive un cambiamento strutturale nel modo in cui alcune campagne cyber vengono pianificate ed eseguite: non più operazioni monolitiche condotte da un unico attore, ma catene modulari in cui diversi gruppi svolgono ruoli specializzati. C’è chi ottiene l’accesso iniziale, chi esegue la fase distruttiva, chi gestisce la narrazione pubblica dell’attacco. Un modello che ricorda da vicino quello del Ransomware-as-a-Service, ormai ben noto nel mondo del cybercrime, ma orientato questa volta verso finalità più distruttive che estorsive.

Per le organizzazioni europee, pubbliche e private, questo scenario ha implicazioni concrete e immediate. L’Europa non è uno spettatore distante: infrastrutture critiche, enti governativi, aziende manifatturiere e operatori di servizi essenziali rientrano pienamente nel perimetro di interesse di questi attori. Le campagne documentate mostrano pattern e strumenti riutilizzati sistematicamente in contesti geografici diversi, un segnale chiaro che il rischio non è localizzato, ma replicabile ovunque vi siano obiettivi di valore strategico o simbolico.

In questo contesto, comprendere l’evoluzione del modello operativo degli attori coinvolti non è un esercizio accademico. È il primo passo per adeguare le proprie difese, rivedere i piani di risposta agli incidenti e garantire la continuità operativa anche in scenari di attacco distruttivo.

Ma soprattutto, è un cambio di prospettiva:
non si tratta più solo di prevenire un attacco, ma di essere pronti a gestirne le conseguenze quando – inevitabilmente – accade.

Il nuovo modus operandi dell’Iran

Rafael Franco – Founder & CEO, Code Blue

Negli ultimi tempi sta emergendo un quadro preoccupante. L’Iran sta adottando con successo un modello operativo già noto nel mondo del cybercrime, il Ransomware-as-a-Service (RaaS), ma lo sta portando un passo oltre, verso una direzione più distruttiva: il Wiper-as-a-Service.

Nel corso di diverse indagini condotte nell’ultimo mese su aziende e organizzazioni differenti, abbiamo identificato strumenti di attacco simili utilizzati da gruppi diversi. Questo porta a ritenere che il MOIS, il Ministero dell’Intelligence iraniano e uno degli attori più rilevanti nel panorama cyber, abbia adottato un nuovo modello operativo: la distribuzione su larga scala di strumenti avanzati a gruppi filo-iraniani.

È emerso inoltre un altro indicatore significativo. Strumenti di tipo wiper, precedentemente associati quasi esclusivamente ad attori statali iraniani, vengono ora osservati, per la prima volta, anche nelle mani di attori proxy. Questo rafforza la valutazione secondo cui capacità distruttive avanzate vengono decentralizzate e delegate a entità semi-indipendenti.

Oltre alla distribuzione degli strumenti, sta emergendo anche un modello più evoluto di divisione operativa del lavoro. Un attore ottiene l’accesso e svolge attività di ricognizione, mentre un altro esegue successivamente la fase distruttiva. Ricerche recenti evidenziano passaggi sistematici tra gruppi diversi, segno di una struttura operativa modulare e organizzata, e non di una semplice condivisione occasionale di strumenti. Questo processo riduce significativamente il tempo necessario per generare impatto.

Nel corso di una delle nostre indagini è stato osservato anche un elemento operativo insolito. Un errore nella connessione VPN durante un’attività di attacco ha esposto un indirizzo IP reale, localizzato nei pressi dell’Università di Teheran. Questo rafforza l’ipotesi che parte delle attività si basi ancora su infrastrutture locali e che possa essere soggetta a errori operativi.

Questo approccio rientra in una strategia più ampia volta ad aumentare il volume degli attacchi attraverso l’attivazione di gruppi proxy come Anonymous for Justice, Handala, Moses Staff e altre entità simili.

Sono state inoltre riscontrate similitudini tra attacchi distruttivi attribuiti all’Iran in altri contesti, come ad esempio in Albania, e attività recenti contro obiettivi israeliani, inclusi strumenti e modalità operative analoghe. La conclusione è chiara: non si tratta di episodi isolati, ma di una procedura ripetibile che sta diventando una routine operativa.

Un’ulteriore valutazione è che il regime iraniano stia incontrando difficoltà nel condurre attacchi diretti, anche a causa di limitazioni infrastrutturali e dell’isolamento della rete. Per questo ha scelto di trasferire parte delle proprie capacità offensive a attori proxy. In pratica, si sta creando una rete distribuita di gruppi cyber che operano per conto dell’Iran, consentendo maggiore flessibilità e resilienza operativa.

Allo stesso tempo, è evidente che l’Iran non sta solo adottando tecniche, ma anche l’intero ecosistema del cybercrime. Questo include modelli, servizi e infrastrutture tradizionalmente associati alla criminalità informatica, utilizzati per scalare e accelerare le attività.

Inoltre, a differenza del passato, quando la negabilità plausibile era una componente centrale, la sua importanza sembra oggi ridursi. Il crescente utilizzo di proxy, insieme all’esposizione operativa e all’ampiezza delle attività, indica uno spostamento verso un approccio meno vincolato, in cui l’impatto e il danno prevalgono sulla necessità di occultamento.

Nella pratica, sta emergendo un contesto in cui attori apparentemente “indipendenti” operano sulla base di motivazioni ideologiche, beneficiando al contempo di guida, strumenti e talvolta infrastrutture statali.

Vi sono anche indicazioni che alcuni attori filo-iraniani stiano operando come Initial Access Broker, specializzandosi nell’ottenere accesso iniziale e consentendo ad altri gruppi di eseguire le fasi successive dell’attacco. Questo potrebbe rappresentare un passaggio coordinato verso una maggiore specializzazione funzionale all’interno della catena di attacco iraniana.

Analogamente alla rapida espansione del modello RaaS dopo il periodo COVID, è probabile assistere a una diffusione delle capacità di livello statale verso attori semi-indipendenti, senza un vero modello di controllo. Il risultato è che organizzazioni che in precedenza si concentravano principalmente su operazioni di influenza dispongono ora di capacità di attacco avanzate e distruttive.

Lo sforzo cyber dell’Iran rappresenta anche una risposta complementare alle lacune nel dominio cinetico e costituisce uno strumento centrale per influenza, deterrenza e disruption. Microsoft ha descritto l’attività iraniana recente come uno spostamento verso un modello operativo ampio, coordinato e sempre più aggressivo, sia in termini di scala sia di livello di distruzione.

Inoltre, la combinazione tra distruzione tecnica e influenza psicologica non è un effetto collaterale, ma una componente intrinseca del modello. Gli attacchi distruttivi sono accompagnati da attività di comunicazione, data leak e talvolta da una deliberata esagerazione dei risultati, con l’obiettivo di generare un impatto psicologico diffuso.

Da un punto di vista strategico, il modello basato su proxy fornisce all’Iran nuove capacità che non dipendono dall’isolamento della rete o da infrastrutture deboli e rende più complesso colpire in modo mirato infrastrutture che talvolta si trovano al di fuori del Paese.

In sintesi:

• I gruppi filo-iraniani stanno diventando un attore centrale nello sforzo cyber dell’Iran.
• Capacità e strumenti di livello statale vengono distribuiti ad attori proxy, dando origine a un modello cyber decentralizzato.
• È probabile che ulteriori organizzazioni si uniscano all’ecosistema iraniano, formando entità ibride che combinano cybercrime e cyber terrorismo. L’estorsione potrebbe evolvere verso modelli basati sulla distruzione, rendendo sempre più difficile distinguere tra motivazioni economiche e statali.

Ci si aspetta un aumento del volume di tentativi di attacco contro Israele, il Nord America, i Paesi del Medio Oriente e i partner europei. Questa valutazione è supportata anche da avvisi ufficiali relativi all’attività iraniana contro infrastrutture critiche negli Stati Uniti, inclusi sistemi operativi e controlli industriali.

Le implicazioni non riguardano solo un aumento del numero di attacchi, ma uno spostamento verso una minaccia diretta alla continuità operativa: interruzione dei servizi, blocco dei sistemi e danni immediati alle attività aziendali.

Di conseguenza, ogni organizzazione deve rivalutare il proprio livello di preparedness e garantire una reale prontezza organizzativa e operativa per affrontare questa minaccia in evoluzione. Ciò include capacità di recupero, possibilità di passare a modalità operative manuali e ripristino rapido dei sistemi critici. In questo contesto, è raccomandato definire protocolli tecnici di emergenza e procedure di backup adeguate.

Se vuoi approfondire questi aspetti o valutarne l’impatto sulla tua organizzazione, siamo a disposizione.