Il settore finanziario registra un'impennata delle intrusioni interattive: ransomware, spionaggio economico e furto di criptovalute sonio i rischi maggiori per banche, assicurazioni e fintech.
Autore: Redazione SecurityOpenLab
Il settore dei servizi finanziari è sottoposto a una pressione crescente: è il quarto più colpito dopo Technology, Manufacturing e Retail, con il 12% di tutta l'attività malevola osservata da CrowdStrike. Il dato emerge dal 2026 Financial Services Threat Landscape Report, che analizza l'attività osservata dal team di intelligence di CrowdStrike nel periodo compreso tra il 1 aprile 2025 e il 31 marzo 2026. In questo intervallo di tempo, il 75% delle intrusioni interattive è attribuibile al cybercrime e ha scopo di lucro, mentre il restante 25% è attuato da APT. Rispetto agli anni passati, sono cresciute l'intensità e la sofisticazione degli attacchi.
Le ragioni per le quali il finance attira tanto le attenzioni sono ben e note: gli istituti finanziari custodiscono capitali, dati personali dei clienti, informazioni di business ad alto valore e, sempre più spesso, portafogli di criptovalute. Inoltre, gli attaccanti con scopo lucrativo reputano le aziende di questo comparto più motivate a pagare riscatti pur di tornare velocemente operative, considerate le conseguenze finanziarie e reputazionali di una interruzione dei servizi.
Sul fronte del cybercrime, un fenomeno che merita di essere citato è il cosiddetto Big Game Hunting (BGH), ossia l’uso di ransomware a doppia estorsione (furto e pubblicazione di dati) contro aziende di grandi dimensioni. Nel periodo in esame sono stati pubblicati sui siti di rivendicazione di gruppi ransomware 423 enti finanziari, che equivale a un incremento del 27% rispetto al periodo precedente.
I gruppi più attivi in questo ambito sono Revenant Spider, che gestisce il ransomware Qilin come servizio, Traveling Spider (operatore dei programmi INC, Lynx e Sinobi), Punk Spider con Akira, Graceful Spider con Clop e Bitwise Spider con LockBit, che operano tutti con il modello Ransomware-as-a-Service.
Per quanto riguarda la disposizione geografica degli attacchi, il Nord America è come sempre il più bersagliato con 236 organizzazioni colpite, seguono East Asia ed Europa con 38 vittime ciascuna.
Il report segnala inoltre un calo del 40% negli annunci pubblici degli Initial Access Broker (IAB), con le inserzioni che sono passate da 155 a 93. Secondo gli esperti non si tratterebbe di una notizia positiva, quanto piuttosto di un cambiamento dei canali di comunicazione per eludere il monitoraggio da parte dei difensori. Restano poi invariati i valori dei listini: accessi da 100 a 1.000.000 di dollari, con un prezzo medio di circa 23.250 dollari e uno mediano di 920 dollari, dove a quotazioni più alte corrispondono aziende più grandi.
Tra tutti i gruppi attivi, Mutant Spider è quello che ha registrato il maggior numero di intrusioni nel settore finanziario durante il periodo di analisi. La sua tecnica principale è il vishing tramite Microsoft Teams, con gli ormai noti attacchi che simulano il supporto IT per farsi cedere le credenziali o i codici di autenticazione a più fattori.
Scattered Spider ha invece ripreso le operazioni contro le compagnie assicurative, con l’uso sistematico del social engineering contro i sistemi di helpdesk: gli attaccanti impersonano dipendenti legittimi e richiedono la reimpostazione di password o codici MFA. L'obiettivo è la consegna di ransomware sulle infrastrutture VMware ESXi. Chatty Spider invece si concentra su studi legali e aziende specializzate in contabilità e assicurazioni. Solar Spider, attivo dal 2018, colpisce storicamente istituti finanziari in Europa, Medio Oriente, Sud Asia e Sud-Est asiatico usando esche a tema transazioni finanziarie per indurre le vittime a scaricare strumenti di accesso remoto.
Sul fronte delle intrusioni sponsorizzate da stati nazionali, la Cina rappresenta la minaccia più strutturata, con obiettivi allineati ai Piani Quinquennali del Partito comunista cinese, che prevedono la raccolta di intelligence economica, strategie di investimento, PII utilizzabili per operazioni di spionaggio downstream. Il focus geografico privilegia Sud e Sud-Est asiatico, con estensioni documentate nelle Americhe e in Medio Oriente, e riflette un interesse sistematico per i mercati in sviluppo e i corridoi di investimento strategico. Per dare un’idea della scala e della copertura geografica su cui questi gruppi sono in grado di operare, bastri pensare che Murky Panda ha colpito 340 organizzazioni in oltre 30 settori accedendo ad account Microsoft 365 da più di 150 indirizzi IP distribuiti in 36 paesi.
La Corea del Nord persegue obiettivi diversi e più immediati. I gruppi affiliati alla Corea del Nord hanno come focus la sottrazione di fondi per finanziare i programmi militari del regime, con 2,02 miliardi di dollari in asset digitali trafugati nel 2025 (+51% rispetto all'anno precedente). I bersagli elettivi sono exchange di criptovalute, piattaforme fintech e sviluppatori blockchain, perché consentono una monetizzazione dei fondi facile e anonima. Rispetto al 2024, i gruppi nordcoreani hanno condotto meno campagne ma con ritorni significativamente più alti, grazie alla selezione di obiettivi ad alto valore.
Russia e Iran mantengono una presenza marginale. L'attività filo russa si concentra sulle entità ucraine e sulle organizzazioni che supportano direttamente lo sforzo bellico, senza interesse focalizzato sul settore finanziario. L'Iran opera in modo opportunistico, sulla scia dell'evoluzione delle tensioni geopolitiche e con un focus su entità occidentali e del Golfo.
Per i prossimi mesi, il report delinea uno scenario di minaccia persistente e multidimensionale. Glie sperti si aspettano che il cybercrime mantenga una pressione più costante e insistente, con il BGH in crescita e gli IAB che continueranno a spostare le transazioni verso canali privati. La Cina resterà la principale minaccia di spionaggio a livello globale per il settore finanziario, con India e Taiwan identificate come priorità geografiche emergenti. La Corea del Nord intensificherà le operazioni di furto di asset digitali per finanziare le proprie attività militari. L'hacktivismo rimarrà attivo, trainato dai conflitti geopolitici in corso.
Il fattore trasversale che agirà da accelerante è l'AI, che permetterà agli attaccanti di attuare tecniche di social engineering più convincenti, di scalare gli attacchi su più lingue e piattaforme e di automatizzare parti del ciclo di attacco. Inoltre, l'adozione dell'AI da parte delle stesse istituzioni finanziarie espande la superficie di attacco, introducendo nuovi vettori che richiedono protezione specifica.
Gli esperti raccomandano di rafforzare la verifica dell'identità, di accelerare il patching delle appliance perimetrali e delle infrastrutture esposte, di proteggere i sistemi critici con segmentazione e piani di incident response testati. Inoltre, è bene mettere in sicurezza i workflow legati agli asset digitali e alle supply chain software, e adottare un approccio di difesa proattivo basato su intelligence e threat hunting.