Nel IV trimestre 2025, il quadro che emerge dagli interventi di Cisco Talos è quello di una minaccia cyber ancora molto intensa, ma con alcune evoluzioni interessanti nei vettori d’attacco e nei bersagli. Per il secondo trimestre consecutivo il canale principale di accesso iniziale ai sistemi è lo sfruttamento di applicazioni esposte su internet: quasi il 40% degli incidenti ha origine da vulnerabilità in software e piattaforme aziendali accessibili pubblicamente, in calo rispetto al 60‑62% del trimestre precedente, quando una campagna particolarmente diffusa aveva gonfiato questa percentuale.

Gli attaccanti colpiscono soprattutto piattaforme ampiamente utilizzate e strumenti di sviluppo diffusi, spesso subito dopo la divulgazione delle vulnerabilità, a conferma di quanto sia cruciale aggiornare rapidamente i sistemi e ridurre l’esposizione dei server critici. Non mancano casi concreti: un server non aggiornato compromesso immediatamente dopo la pubblicazione di una falla e usato per attività estorsive, o un framework web vulnerabile sfruttato per installare miner di criptovalute, esempi che mostrano come anche “semplici” omissioni di patch possano tradursi in compromissioni significative.

Accanto allo sfruttamento delle vulnerabilità, il phishing resta uno dei vettori più importanti, con un peso crescente tra i metodi di accesso iniziale (circa un terzo dei casi). Nel trimestre spicca una campagna specifica contro organizzazioni tribali dei nativi americani: gli aggressori hanno utilizzato account email compromessi e siti legittimi violati per inviare messaggi su finti corsi di formazione, ottenendo credenziali e riutilizzando gli stessi account per diffondere ulteriori email fraudolente dentro e fuori l’organizzazione. In alcuni episodi l’invio di phishing è proseguito anche dopo la disattivazione dell’account, sfruttando tecniche di spoofing. Le forti somiglianze tra i casi fanno pensare a un’operazione coordinata su larga scala e confermano una tendenza ormai consolidata: usare account legittimi compromessi e infrastrutture apparentemente affidabili per rendere gli attacchi più credibili e sfuggire ai controlli.

Sul fronte ransomware, il trimestre registra una relativa “normalizzazione”: gli attacchi legati a ransomware rappresentano circa il 13% degli interventi, in calo sia rispetto al 20% del trimestre precedente sia, soprattutto, rispetto ai primi mesi dell’anno, quando arrivavano a circa la metà dei casi gestiti. Non emergono nuove famiglie di ransomware, ma restano attivi gruppi già noti: Qilin si conferma tra i più presenti, mentre si registra il ritorno di DragonForce dopo un periodo di assenza. In uno degli episodi descritti, gli aggressori hanno combinato più strumenti: prima l’accesso tramite credenziali valide, poi l’uso di software di gestione remota legittimi per esplorare la rete, muoversi lateralmente e sottrarre dati, e infine la fase di cifratura. L’uso di strumenti “normali” di amministrazione IT è una tendenza che si consolida: permette ai criminali di confondersi con il traffico legittimo e di proseguire anche se un singolo tool viene bloccato, rendendo indispensabile per le organizzazioni il monitoraggio attento degli strumenti di accesso remoto e dei comportamenti anomali in rete.

Per quanto riguarda i bersagli, la pubblica amministrazione si conferma il settore più colpito, proseguendo il trend del trimestre precedente. Queste organizzazioni rappresentano un obiettivo particolarmente appetibile: spesso hanno risorse limitate, infrastrutture datate, gestiscono grandi quantità di dati sensibili e non possono permettersi interruzioni prolungate dei servizi, condizioni che le rendono interessanti sia per gruppi motivati dal profitto sia per attori di spionaggio. Nel periodo sono state osservate diverse campagne “ibride” che combinano sfruttamento di vulnerabilità e phishing, con casi in cui account legittimi compromessi sono stati usati per ampliare ulteriormente la portata delle email malevole all’interno e all’esterno dell’ente.

Nel complesso, le modalità principali di accesso iniziale restano tre: lo sfruttamento di applicazioni esposte su internet (ancora il canale più frequente, sopra un terzo dei casi, seppur in calo), il phishing (in aumento fino a circa un terzo degli incidenti) e, a seguire, l’uso di credenziali rubate o tentativi di forza bruta.

© Riproduzione riservata