La nuova era delle minacce informatiche basate sull'IA L’indagine di Cisco Talos e le soluzioni da adottare

  • Scoperta una nuova categoria di minacce informatiche che sfrutta l'intelligenza artificiale.
  • Il ransomware CyberLock cripta i file presenti sul dispositivo della vittima. I cybercriminali richiedono riscatti apparentemente destinati a cause umanitarie in aree come Palestina, Ucraina, Africa e Asia.
  • Un nuovo malware, soprannominato "Numero" e identificato da Cisco Talos, colpisce i sistemi Windows manipolando l'interfaccia grafica (GUI), fino a rendere i dispositivi completamente inutilizzabili.

MILANO, 5 giugno 2025  - I criminali informatici stanno sfruttando la crescente diffusione dell’Intelligenza Artificiale per attaccare in modo sempre più sofisticato privati e aziende. Le tecniche utilizzate per distribuire software dannosi sono di diversa natura, fra cui l’avvelenamento SEO, una strategia che manipola i risultati dei motori di ricerca per far comparire i propri siti e link malevoli tra i primi risultati, o anche l’utilizzo di piattaforme come Telegram e social media messenger. Le aziende in cerca di soluzioni basate sull’IA rischiano così di scaricare applicazioni contraffatte contenenti malware. Questa tipologia di minacce può compromettere dati sensibili, causare perdite economiche e minare la fiducia nelle tecnologie legittime. Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha recentemente identificato diverse minacce informatiche che si presentano come versioni legittime di applicazioni di IA.

CyberLock ransomware

Cisco Talos ha scoperto una nuova truffa informatica: un sito web falso, "novaleadsai[.]com", che replica il legittimo "novaleads.app", una piattaforma per la monetizzazione dei lead. I cybercriminali offrivano agli utenti un tool gratuito per 12 mesi, seguito da un abbonamento mensile di 95 dollari. Per aumentare la visibilità, il sito fraudolento veniva stato manipolato per apparire tra i primi risultati dei motori di ricerca. Dopo aver scaricato il file ZIP contenente l’eseguibile, lo script installava il ransomware CyberLock, avviando la crittografia dei dati.

Sito web falso che pubblicizza lo strumento di intelligenza artificiale

Richiesta di riscatto tramite CyberLock

Attivo da febbraio 2025, il ransomware CyberLock sta colpendo dati sensibili e aziendali, chiedendo un riscatto di 50.000 dollari in criptovalute Monero. I cybercriminali, dopo aver ottenuto accesso completo a documenti, file personali e database riservati, utilizzano subdole tattiche psicologiche dichiarando che i pagamenti finanzieranno aiuti umanitari in aree come Palestina, Ucraina, Africa e Asia. Questa operazione di riscatto è più difficile da tracciare da parte delle forze dell'ordine per via della suddivisione del pagamento in due portafogli cripto. Talos ha anche registrato le modifiche dello sfondo del desktop della vittima, un ulteriore strumento per aumentare la pressione psicologica.

Lucky_Gh0$t: una falsa installazione di ChatGPT

Cisco Talos ha scoperto anche Lucky_Gh0$t, un ransomware che viene diffuso tramite un archivio ZIP autoestraente, mascherato da "ChatGPT 4.0 full version – Premium.exe". Questo pacchetto include l'eseguibile del ransomware e strumenti IA legittimi di Microsoft, probabilmente per eludere gli antivirus. All'apertura, lo script esegue il ransomware che elimina le shadow copy e i backup. Inoltre, cripta file inferiori a 1,2 GB e distrugge quelli più grandi, sovrascrivendoli.

“Numero”: un finto strumento per la creazione di video IA

Cisco Talos ha identificato inoltre un nuovo malware, soprannominato "Numero", che inganna gli utenti camuffandosi da installer di InVideo AI, una diffusa piattaforma online per la creazione di video. Il cybercriminale ha falsificato i metadati del file per far credere che il malware fosse un prodotto autentico di InVideo AI.

Le soluzioni Cisco per proteggersi

Per contrastare le minacce descritte in questo alert, Cisco offre un portafoglio integrato di soluzioni di sicurezza in grado di prevenire, rilevare e rispondere efficacemente agli attacchi informatici:

  • Cisco Secure Endpoint previene l'esecuzione di malware grazie a capacità avanzate di rilevamento e risposta sugli endpoint (EDR/XDR), proteggendo gli utenti dalle minacce note e sconosciute.
  • Cisco Secure Email blocca le e-mail dannose e le campagne di phishing inviate dai criminali informatici, prevenendo l’avvio di infezioni tramite posta elettronica.
  • Le appliance Cisco Secure Firewall come Threat Defense Virtual, Adaptive Security Appliance e Meraki MX sono in grado di rilevare le attività dannose affrontate in questa indagine.
  • Cisco Secure Network/Cloud Analytics analizza automaticamente il traffico di rete e avvisa gli utenti di attività potenzialmente indesiderate su ogni dispositivo connesso.
  • Cisco Secure Malware Analytics identifica i file binari dannosi e integra la protezione in tutti i prodotti Cisco Secure.
  • Cisco Secure Access è la soluzione di Security Service Edge (SSE) basata su cloud e principi di Zero Trust, garantisce un accesso sicuro e trasparente a Internet, servizi cloud e applicazioni private, ovunque si trovino gli utenti.
  • Cisco Umbrella è il gateway Internet che impedisce connessioni a domini, IP e URL dannosi, proteggendo gli utenti anche quando si trovano fuori dalla rete aziendale.
  • Cisco Secure Web Appliance blocca automaticamente i siti potenzialmente pericolosi e testa i siti sospetti prima che gli utenti vi accedano.
  • Cisco Duo fornisce autenticazione a più fattori (MFA) per garantire che solo utenti autorizzati possano accedere alla rete e alle applicazioni aziendali.

A proposito di Cisco

Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che sta rivoluzionando il modo in cui le organizzazioni si connettono e si proteggono nell'era dell'IA. Per oltre 40 anni, Cisco ha connesso il mondo in modo sicuro. Con le sue soluzioni e servizi leader del settore basati sull'IA, Cisco consente ai suoi clienti, partner e comunità di sbloccare l'innovazione, migliorare la produttività e rafforzare la resilienza digitale. Con uno scopo al centro, Cisco rimane impegnata a creare un futuro più connesso e inclusivo per tutti. Scopri di più su The Newsroom e seguici su X all'indirizzo @Cisco.

Cisco e il logo Cisco sono marchi di fabbrica o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri paesi. Un elenco dei marchi di Cisco è disponibile all'indirizzo http://www.cisco.com/go/trademarks. I marchi di terze parti menzionati sono proprietà dei rispettivi titolari. L'uso della parola "partner" non implica una relazione di partnership tra Cisco e qualsiasi altra azienda.

Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it