Attacchi finanziari, +43% in due anni: l’allarme CrowdStrike

Gli hacker legati alla Corea del Nord hanno sottratto miliardi in asset digitali nel 2025, mentre gli attacchi informatici agli istituti finanziari sono cresciuti del 43% a livello globale. I dati del nuovo report CrowdStrike 2026.

Gli hacker nordcoreani hanno saccheggiato miliardi in criptovalute nel 2025, mentre gli attacchi informatici al settore finanziario globale sono accelerati a un ritmo senza precedenti.

È quanto emerge dal Financial Services Threat Landscape Report 2026 pubblicato da CrowdStrike (NASDAQ: CRWD), che dipinge un quadro allarmante per banche e istituti finanziari di tutto il mondo. Secondo il rapporto, gli attori legati alla Corea del Nord hanno trasformato il cybercrime in una vera e propria industria, affiancando al furto di asset digitali sofisticate tecniche di inganno potenziate dall’intelligenza artificiale.

I dati quantitativi confermano la portata del fenomeno: le intrusioni hands-on-keyboard — quelle in cui l’aggressore opera manualmente all’interno dei sistemi compromessi — sono aumentate del 43% a livello globale e del 48% in Nord America nel corso degli ultimi due anni. A rendere ancora più insidiosa la minaccia è la capacità degli attaccanti di sfruttare credenziali e identità apparentemente legittime, insieme ad applicazioni SaaS diffuse, per aggirare i tradizionali sistemi di difesa, sempre più inadeguati di fronte a tattiche in rapida evoluzione.

Il furto di asset digitali tocca livelli record, con la Corea del Nord protagonista indiscussa

Secondo il report CrowdStrike, gli attori riconducibili a Pyongyang sono i principali responsabili di un’impennata del 51% su base annua nei furti di asset digitali nel 2025, per un bottino complessivo di 2,02 miliardi di dollari sottratti al settore finanziario globale.

A fare storia è l’operazione condotta dal gruppo PRESSURE CHOLLIMA, autore del più grande furto finanziario mai registrato: 1,46 miliardi di dollari in criptovalute, ottenuti attraverso software trojanizzato — programmi dall’apparenza legittima, ma modificati per nascondere al loro interno codice malevolo — veicolati tramite una compromissione della supply chain software.

Non meno sofisticata la strategia del gruppo GOLDEN CHOLLIMA, che ha fatto leva su false offerte di lavoro per dirottare fondi in criptovaluta e infiltrarsi negli ambienti cloud di società fintech operanti nel Sud-Est asiatico e in Canada.

Gli attori nordcoreani potenziano le tecniche di inganno con l’intelligenza artificiale.

FAMOUS CHOLLIMA ha raddoppiato le proprie attività utilizzando identità generate dall’AI per infiltrarsi in piattaforme di scambio di criptovalute, piattaforme fintech e banche consumer. STARDUST CHOLLIMA ha triplicato l’intensità delle proprie operazioni, impiegando profili di recruiter generati dall’AI e ambienti di videoconferenza falsi creati digitalmente, con l’obiettivo di colpire società fintech in Nord America, Europa e Asia.

Lo spionaggio riconducibile alla Cina si espande a livello globale.

Gli avversari di matrice cinese hanno rappresentato la minaccia più significativa per le attività di intelligence e raccolta di informazioni strategiche. HOLLOW PANDA ha condotto intrusioni presso istituti finanziari nelle Filippine, in Indonesia e in Brasile. MURKY PANDA, invece, ha dispiegato una rete operativa di relay box in oltre 150 endpoint distribuiti in 36 paesi, prendendo di mira 340 organizzazioni in più di 30 settori, tra cui i servizi finanziari figurano tra i bersagli più colpiti.

La pressione dell’eCrime sul settore si intensifica.

Nel 2025, 423 organizzazioni operanti nei servizi finanziari sono apparse su siti di leak dedicati, segnando un aumento del 27% su base annua. MUTANT SPIDER si è distinto come il principale responsabile di intrusioni condotte attraverso campagne di vishing, rivendendo successivamente gli accessi compromessi a gruppi ransomware e consentendo così attacchi sempre più rapidi e scalabili. SCATTERED SPIDER, invece, dopo una pausa di quattro mesi, ha ripreso nella prima metà del 2025 operazioni ransomware aggressive, prendendo di mira enti assicurativi.

“Le società che operano nel settore dei servizi finanziari devono far fronte a minacce provenienti da più fronti che l’AI sta rendendo più difficile fermare. Il costo per creare identità credibili, automatizzare le attività di ricognizione, e accelerare il furto di credenziali è ormai prossimo allo zero – ha affermato Adam Meyers, head of counter adversary operations di CrowdStrike -. Gli avversari utilizzano l’AI per ridurre il tempo tra l’accesso iniziale e l’impatto, muovendosi attraverso percorsi ritenuti affidabili più velocemente di quanto le difese tradizionali siano in grado di fare per rispondere. Per colmare questo divario, i difensori devono contrastare l’AI con l’AI, combinando l’intelligence con l’attività di threat hunting per anticipare gli avversari”.

LEGGI ANCHE

Gli ultimi articoli