In un panorama digitale dove la superficie d’attacco si amplia di giorno in giorno, le organizzazioni si trovano a fronteggiare minacce sempre più mirate. Non si tratta più soltanto di malware o intrusioni casuali: i criminali puntano con decisione alle identità digitali e alle credenziali di accesso, veri “passaporti” per muoversi all’interno delle reti aziendali.
Il nuovo report di Cisco Talos per il secondo trimestre 2025 ci offre una fotografia chiara di queste dinamiche e dei settori maggiormente esposti. Gli attacchi diventano sempre più mirati ed efficaci, con l’obiettivo primario di colpire l’identità digitale degli utenti. Il Cisco Talos Incident Response analizza centinaia di incidenti gestiti a livello globale e traccia un quadro dettagliato delle principali tecniche utilizzate dai criminali.
In sintesi, i dati raccolti da Cisco Talos delineano uno scenario in cui furto di credenziali e attacchi ransomware si confermano come le minacce più pressanti per aziende e istituzioni, e in cui la difesa passa sempre più dalla capacità di proteggere identità digitali e configurazioni di base, prima ancora che da strumenti complessi.
Phishing e furto di credenziali
Il dato più evidente è che, nonostante un calo rispetto al trimestre precedente, il phishing resta il vettore di attacco iniziale più diffuso: circa un terzo degli incidenti parte ancora da email ingannevoli. Ciò che cambia è la qualità degli attacchi: i messaggi non arrivano solamente da indirizzi palesemente falsi, ma anche da account di posta compromessi appartenenti a dipendenti interni o partner di business considerati affidabili. Questo rende la truffa più credibile e capace di superare anche i controlli tecnici più sofisticati.
Non è raro che questi messaggi indirizzino a pagine di login perfettamente contraffatte, dove gli utenti finiscono per inserire non solo le proprie credenziali, ma anche i codici OTP o i token di sessione generati dall’autenticazione a più fattori.
L’obiettivo principale è chiaro: il furto di credenziali. A differenza di altre tecniche che richiedono fasi complesse di monetizzazione, la rivendita di identità digitali sui mercati clandestini rappresenta per i criminali una via rapida, a basso rischio e altamente redditizia. Per questo il credential harvesting continua a essere uno dei trend più costanti, con impatti diretti sulle aziende colpite, che si ritrovano esposte a movimenti laterali interni, escalation di privilegi e nuove campagne di spear phishing.
Ransomware in azione
Se il phishing rappresenta il punto di ingresso più frequente, il ransomware resta la minaccia più importante. Nel secondo trimestre 2025, la metà degli incidenti analizzati nel report ha avuto a che fare con questa tipologia di attacco, confermandone il ruolo centrale nello scenario attuale.
Tra i casi più rilevanti c’è la comparsa di due gruppi d’attacco inediti: Qilin e Medusa. In particolare, Qilin ha attirato l’attenzione per l’uso di encryptor proprietari e tattiche mai osservate prima. Gli analisti hanno documentato intrusioni avviate tramite credenziali rubate, seguite da movimenti laterali attraverso strumenti legittimi di accesso remoto. Una volta ottenuto il controllo, gli attaccanti hanno predisposto meccanismi di persistenza capaci di rilanciare automaticamente il ransomware a ogni riavvio o login dell’utente. A ciò si è aggiunta l’esfiltrazione dei dati tramite strumenti non convenzionali, come client open-source di trasferimento file e infrastrutture di comando e controllo ospitate su servizi cloud legittimi.
Queste tecniche dimostrano un duplice obiettivo: massimizzare i danni interni e allo stesso tempo rendere più difficile l’attribuzione e il rilevamento. L’impatto è stato tale da costringere alcune organizzazioni a ricostruire interi domini Active Directory e reimpostare tutte le credenziali aziendali.
Accanto a Qilin, anche Medusa si è fatto notare per un incremento di attività. Un trend preoccupante è l’uso ricorrente di PowerShell 1.0 (strumento di automazione/scripting integrato in Windows): in circa un terzo degli attacchi ransomware, i criminali hanno sfruttato questa versione obsoleta per aggirare i controlli di sicurezza, evitare logging e mantenere un livello di furtività altrimenti difficile da ottenere.
Il messaggio è chiaro: il ransomware non solo resta una minaccia costante, ma evolve rapidamente, adottando tecniche che uniscono sofisticazione tecnica e uso “creativo” di strumenti comuni, rendendo ancora più complessa la difesa delle infrastrutture aziendali.
MFA e settori più colpiti
Accanto al phishing e al ransomware, il report Cisco Talos dedica grande attenzione alle debolezze legate all’autenticazione a più fattori (MFA). Molti degli incidenti analizzati nel secondo trimestre 2025 presenta un denominatore comune: configurazioni errate, assenza di MFA o tecniche di bypass utilizzate dagli attaccanti per superare questa barriera di sicurezza. Un dato che evidenzia come, pur essendo oggi considerata una delle misure più efficaci per proteggere gli account aziendali, la MFA non sia una garanzia assoluta: se non implementata e monitorata con cura, può trasformarsi in un falso senso di sicurezza.
Talos sottolinea in particolare l’importanza di attivare la MFA in maniera omogenea su tutti i servizi critici, di controllarne regolarmente le configurazioni e di formare gli utenti sui rischi di attacchi mirati, come il cosiddetto MFA fatigue, che sfrutta notifiche insistenti per indurre la vittima a concedere accesso.
Per quanto riguarda i settori colpiti, nel secondo trimestre emerge un chiaro cambiamento: il comparto Istruzione si conferma la vittima preferita a livello globale. Scuole, università e centri di ricerca soffrono infatti della combinazione tra infrastrutture spesso datate, budget limitati e un elevato numero di utenti da gestire, il che le rende prede particolarmente vulnerabili. Subito dopo si collocano la manifattura, le costruzioni e la pubblica amministrazione, tutti settori che negli ultimi anni hanno accelerato la digitalizzazione ma non sempre hanno adottato misure di sicurezza proporzionate al nuovo livello di esposizione.
Il messaggio che arriva dal report è evidente: la protezione dell’identità digitale è oggi la priorità numero uno. Le aziende devono trattare le credenziali e i meccanismi di accesso come un asset critico, al pari di dati e infrastrutture, investendo non solo in tecnologia, ma anche in governance e formazione continua.
Raccomandazioni e consigli
Dall’analisi del trimestre emergono alcune indicazioni chiare su come ridurre in modo significativo il rischio di compromissione. La prima riguarda l’adozione di versioni aggiornate degli strumenti di base: PowerShell 1.0, ancora utilizzato in molte reti, deve essere sostituito con la versione 5.0 o successive, che offrono funzioni avanzate di logging e integrazione con gli antivirus. Una misura semplice, ma capace di chiudere la porta a una delle tecniche più sfruttate dai gruppi ransomware.
Sul fronte dell’identità digitale, è necessario implementare correttamente la Multi-Factor Authentication (MFA), verificando che sia attiva su tutti i servizi critici e monitorando costantemente possibili tentativi di aggiramento. La sola presenza di un secondo fattore, infatti, non basta se non viene affiancata da controlli puntuali di configurazione e da politiche aziendali coerenti.
Un altro punto è il rafforzamento della protezione della posta elettronica e dei flussi applicativi: strumenti come firewall e sistemi di analisi del traffico in tempo reale possono fare la differenza nell’individuare tentativi di compromissione prima che diventino incidenti gravi. A questo si aggiunge la necessità di investire nella formazione degli utenti, ancora oggi l’anello debole più sfruttato dai criminali nelle campagne di phishing e social engineering.
Il valore della consulenza Hypergrid
I dati messi in luce da Cisco Talos raccontano una realtà complessa, fatta di sigle, percentuali e tecniche di attacco in continua evoluzione. Per molte aziende, tradurre queste informazioni in azioni concrete non è semplice: da un lato si rischia di investire in tecnologie costose ma non prioritarie, dall’altro si corre il pericolo di trascurare aspetti fondamentali come la protezione delle identità digitali o la corretta configurazione dei sistemi esistenti.
È proprio in questo spazio che si inserisce l’attività di Hypergrid. Il nostro team aiuta le organizzazioni a interpretare le azioni per trasformarle in piani operativi su misura, eliminando sprechi e sovrapposizioni. Tutte le misure indicate dall’implementazione corretta della MFA, alla migrazione a versioni aggiornate di PowerShell, dal rafforzamento dei controlli sugli accessi alla protezione della posta elettronica aziendale, fino alla formazione degli utenti, possono essere realizzate con successo grazie ai servizi che offriamo ogni giorno.
Il valore aggiunto sta nella personalizzazione: invece di proporre soluzioni standard, analizziamo il contesto specifico di ciascun cliente, identifichiamo le aree critiche e costruiamo un percorso graduale che consente di ottenere risultati concreti senza gravare sul budget. Questo approccio riduce drasticamente le spese inutili e permette di concentrare gli investimenti su ciò che davvero rafforza la sicurezza.
Per questo, abbiamo reso disponibile un modulo di richiesta di consulenza gratuita: uno strumento semplice, pensato per avviare un dialogo immediato con il nostro team. Compilando il modulo, le aziende possono ottenere una prima analisi delle proprie priorità e capire dove concentrare sforzi e risorse.
In un momento storico in cui il furto di credenziali e il ransomware rappresentano le minacce più diffuse, non è più sufficiente “avere” strumenti di sicurezza: occorre saperli configurare, integrare e gestire con competenza. È questo il compito che Hypergrid si assume ogni giorno, affiancando le aziende in un percorso di sicurezza realmente sostenibile. Puoi chiamarci al numero +39 0382 528875, scriverci all’indirizzo info@hypergrid.it, visitare il nostro sito web https://hypergrid.it.
O più semplicemente cliccare il pulsante per prenotare un appuntamento online gratuito con il nostro team e scoprire, senza impegno come possiamo aiutarti.
Devi effettuare l'accesso per postare un commento.