E’ quanto emerge dal Report trimestrale Cisco Talos
Aumentano gli attacchi informatici che sfruttano applicazioni accessibili al pubblico, come siti web o portali aziendali, per entrare nei sistemi delle organizzazioni, e cresce anche il phishing condotto attraverso account aziendali compromessi. In calo invece gli attacchi ransomware, anche se di questo tipo di minaccia sono state rilevate nuove pericolose varianti. Questi i dati più significativi emersi dal Report di Cisco Talos – la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity – relativo al trimestre luglio, agosto e settembre del 2025.
Per quanto riguarda attacchi informatici che sfruttano applicazioni accessibili al pubblico, si tratta di una modalità utilizzata in oltre sei casi su dieci tra gli interventi gestiti dal team di Incident Response, rispetto al 10% del trimestre precedente. Un aumento vertiginoso, legato in particolare a una serie di attacchi contro server Microsoft SharePoint installati localmente, che hanno sfruttato falle di sicurezza rese note a luglio.
Gli attacchi ransomware hanno rappresentato circa il 20% degli incidenti, in calo rispetto al 50% del trimestre precedente. Nonostante la diminuzione, il ransomware resta però una delle minacce più diffuse e persistenti per le aziende. Per la prima volta, il team di Cisco Talos ha affrontato nuove varianti come Warlock, Babuk e Kraken, oltre a famiglie già note come Qilin e LockBit. In un caso, gli esperti hanno attribuito con “moderata certezza” un attacco a un gruppo di cybercriminali legato alla Cina, noto come Storm-2603. Un elemento insolito di questo attacco è stato l’uso di Velociraptor, un software open source normalmente usato per analisi forensi digitali, qui sfruttato per mantenere l’accesso ai sistemi violati, un comportamento mai osservato prima in questo tipo di attacchi. Infine, è stato registrato un aumento degli attacchi legati al ransomware Qilin, segno che questo gruppo sta intensificando la propria attività.
Attacchi informatici: cresce l’impatto della catena ToolShell e delle nuove falle di SharePoint
Gli attacchi legati alla cosiddetta catena ToolShell confermano quanto sia importante per le aziende segmentare correttamente la rete e installare subito gli aggiornamenti di sicurezza. Nel corso dell’ultimo trimestre, oltre il 60% degli incidenti analizzati da Cisco Talos ha avuto origine da applicazioni accessibili pubblicamente, come siti web o portali aziendali. In quasi quattro casi su dieci è stata riscontrata l’attività della catena ToolShell, una tecnica che ha contribuito in modo significativo alla crescita di questo tipo di attacchi.
A partire da metà luglio 2025, i criminali informatici hanno iniziato a sfruttare due nuove vulnerabilità nei server Microsoft SharePoint installati localmente (identificate come CVE-2025-53770 e CVE-2025-53771). Queste falle, collegate ad altre già corrette da Microsoft a inizio luglio, permettono ai criminali di eseguire un codice da remoto senza bisogno di accedere con credenziali valide.
Phishing da account compromessi: una minaccia in evoluzione
Come anticipato, gli attacchi di phishing lanciati da account aziendali compromessi continuano a rappresentare una minaccia concreta. I criminali informatici sfruttano email interne già violate per diffondere l’attacco all’interno dell’organizzazione o verso partner esterni.
Gli esperti di Talos hanno osservato che la catena ToolShell è stata sfruttata già prima dell’avviso ufficiale di Microsoft, con la maggior parte degli attacchi concentrata nei dieci giorni successivi. Questa tecnica è stata riscontrata in circa un terzo degli incidenti del trimestre, in aumento rispetto al periodo precedente. In molti casi è stata combinata con il phishing: durante uno degli attacchi monitorati, un account Microsoft 365 compromesso è stato usato per inviare quasi 3.000 email fraudolente.
Ransomware: nonostante il calo, la minaccia resta costante
Diminuiscono invece i ransomware. Nel trimestre appena concluso, gli attacchi ransomware hanno rappresentato circa il 20% degli incidenti gestiti da Cisco Talos, in calo rispetto al 50% del periodo precedente. Per la prima volta però, il team di Talos Incident Response ha affrontato nuove varianti come Warlock, Babuk e Kraken, oltre a famiglie già note come Qilin e LockBit.
Velociraptor: uno strumento legittimo usato in un attacco ransomware
Cisco Talos ha gestito un attacco ransomware attribuito con moderata certezza al gruppo di origine cinese Storm-2603. L’attacco ha colpito gravemente l’infrastruttura IT di un’azienda del settore telecomunicazioni, inclusi sistemi operativi critici per la gestione delle operazioni. Durante l’indagine, gli esperti di Talos hanno scoperto che i criminali informatici avevano installato una versione obsoleta di Velociraptor, uno strumento open source normalmente usato per le analisi forensi digitali e la risposta agli incidenti, su cinque server compromessi.
Velociraptor è stato utilizzato per mantenere l’accesso ai sistemi anche dopo l’isolamento di alcuni host — un comportamento mai osservato prima in un attacco ransomware. La versione impiegata presentava una vulnerabilità di sicurezza che consentiva agli attaccanti di controllare da remoto i sistemi infettati. Questo caso conferma una tendenza già evidenziata da Cisco Talos: i cybercriminali usano sempre più spesso strumenti legittimi, sia commerciali che open source, per rendere gli attacchi più efficaci e difficili da individuare.
Cresce l’attività del gruppo ransomware Qilin
Il gruppo Qilin, comparso per la prima volta nel trimestre precedente, ha intensificato le proprie operazioni, come mostra il numero crescente di fughe di dati pubblicate online a partire da febbraio 2025. Gli attacchi di Qilin seguono uno schema ormai consolidato: accesso iniziale con credenziali rubate, uso di un crittografo personalizzato per ogni vittima e impiego dello strumento CyberDuck per rubare e trasferire i dati. L’attività crescente del gruppo indica che Qilin resterà una delle principali minacce ransomware almeno fino alla fine del 2025.
Pubblica Amministrazione nel mirino
Per la prima volta dal 2021, la Pubblica Amministrazione è stata il settore più colpito. Gli enti pubblici sono obiettivi attraenti perché spesso dispongono di budget limitati e usano sistemi di difesa obsoleti. In questo trimestre gli attacchi hanno riguardato principalmente enti locali, che gestiscono anche scuole e strutture sanitarie e che trattano dati sensibili e non possono quindi permettersi lunghi periodi di inattività. Queste caratteristiche li rendono appetibili sia per cybercriminali orientati al profitto, sia per quelli motivati da spionaggio.
Accesso iniziale: app e phishing tra i principali vettori
Nel trimestre preso in considerazione, il modo più comune per ottenere l’accesso iniziale ai sistemi aziendali è stato lo sfruttamento di applicazioni su internet, spesso legato all’attività di ToolShell. Altri metodi osservati includono phishing, uso di credenziali valide compromesse e attacchi tramite siti web malevoli.
Le raccomandazioni di Cisco Talos
Nel corso dell’ultimo trimestre quasi un terzo degli incidenti ha coinvolto abusi dell’autenticazione a più fattori (MFA), come la MFA fatigue — richieste ripetute per indurre l’errore — o il bypass dei controlli. Per contrastare questi attacchi, Talos consiglia di attivare sistemi di rilevamento delle anomalie, come accessi da località incompatibili, e di rafforzare i criteri MFA. Un’altra criticità emersa riguarda la registrazione dei log: in molti casi, la mancanza di log completi ha ostacolato le indagini, con problemi frequenti come log eliminati, disabilitati o conservati per periodi troppo brevi. Cisco Talos raccomanda l’utilizzo di soluzioni SIEM (Security Information and Event Management) per centralizzare e proteggere i log, così da preservare le tracce anche in caso di compromissione dei sistemi. Infine, circa il 15% degli attacchi ha sfruttato sistemi non aggiornati, tra cui server SharePoint rimasti vulnerabili settimane dopo il rilascio delle patch. Per ridurre le vulnerabilità e impedire movimenti laterali degli aggressori, è fondamentale applicare tempestivamente gli aggiornamenti.
