Il team di ricerca del Counter Threat Unit™ (CTU) analizza le minacce alla sicurezza per aiutare le organizzazioni a proteggere i propri sistemi. Sulla base delle osservazioni di luglio e agosto, i ricercatori CTU™ hanno individuato i seguenti temi e cambiamenti rilevanti nel panorama globale delle minacce:
- Il ransomware rimane una minaccia volatile nonostante le interruzioni
- L’assenza di MFA consente lo sfruttamento delle credenziali rubate
- Le vulnerabilità legacy mantengono il loro valore
Il ransomware rimane una minaccia volatile nonostante le interruzioni
Le azioni delle forze dell’ordine hanno avuto un impatto sull’ecosistema del ransomware, ma non ne hanno ridotto il numero di attacchi.
Il ransomware continua a rappresentare una minaccia significativa per le organizzazioni. Anche se il numero di vittime pubblicate sui siti di leak è diminuito dopo il picco record di marzo 2025, i valori di luglio e agosto sono rimasti più alti rispetto agli stessi mesi del 2024. Nonostante l’attenzione dei media si sia concentrata su attacchi di grande profilo da parte di Scattered Spider e ShinyHunters, gli schemi più attivi durante luglio e agosto sono stati Qilin e Akira. Entrambi hanno mantenuto un’elevata attività nel 2025 (sebbene con un numero mensile di vittime inferiore rispetto a operazioni prolifiche come LockBit). Nel complesso, l’alto numero di attacchi ransomware nel secondo e terzo trimestre del 2025 è risultato più equamente distribuito tra più gruppi rispetto agli anni precedenti.
Le azioni delle forze dell’ordine contro i principali operatori di ransomware nel 2024 e 2025 hanno causato frammentazione e volatilità nel panorama delle minacce. Ogni operazione repressiva tende a generare un aumento temporaneo nella creazione di nuovi gruppi: 37 nuovi schemi sono emersi nella prima metà del 2025, seguiti da quattro a luglio e altri quattro ad agosto. Il numero costantemente elevato può essere collegato alla serie di interventi delle forze dell’ordine contro LockBit nel 2024. Inoltre, diversi gruppi ritenuti inattivi sono tornati operativi tra luglio e agosto 2025. In totale, 52 schemi ransomware erano attivi in agosto — un volume mensile superato solo tre volte negli ultimi due anni.
È probabile che questi nuovi schemi non siano opera di nuovi criminali informatici: spesso si tratta di affiliati di operazioni interrotte che si uniscono o lanciano un nuovo schema, talvolta collaborando con altri affiliati “sfollati” o lavorando in modo indipendente. Alcuni nuovi gruppi potrebbero essere rebranding di operazioni precedenti. Gli affiliati possono anche migrare verso schemi consolidati come Akira, che aumentano così la loro attività grazie a nuove risorse. Questi cambi di nome e spostamenti rendono più difficile l’attribuzione e il tracciamento delle catene di attacco.
Sebbene queste dinamiche rendano più complesso il monitoraggio dell’ecosistema ransomware, le difese fondamentali restano invariate: applicare rapidamente le patch, soprattutto ai dispositivi esposti a Internet; implementare MFA resistente al phishing; monitorare in modo completo endpoint e reti. Inoltre, è sempre più importante monitorare gli ambienti cloud e ibridi, poiché gli aggressori si stanno spostando anche in queste aree.
 |
Cosa fare: Monitorare le iniziative governative per il miglioramento della sicurezza del cloud. |
L’assenza di MFA consente lo sfruttamento delle credenziali rubate
L’implementazione della MFA impedisce agli aggressori di trarre profitto dalle credenziali rubate.
I ricercatori CTU hanno osservato numerosi incidenti in cui criminali informatici o malintenzionati sponsorizzati dallo Stato hanno ottenuto accesso iniziale abusando delle credenziali VPN delle vittime. Ad esempio, il gruppo GOLD LEAPFROG ha sfruttato credenziali VPN in un attacco a inizio 2025, culminato nel rilascio del ransomware SafePay.
Questo tipo di accesso non autorizzato consente di aggirare le difese tradizionali e accedere direttamente ai sistemi interni, anche se i dispositivi sono completamente aggiornati. Altri accessi comuni abusati includono login RDP o account amministrativi. In pratica, gli strumenti pensati per facilitare l’accesso remoto dei dipendenti possono diventare porte d’ingresso per gli attaccanti se non adeguatamente protetti.
Gli aggressori spesso acquistano le credenziali in mercati clandestini. I malware infostealer sottraggono credenziali e altri dati dai sistemi infetti, poi li impacchettano in “log” che vengono venduti ad altri criminali. Milioni di log sono oggi disponibili in vendita e il numero continua a crescere ogni anno.
Difendersi da queste infezioni è quindi fondamentale per prevenire successivi attacchi ransomware o di estorsione dati.
Gli attaccanti che ottengono solo credenziali parziali possono anche tentare brute-force su account VPN. Quando riescono, è quasi sempre perché la VPN non richiede MFA. Sebbene la MFA non elimini completamente il rischio, riduce in modo significativo gli attacchi opportunistici.
Implementare MFA resistente al phishing su tutti i servizi esposti a Internet riduce ulteriormente i rischi, grazie all’uso di metodi hardware-based che impediscono il furto dei token.
|
Cosa fare:Consultare le linee guida pubblicate dalla CISA (Cybersecurity and Infrastructure Security Agency) sull’implementazione di MFA resistente al phishing. |
Le vulnerabilità legacy mantengono il loro valore
Anche se una vulnerabilità è vecchia di anni, non è mai troppo tardi per applicare una patch.
Ad agosto, l’FBI ha avvertito che aggressori sponsorizzati dallo stato russo, collegati al Centro 16 dell’FSB, stavano conducendo attacchi di cyber-spionaggio contro enti statunitensi e internazionali sfruttando vulnerabilità Cisco del 2018 non patchate. Attività simili erano state osservate anche nel 2023.
L’FBI e altre agenzie hanno inoltre segnalato che cybercriminali sponsorizzati dalla Cina stavano compromettendo reti a livello globale per fini di spionaggio, ottenendo accesso iniziale tramite vulnerabilità pubblicamente note anziché tramite zero-day sconosciute. Tra le vulnerabilità più sfruttate figurano quella Cisco del 2018, oltre ad altre del 2023 e 2024 relative a dispositivi edge.
Le organizzazioni non sempre applicano le patch tempestivamente, per motivi che includono limitazioni di budget, personale ridotto, scarsa consapevolezza o timori di impatti operativi. In alcuni casi, i dispositivi sono talmente obsoleti che i fornitori non rilasciano più aggiornamenti. Tuttavia, i dispositivi non patchati, soprattutto quelli esposti a Internet, rappresentano un rischio elevato.
Durante gli interventi di incident response nel 2024, i ricercatori CTU hanno rilevato che le vulnerabilità dei dispositivi esposti a Internet erano la principale via d’accesso iniziale.
Questo rischio non è destinato a diminuire: strumenti di scansione e codice exploit sono liberamente disponibili e l’IA potrebbe automatizzare ulteriormente questi processi. È quindi essenziale applicare le patch in base alle priorità aziendali o sostituire i sistemi obsoleti.
|
Cosa fare:
|
Conclusione
Nonostante i cambiamenti nella composizione dei gruppi e l’aumento del numero di attacchi, alcuni aspetti della minaccia informatica rimangono invariati. I criminali informatici continuano a sfruttare le vie più facili per accedere agli ambienti aziendali. Fortunatamente, anche i fondamenti della buona difesa informatica restano costanti: patch tempestive, MFA resistente al phishing, monitoraggio e risposta completi.
