Il cybercrime organizzato è diventato un fenomeno industriale globale, alimentato da gruppi profit-driven che operano con processi ripetibili, ruoli specializzati e una filiera sotterranea di servizi. Le stime indicano un impatto economico enorme, con costi che potrebbero arrivare a 12,2 trilioni di dollari l’anno entro il 2031, segnale che la criminalità informatica non è più un rischio marginale ma una minaccia sistemica per aziende e persone.

Uno dei trend più critici riguarda l’uso improprio di strumenti legittimi. I criminali sfruttano sempre più spesso software di Remote Monitoring and Management (RMM), nati per l’assistenza IT, trasformandoli in un canale di accesso persistente agli ambienti aziendali. Questo approccio riduce la necessità di malware tradizionale e rende più difficile distinguere attività lecite da azioni ostili, soprattutto quando i controlli di identità e le policy di accesso non sono rigorose.

Sul fronte della distribuzione iniziale, emerge il peso dei malware loader e di tecniche che facilitano l’esecuzione di codice tramite ingegneria sociale. Una quota rilevante dell’attività dei loader è attribuita a ClickFix, che mostra quanto le abitudini quotidiane degli utenti possano essere manipolate per ottenere un primo foothold. In parallelo, l’acquisto di credenziali rubate è sempre più economico e semplice, abbassando la barriera di ingresso anche per attori meno esperti e accelerando gli attacchi basati su accessi validi.

Il ransomware evolve verso strategie di maggiore discrezione. Il time-to-ransom aumenta perché i gruppi privilegiano stealth, esfiltrazione dati ed estorsione multipla, puntando a massimizzare la leva psicologica e finanziaria sulla vittima. In questo contesto si consolidano alcuni nomi dominanti nel mercato ransomware, tra cui Akira, Medusa, Qilin e Ransomhub, che si distinguono per capacità operative e continuità delle campagne.

Un altro vettore chiave è la compromissione della posta elettronica aziendale. La manipolazione delle mailbox e l’abuso di OAuth aprono la strada alle Business Email Compromise (BEC), dove la fiducia diventa l’asset più sfruttato. L’attenzione non deve limitarsi al phishing, perché l’ecosistema criminale integra anche automazione e intelligenza artificiale generativa per aumentare velocità, realismo e scalabilità delle truffe, trasformando l’abuso della fiducia in un moltiplicatore di forza.