Phishing di nuovo principale vettore di accesso, pubblica amministrazione e sanità sono i settori più colpiti, mentre il ransomware resta contenuto grazie a interventi tempestivi
Durante il primo trimestre del 20226, Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha risposto a una campagna di phishing che ha colpito soprattutto la pubblica amministrazione, confermando il phishing come principale vettore di accesso iniziale. I criminali informatici hanno sfruttato Softr, una piattaforma per la creazione di applicazioni web, per realizzare una pagina fraudolenta destinata a sottrarre credenziali: si tratta del primo caso documentato da Cisco Talos in cui viene osservato l’utilizzo di uno strumento basato su intelligenza artificiale in una campagna di phishing.
Più in generale, gruppi cybercriminali e realtà legate a Stati stanno già utilizzando modelli linguistici avanzati per generare contenuti ingannevoli e supportare attività malevole. Anche servizi DDoS “as-a-service” integrano tecniche di intelligenza artificiale per rendere gli attacchi più efficaci ed evasivi.
Il report evidenzia come l’adozione dell’AI stia abbassando le barriere tecniche per i criminali informatici, rendendo più semplice e veloce la creazione di campagne di phishing. Grazie a funzionalità automatizzate e template preconfigurati, è possibile generare pagine fraudolente e raccogliere credenziali senza competenze di programmazione, accelerando la scala e la velocità degli attacchi.
Il collettivo Cremisi colpisce per la prima volta
Cisco Talos ha gestito il primo incidente attribuito a Crimson Collective, un gruppo di estorsione informatica emerso nel settembre 2025. L’attacco ha sfruttato account legittimi per ottenere l’accesso iniziale, una delle tecniche più diffuse del trimestre, insieme allo sfruttamento di vulnerabilità, presente nel 25% dei casi analizzati. L’intrusione è partita dalla pubblicazione accidentale di un token GitHub su un sito pubblico, che ha lasciato l’organizzazione esposta per mesi. Gli attaccanti hanno poi utilizzato strumenti legittimi per cercare credenziali in repository pubblici e privati, fino a ottenere accesso allo storage cloud Azure della vittima. L’episodio evidenzia una tendenza crescente: l’abuso di strumenti e servizi legittimi per rendere gli attacchi più difficili da rilevare.
Tendenze ransomware
Il ransomware mostra un lieve aumento, pur restando su livelli contenuti. Gli incidenti in fase pre-ransomware hanno rappresentato il 18% delle attività gestite nel trimestre e, grazie a interventi tempestivi, non si sono verificati casi di cifratura dei dati. Il dato è in crescita rispetto al trimestre precedente (13% tra ransomware e pre-ransomware), ma resta nettamente inferiore alla prima metà del 2025, quando questi attacchi avevano raggiunto circa il 50% dei casi.
L’attribuzione in questa fase iniziale rimane complessa, ma alcune attività sono riconducibili ai gruppi Rhysida e Money Message. Inoltre, anche se non si osservano picchi significativi di attività da parte delle principali piattaforme ransomware-as-a-service come Qilin o Akira, i loro siti di pubblicazione dei dati continuano a essere aggiornati con regolarità.
Targeting
La pubblica amministrazione e il settore sanitario si confermano tra i settori più colpiti. Già nel terzo trimestre 2025 la pubblica amministrazione era emersa come il settore più coinvolto negli incidenti gestiti, posizione mantenuta anche nei trimestri successivi.
Le organizzazioni pubbliche restano bersagli privilegiati: spesso operano con risorse limitate e infrastrutture meno aggiornate, ma gestiscono al tempo stesso grandi volumi di dati sensibili e non possono sostenere interruzioni prolungate dei servizi. Questa combinazione le rende obiettivi attrattivi sia per gruppi criminali motivati dal profitto sia per attori legati ad attività di spionaggio.
Accesso iniziale
Il phishing torna a essere il principale vettore di accesso iniziale, rappresentando oltre un terzo dei casi in cui è stato possibile identificarne l’origine. Dopo aver guidato gli attacchi nella prima metà del 2025, era stato temporaneamente superato dallo sfruttamento di applicazioni esposte su internet.
Le raccomandazioni di Cisco Talos
Per gestire le principali debolezze di sicurezza, è necessario intervenire su più fronti. In primo luogo, l’autenticazione multifattore (MFA) e i controlli di accesso devono essere implementati e configurati correttamente: nel 35% degli incidenti analizzati questo trimestre, le criticità hanno riguardato MFA assente, incompleta o aggirata, soprattutto nei servizi di accesso remoto.
Un altro elemento chiave è la gestione tempestiva delle patch: infrastrutture vulnerabili o esposte sono state coinvolte nel 25% dei casi, spesso a causa dello sfruttamento di falle note o di servizi di amministrazione accessibili da Internet.
Infine, la visibilità resta essenziale: nel 18% degli incidenti, una visibilità insufficiente ha ostacolato le attività di analisi e risposta. L’adozione di sistemi di logging centralizzato, come le piattaforme SIEM, può migliorare la rilevazione e l’investigazione degli attacchi.
