Il 2025 segna un anno di attacchi sempre più veloci, intelligenti e difficili da individuare. Il nuovo report annuale di Cisco Talos evidenzia un cambio di passo senza precedenti
Le campagne di ransomware risultano sempre più strutturate e industrializzate, mentre gli attacchi contro i sistemi di autenticazione diventano più mirati e difficili da intercettare. A rafforzare questo scenario contribuisce l’utilizzo crescente di strumenti basati sull’intelligenza artificiale, che permettono ai cybercriminali di automatizzare, scalare e rendere più efficaci le proprie operazioni. E’ questa la prima fotografia scattata dal nuovo report Cisco Talos 2025 Year in Review, secondo cui il panorama del cybercrime sta vivendo e continua a vivere un’accelerazione senza precedenti, segnando un punto di svolta nella complessità e nella velocità delle minacce digitali. I criminali informatici sono in grado di sfruttare le vulnerabilità in tempi estremamente ridotti, spesso nell’arco di poche ore o addirittura minuti dalla loro divulgazione pubblica.
Attacchi lampo e vulnerabilità note
In diversi casi i ricercatori di Cisco Talos hanno osservato attacchi partire a distanza di pochi minuti dalla pubblicazione delle falle, riducendo drasticamente la finestra di intervento per le organizzazioni. Tra gli esempi più rilevanti, React2Shell si è affermata come la vulnerabilità più sfruttata dell’anno, nonostante sia stata resa nota soltanto nel mese di dicembre, a dimostrazione della rapidità con cui gli attaccanti riescono ad adattarsi. Allo stesso tempo, i criminali continuano a sfruttare delle vulnerabilità conosciute da tempo, segnalando una persistente difficoltà da parte delle aziende nel mantenere aggiornati sistemi e applicazioni.
Ransomware: il gruppo Qilin domina e prende di mira il settore manifatturiero
Il ransomware si conferma come una delle minacce più pervasive e dannose per il tessuto economico globale. In questo contesto, il gruppo Qilin si è distinto come il più attivo dell’anno, portando avanti campagne continue e altamente coordinate. Le operazioni di Qilin mostrano un elevato livello di preparazione, con modelli di business strutturati e strategie mirate alla massimizzazione dei profitti. Il settore manifatturiero risulta il più colpito, principalmente a causa della sua bassa tolleranza ai fermi operativi e della presenza di infrastrutture legacy difficili da aggiornare rapidamente. Le interruzioni produttive causate da questi attacchi generano impatti economici significativi, rendendo le aziende particolarmente vulnerabili a richieste di riscatto.
Crescita record degli attacchi ai sistemi di autenticazione
Nel corso del 2025 si è registrato un aumento del 178% dei casi di compromissione dei sistemi di autenticazione multifattore (MFA), una delle tecnologie considerate fino a poco tempo fa tra le più efficaci per la protezione degli accessi. I criminali informatici adottano tecniche sempre più sofisticate, tra cui la registrazione fraudolenta di dispositivi MFA a nome delle vittime, riuscendo così ad aggirare completamente i sistemi di sicurezza. Questo tipo di attacco evidenzia come la protezione dell’identità digitale sia diventata uno dei rischi principali per organizzazioni e utenti, richiedendo approcci più evoluti e continui aggiornamenti delle strategie difensive.
Minacce statali: Cina, Russia, Corea del Nord e Iran intensificano le operazioni
Le attività riconducibili ad attori statali hanno registrato un sensibile incremento nel corso dell’anno. La Cina ha aumentato del 74% le campagne identificate, ampliando il raggio delle proprie operazioni di cyber spionaggio. La Russia continua a distinguersi per l’utilizzo sistematico di vulnerabilità note da tempo, sfruttate per mantenere accessi persistenti all’interno delle reti bersaglio. La Corea del Nord si è resa protagonista del più grande furto di criptovalute mai registrato, confermando il forte interesse per il finanziamento illecito tramite asset digitali. Infine, l’Iran ha intensificato le proprie attività sia nel campo dello spionaggio sia in quello dell’hacktivism, aumentando la pressione su obiettivi strategici a livello internazionale.
Intelligenza artificiale: la nuova frontiera del cybercrime
L’intelligenza artificiale si è affermata come un vero e proprio moltiplicatore di competenze per il cybercrime. I criminali informatici utilizzano l’AI per creare campagne di phishing sempre più realistiche, personalizzate e difficili da riconoscere. Inoltre, emergono nuove tipologie di malware in grado di analizzare in tempo reale ciò che appare sullo schermo delle vittime, adattando il proprio comportamento per massimizzare l’efficacia dell’attacco. L’AI viene anche impiegata per sviluppare rapidamente nuove funzionalità malevole, riducendo drasticamente i tempi e aumentando la frequenza e la varietà delle minacce.
Il report evidenzia una velocità e una capacità di adattamento dei criminali informatici senza precedenti. Cisco richiama l’attenzione sulla necessità di adottare un approccio alla sicurezza integrato e moderno, basato su visibilità completa degli asset, protezione avanzata dell’identità, segmentazione delle reti e capacità di risposta coordinata agli incidenti. Solo attraverso strategie proattive e tecnologie evolute sarà possibile contrastare efficacemente un panorama di minacce in continua evoluzione.
