Report trimestrale Cisco Talos: il phishing resta la principale modalità di attacco iniziale. Il 75% degli attacchi di phishing è partito da account di posta elettronica compromessi. Il ransomware continua a rappresentare il 50% di tutti gli incidenti
Secondo quanto evidenziato dal report relativo al secondo trimestre 2025 di Cisco Talos, l’attività di phishing resta per i pirati del web la principale modalità di accesso, ma rispetto al trimestre precedente questa tecnica è diminuita del 40%. Sempre più spesso gli attacchi sfruttano account di posta elettronica compromessi di dipendenti interni o di partner aziendali fidati, riuscendo così a inviare messaggi credibili in grado di superare i sistemi di sicurezza e conquistare la fiducia delle vittime.
Nel periodo in esame, il 75% degli attacchi di phishing osservati è partito da account di posta elettronica compromessi, appartenenti a dipendenti o a partner aziendali fidati. In molti casi, gli utenti sono stati ingannati e indotti a inserire le proprie credenziali e i token di autenticazione a più fattori (MFA) su pagine di accesso false particolarmente sofisticate, consentendo così agli hacker di rubare informazioni preziose, utilizzate poi per nuovi attacchi o rivendute nei mercati clandestini.
Nel secondo trimestre di quest’anno, il ransomware è stato responsabile del 50% di tutti gli incidenti. Il team di Cisco Talos ha rilevato per la prima volta le attività dei gruppi Qilin e Medusa, oltre a rispondere a nuovi attacchi legati al già noto ransomwareChaos.
Nel primo caso documentato di attacco Qilin, Cisco Talos ha osservato strumenti e tattiche mai viste prima. L’intrusione è iniziata con l’utilizzo di credenziali rubate, seguita da movimenti laterali all’interno della rete tramite strumenti di accesso remoto. Gli attaccanti hanno impiegato un cifrario mai utilizzato prima e nuove tecniche di esfiltrazione dei dati. Inoltre, hanno creato processi automatici capaci di riavviare il ransomware dopo ogni reboot o login, provocando danni estesi ai sistemi e rendendo necessario il ripristino completo delle macchine e la reimpostazione delle password a livello aziendale.
L’analisi di Talos suggerisce inoltre che il gruppo Qilin sta espandendo la propria rete di affiliati o accelerando le proprie operazioni.
Un trend preoccupante riguarda l’uso della vecchia versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware. Questa versione obsoleta viene sfruttata dai criminali informatici perché priva di funzionalità di sicurezza fondamentali, come la registrazione degli script e l’integrazione con gli antivirus. Cisco Talos raccomanda alle organizzazioni di adottare PowerShell 5.0 o versioni successive, così da ridurre in modo significativo i rischi di compromissione.
Il settore più colpito è quello dell’Istruzione
Nel secondo trimestre 2025, il settore dell’Istruzione è risultato essere l’industria più presa di mira a livello globale, segnando un cambiamento significativo rispetto al trimestre precedente. Elevati livelli di attività ransomware sono stati osservati anche nei settori manifatturiero, delle costruzioni e della pubblica amministrazione.
Oltre il 40% degli incidenti registrati nel secondo trimestre ha riguardato problemi legati all’autenticazione a più fattori (MFA), come configurazioni errate, assenza del sistema o tentativi di aggiramento. Cisco Talos consiglia di attivare la MFA e monitorarla attentamente, per prevenire abusi e rafforzare la sicurezza dell’organizzazione.