I dati relativi al secondo semestre 2025 evidenziano un’impennata degli attacchi basati su e-mail, un utilizzo crescente dell’AI nei workflow criminali e un’elevata esposizione di MSP e supply chain
Acronis, leader globale nella cybersecurity e nella protezione dei dati, ha pubblicato l’Acronis Cyberthreats Report H2 2025: From exploits to malicious AI, il report semestrale che analizza l’attività delle minacce a livello globale sulla base dei dati di telemetria raccolti dai sensori proprietari e analizzati dall’Acronis Threat Research Unit (TRU). Il documento evidenzia le principali tendenze osservate nel 2025, con un focus specifico sul secondo semestre.
I risultati mostrano una crescita sostenuta e in ulteriore aumento degli attacchi informatici. Gli attacchi basati su e-mail sono aumentati del 16% per organizzazione e del 20% per utente su base annua, mentre il phishing si conferma il principale punto di accesso, responsabile del 52% degli attacchi rivolti ai Managed Service Provider (MSP). Gli attacchi avanzati alle piattaforme di collaborazione sono passati dal 12% nel 2024 al 31% nel 2025, segnalando uno spostamento verso canali secondari ma ad alto impatto.
Di seguito alcune delle principali tendenze della cybersecurity nel 2025:
- Abuso di PowerShell in primo piano: PowerShell si conferma lo strumento legittimo più sfruttato a livello globale, in particolare in Germania, Stati Uniti e Brasile.
- Phishing ancora dominante: nel secondo semestre 2025 l’83% delle minacce veicolate via e-mail è riconducibile al phishing.
- Vulnerabilità critiche nelle piattaforme MSP: tutte le CVE relative a piattaforme MSP rese pubbliche nel 2025 sono state classificate come High o Critical, nonostante il numero complessivo contenuto.
- L’AI entra nei workflow criminali: l’AI viene integrata in modo crescente nelle attività operative degli attaccanti, dalla ricognizione alla negoziazione dei riscatti, fino alle campagne di social engineering.
- Aree geografiche più esposte: India, Stati Uniti e Paesi Bassi registrano i tassi più elevati di infezioni massive e movimento laterale, mentre la Corea del Sud è il Paese con la maggiore incidenza di malware, con il 12% degli utenti coinvolti.
- Settori sotto pressione: produzione, tecnologia e sanità risultano tra i principali obiettivi del ransomware, anche a causa della continuità operativa richiesta e della complessità degli ambienti distribuiti.
Nel 2025 si è registrato anche un aumento drastico del cybercrime assistito dall’AI. Gli attori malevoli hanno utilizzato l’AI per ampliare la scala degli attacchi, automatizzare le attività di ricognizione e ottimizzare le strategie di estorsione. GLOBAL GROUP, ad esempio, ha impiegato sistemi basati su AI per gestire in modo efficiente le negoziazioni ransomware su più vittime, mentre GTG-2002 ha sfruttato tecniche di ricognizione ed esfiltrazione dati assistite dall’AI per massimizzare l’impatto delle operazioni. Anche il social engineering ha registrato un’evoluzione: nelle truffe di finto rapimento sono state generate immagini di “prova in vita” tramite AI, aumentando la pressione psicologica sulle vittime. Queste evoluzioni evidenziano una nuova fase del cybercrime, in cui velocità, sofisticazione e scala mettono sotto pressione le difese tradizionali.
“Nel 2025 abbiamo osservato un’accelerazione nell’evoluzione delle minacce: gli attaccanti non si limitano a estendere metodi consolidati come phishing e ransomware, ma integrano l’AI per operare in modo più rapido, efficiente e su larga scala”, ha dichiarato Gerald Beuchelt, CISO di Acronis. “L’integrazione sistematica dell’AI nelle operazioni criminali segna l’ingresso in una nuova fase della cybersecurity. Questo cambiamento richiede alle organizzazioni di anticipare le minacce, automatizzare le difese e sviluppare sistemi resilienti, capaci di fronteggiare attacchi sia tradizionali sia basati sull’AI”.
Il ransomware si conferma la tipologia di attacco prevalente. A livello globale, quasi 150 MSP e operatori di telecomunicazioni sono stati direttamente presi di mira e oltre 7.600 vittime sono state rese pubbliche. Tra i gruppi più attivi figurano Qilin (962 vittime), Akira (726) e Cl0p (517). I settori della produzione, della tecnologia e della sanità risultano colpiti in misura significativa, con gli Stati Uniti che registrano 3.243 vittime, il numero più elevato. Nel secondo semestre 2025 sono emersi nuovi gruppi ransomware, tra cui Sinobi, TheGentlemen e CoinbaseCartel.
Gli attacchi alla supply chain e agli MSP restano un elemento di forte preoccupazione. Gli attaccanti hanno sfruttato strumenti RMM come AnyDesk e TeamViewer e hanno colpito oltre 1.200 vittime tra terze parti e supply chain; gli Stati Uniti registrano la maggiore esposizione (574 casi). Akira e Cl0p figurano tra gli attori principali e il rischio per MSP e clienti finali rimane elevato.
