Il phishing resta la principale modalità di attacco iniziale, nonostante un calo del 40% tra il primo e il secondo trimestre. Il 75% degli attacchi di phishing è partito da account di posta elettronica compromessi, appartenenti a dipendenti interni o a partner aziendali considerati affidabili
I criminali informatici stanno cambiando obiettivi e tecniche. Secondo quanto evidenziato dal report relativo al secondo trimestre 2025 di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, l’attività di phishing resta per i pirati del web la principale modalità di accesso, ma rispetto al trimestre precedente questa tecnica è diminuita del 40%. Sempre più spesso gli attacchi sfruttano account di posta elettronica compromessi di dipendenti interni o di partner aziendali fidati, riuscendo così a inviare messaggi credibili in grado di superare i sistemi di sicurezza e conquistare la fiducia delle vittime.
Nel secondo trimestre del 2025, il 75% degli attacchi di phishing osservati è partito da account di posta elettronica compromessi, appartenenti a dipendenti o a partner aziendali fidati. In molti casi, gli utenti sono stati ingannati e indotti a inserire le proprie credenziali e i token di autenticazione a più fattori (MFA) su pagine di accesso false particolarmente sofisticate, consentendo così agli hacker di rubare informazioni preziose, utilizzate poi per nuovi attacchi o rivendute nei mercati clandestini.
Nuove osservazioni sul ransomware
Nel secondo trimestre di quest’anno, il ransomware è stato responsabile del 50% di tutti gli incidenti. Il team di Cisco Talos ha rilevato per la prima volta le attività dei gruppi Qilin e Medusa, oltre a rispondere a nuovi attacchi legati al già noto ransomware Chaos.
Nel primo caso documentato di attacco Qilin, Cisco Talos ha osservato strumenti e tattiche mai viste prima. L’intrusione è iniziata con l’utilizzo di credenziali rubate, seguita da movimenti laterali all’interno della rete tramite strumenti di accesso remoto. Gli attaccanti hanno impiegato un cifrario mai utilizzato prima e nuove tecniche di esfiltrazione dei dati. Inoltre, hanno creato processi automatici capaci di riavviare il ransomware dopo ogni reboot o login, provocando danni estesi ai sistemi e rendendo necessario il ripristino completo delle macchine e la reimpostazione delle password a livello aziendale.
L’analisi di Talos suggerisce inoltre che il gruppo Qilin sta espandendo la propria rete di affiliati o accelerando le proprie operazioni.
Attacchi con scripting obsoleti
Un trend preoccupante riguarda l’uso della vecchia versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware. Questa versione obsoleta viene sfruttata dai criminali informatici perché priva di funzionalità di sicurezza fondamentali, come la registrazione degli script e l’integrazione con gli antivirus. Cisco Talos raccomanda alle organizzazioni di adottare PowerShell 5.0 o versioni successive, così da ridurre in modo significativo i rischi di compromissione.
Il settore più colpito è quello dell’Istruzione
Nel secondo trimestre 2025, il settore dell’Istruzione è risultato essere l’industria più presa di mira a livello globale, segnando un cambiamento significativo rispetto al trimestre precedente. Elevati livelli di attività ransomware sono stati osservati anche nei settori manifatturiero, delle costruzioni e della pubblica amministrazione.
Implementare correttamente MFA e altre soluzioni di controllo degli accessi
Oltre il 40% degli incidenti registrati nel secondo trimestre ha riguardato problemi legati all’autenticazione a più fattori (MFA), come configurazioni errate, assenza del sistema o tentativi di aggiramento. Cisco Talos consiglia di attivare la MFA e monitorarla attentamente, per prevenire abusi e rafforzare la sicurezza dell’organizzazione.
“La cybercriminalità è in continua evoluzione. Nel secondo trimestre i criminali informatici hanno puntato soprattutto alla vendita di credenziali rubate, un metodo rapido e a basso rischio per fare profitto. Il phishing, pur diminuendo, resta molto efficace per ottenere accessi non autorizzati. Inoltre, l’aumento degli attacchi con il ransomware Qilin dimostra che questa minaccia è molto seria per le aziende,” ha dichiarato Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia. “Le aziende devono agire immediatamente: usare l’autenticazione multifattoriale (MFA) e installare firewall per applicazioni web con monitoraggio dei flussi, così da rilevare le minacce in tempo reale.”
