Cybersecurity a rischio, aumentano i furti di credenziali
Oltre il 40% degli incidenti ha riguardato problemi legati all’autenticazione a più fattori (MFA), dovuti a configurazioni errate o a tentativi di aggiramento.
Il report trimestrale di Cisco Talos rivela come la cybersecurity sia messa in pericolo dai cybercriminali, con l’istruzione come settore più colpito.
I criminali informatici stanno cambiando obiettivi e tecniche, mettendo a rischio la cybersecurity. Secondo quanto evidenziato dal report relativo al secondo trimestre 2025 di Cisco Talos l’attività di phishing resta per i pirati del web la principale modalità di accesso. Ma rispetto al trimestre precedente questa tecnica è diminuita del 40%.
Sempre più spesso gli attacchi informatici sfruttano account di posta elettronica compromessi di dipendenti interni o di partner aziendali fidati. Riuscendo così a inviare messaggi credibili in grado di superare i sistemi di sicurezza e conquistare la fiducia delle vittime.
Nel secondo trimestre del 2025, il 75% degli attacchi di phishing osservati è partito da account di posta elettronica compromessi, appartenenti a dipendenti o a partner aziendali fidati. In molti casi, gli utenti sono stati ingannati e indotti a inserire le proprie credenziali e i token di autenticazione a più fattori (MFA) su pagine di accesso false particolarmente sofisticate. Consentendo così agli hacker di rubare informazioni preziose, utilizzate poi per nuovi attacchi informatici o rivendute nei mercati clandestini.
Cybersecurity e scripting obsoleti
Un trend preoccupante riguarda l’uso della vecchia versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware. Questa versione obsoleta viene sfruttata dai cybercriminali perché priva di funzionalità di sicurezza fondamentali. Come la registrazione degli script e l’integrazione con gli antivirus. Cisco Talos raccomanda alle organizzazioni di adottare PowerShell 5.0 o versioni successive, così da ridurre in modo significativo i rischi di compromissione.
Istruzione il settore più colpito
Nel secondo trimestre 2025, il settore dell’Istruzione è risultato essere l’industria più presa di mira a livello globale. Segnando un cambiamento significativo rispetto al trimestre precedente. Elevati livelli di attività ransomware sono stati osservati anche nei settori manifatturiero, delle costruzioni e della pubblica amministrazione.
Implementare MFA e altre soluzioni di controllo degli accessi
Oltre il 40% degli incidenti di cybersecurity registrati nel secondo trimestre ha riguardato problemi legati all’autenticazione a più fattori (MFA). Come configurazioni errate, assenza del sistema o tentativi di aggiramento. Cisco Talos consiglia di attivare la MFA e monitorarla attentamente, per prevenire abusi e rafforzare la sicurezza dell’organizzazione.
Nuove osservazioni sul ransomware
Nel secondo trimestre di quest’anno, il ransomware è stato responsabile del 50% di tutti gli incidenti. Il team di Cisco Talos ha rilevato per la prima volta le attività dei gruppi Qilin e Medusa. Oltre a rispondere a nuovi attacchi informatici legati al già noto ransomware Chaos.
Nel primo caso documentato di attacco Qilin, Cisco Talos ha osservato strumenti e tattiche mai viste prima. L’intrusione è iniziata con l’utilizzo di credenziali rubate. Seguita da movimenti laterali all’interno della rete tramite strumenti di accesso remoto. Gli attaccanti hanno impiegato un cifrario mai utilizzato prima e nuove tecniche di esfiltrazione dei dati. Inoltre, hanno creato processi automatici capaci di riavviare il ransomware dopo ogni reboot o login. Provocando danni estesi ai sistemi e rendendo necessario il ripristino completo delle macchine. Così come la reimpostazione delle password a livello aziendale.
L’analisi di Talos suggerisce inoltre che il gruppo Qilin sta espandendo la propria rete di affiliati, accelerando le proprie operazioni.
