Nel 2024, il trasporto marittimo ha subito un forte aumento delle minacce informatiche, in uno scenario che da un lato è sempre più digitalizzato e dall’altro è ancora segnato da gravi punti deboli. È quanto emerge dal rappaorto Global Maritime Cyber Threat Report sul secondo semestre dell’anno, redatto da Marlink. L’analisi, che si basa su oltre 30 miliardi di eventi di rete raccolti nella seconda metà dell’anno, rivela una realtà in cui gli attacchi informatici non solo aumentano di numero, ma diventano anche più sofisticati, rapidi e mirati.
Un elemento che caratterizza questa fase è la dimensione ormai imprenditoriale del crimine informatico. I cibercriminali operano oggi con una struttura aziendale, facendo ampio uso di servizi come ransomware-as-a-service, broker di accessi e strumenti “legittimi” sfruttati in modo malevolo, come PowerShell e AnyDesk. Questo modello riduce la necessità di malware tradizionali e rende più difficile il rilevamento. A ciò si aggiunge l’utilizzo sempre più diffuso d’intelligenza artificiale generativa, impiegata per creare attacchi di phishing più credibili, accelerare la produzione di codice dannoso e rendere gli attacchi più automatizzati.
In molti casi, il tempo necessario agli aggressori per passare da un punto d’ingresso alla compromissione dell’intero sistema è sceso sotto l’ora, con episodi in cui è bastato meno di un minuto.
Ciò che sorprende maggiormente è che la tecnica più utilizzata non è l’attacco zero-day o l’exploit sofisticato, ma l’impiego di credenziali valide, spesso ottenute tramite phishing o furto. La compromissione avviene così attraverso canali remoti aperti, come Vpn e Rdp, e l’utilizzo di comandi nativi del sistema operativo, rendendo inutili le difese antivirus tradizionali.
Il campione osservato da Marlink comprende quasi duemila navi, oltre ventiduemila endpoint protetti e circa diecimila caselle di posta elettronica. Nonostante l’ampia adozione di strumenti di sicurezza, i dati rivelano una diffusione preoccupante di pratiche pericolose. Sono stati rilevati oltre tre milioni di episodi di malware, con una forte presenza di software pirata e attivatori illegali, che non solo mettono a rischio la stabilità operativa, ma rappresentano anche una possibile porta d’ingresso per attacchi mirati. La presenza di botnet silenziose come Torpig, Mozi e Mirai evidenzia la capacità degli attaccanti di mantenere un controllo latente sulle navi, utilizzandole anche come piattaforme per lanciare attacchi verso l’esterno.
La posta elettronica continua a essere uno dei principali vettori di minaccia. Su oltre cinque milioni di email analizzate, circa novecentomila sono state bloccate per spam, phishing o spoofing. Particolarmente insidioso è il traffico proveniente da fornitori terzi che non adottano misure minime di protezione, come i protocolli Dmarc, Spf e Dkim, dimostrando quanto la catena di fornitura resti un anello debole della sicurezza informatica marittima.
Non mancano poi i segnali di un coinvolgimento crescente di attori statali, tra cui gruppi noti come Apt33, Apt41, Lazarus e Apt28, spesso legati a interessi geopolitici. A questi si affiancano bande criminali come LockBit, Play, Akira e Rhysida, che sfruttano tecniche di estorsione multipla, combinando cifratura dei dati, furto di informazioni e minacce reputazionali. Preoccupa in particolare il ritorno di Remcos, un malware di controllo remoto capace di aggirare anche le difese basate su autenticazione a più fattori e di garantire accesso prolungato ai sistemi di bordo.
Le vulnerabilità più sfruttate nel semestre sono in gran parte note e documentate, come quelle su Microsoft Outlook, Citrix NetScaler e Apache Log4j2. La loro persistenza nei sistemi dimostra la difficoltà delle organizzazioni nel mantenere aggiornati i propri ambienti tecnologici, soprattutto quando si opera in contesti isolati come le navi. Anche strumenti legittimi come WinScp, ScreenConnect e Metasploit vengono frequentemente abusati per condurre operazioni offensive invisibili.
Guardando al futuro, Marlink prevede che nel 2025 le minacce diventeranno ancora più automatizzate e pervasivamente basate sull’intelligenza artificiale. Gli attacchi si estenderanno maggiormente verso i sistemi OT e IoT, con possibili conseguenze anche sulla sicurezza fisica delle imbarcazioni. La criminalità informatica farà sempre più uso di ransomware “as a service” e tecniche di estorsione evolute, mentre si moltiplicheranno le campagne basate su deepfake e attacchi alla catena di fornitura, in particolare verso software e servizi cloud.
In questo contesto, le raccomandazioni di Marlink vanno nella direzione di un rafforzamento sistemico della postura difensiva. È fondamentale allinearsi a standard internazionali come Imo 2021 e Nis2, segmentare le reti IT e OT a bordo, implementare soluzioni di autenticazione forte e gestione delle credenziali, garantire il monitoraggio continuo anche in condizioni di connettività limitata, e sviluppare un ciclo di aggiornamento sicuro compatibile con le peculiarità dell’ambiente marittimo. A completare il quadro, serve un investimento serio nella formazione degli equipaggi, affinché la consapevolezza e la prontezza nell’affrontare incidenti diventino parte integrante della cultura di bordo.
Il 2024 ha dimostrato che il trasporto marittimo è entrato in una nuova fase di esposizione al rischio cyber. Tuttavia, la buona notizia è che molte delle vulnerabilità osservate sono ancora risolvibili con interventi concreti e relativamente semplici. Il 2025 potrebbe rappresentare un punto di svolta: da un lato, gli attaccanti saranno sempre più rapidi, intelligenti e invisibili; dall’altro, le organizzazioni che sapranno cogliere l’urgenza del cambiamento potranno trasformare la sicurezza informatica in un vantaggio competitivo, rafforzando la resilienza non solo delle flotte, ma dell’intera economia del mare.
