Gli attacchi informatici nel trimestre 2025 mostrano nuove tendenze nei sistemi aziendali e nella Pubblica Amministrazione, secondo il report di Cisco Talos.
Aumentano gli attacchi informatici che sfruttano applicazioni pubbliche, come siti web o portali aziendali, per penetrare nei sistemi delle organizzazioni. Cresce anche il phishing tramite account aziendali compromessi. In calo invece gli attacchi ransomware, pur con nuove e pericolose varianti. Questi dati relativi a luglio-settembre 2025 emergono dal Report Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity.
Ransomware e strumenti innovativi dei cybercriminali
Gli attacchi ransomware hanno rappresentato circa il 20% degli incidenti. In calo dal 50% del trimestre precedente. Nonostante la diminuzione, il ransomware resta una minaccia persistente. Con nuove varianti come Warlock, Babuk e Kraken. Oltre a famiglie già note come Qilin e LockBit. Un caso particolare ha coinvolto il gruppo Storm-2603 (Cina), che ha sfruttato Velociraptor, uno strumento normalmente impiegato per analisi forensi, per mantenere l’accesso ai sistemi compromessi. Comportamento mai osservato prima. Inoltre, il gruppo Qilin ha intensificato le proprie operazioni. Aumentando le fughe di dati online e confermando che rimarrà una minaccia rilevante anche nei prossimi mesi.
Catena ToolShell e vulnerabilità SharePoint
Oltre il 60% degli attacchi informatici ha avuto origine da applicazioni accessibili al pubblico. Con quasi quattro casi su dieci legati alla catena ToolShell. Confermando l’importanza di segmentare correttamente la rete e aggiornare subito i sistemi. A partire da metà luglio 2025, sono state sfruttate nuove vulnerabilità nei server Microsoft SharePoint (CVE-2025-53770 e CVE-2025-53771). Questi permettono l’esecuzione di codice da remoto senza bisogno di credenziali valide. Rappresentando un pericolo concreto per molte aziende.
Phishing e accessi iniziali
Il phishing da account compromessi continua a rappresentare una minaccia concreta. I criminali informatici sfruttano email interne già violate per diffondere l’attacco all’interno delle organizzazioni o verso partner esterni. Alcuni account Microsoft 365 compromessi hanno inviato fino a 3.000 email fraudolente. Dimostrando l’efficacia della tecnica. Nel trimestre preso in esame, i metodi più comuni per ottenere l’accesso iniziale ai sistemi aziendali sono stati l’uso di applicazioni vulnerabili, phishing,credenziali compromesse e siti web malevoli.
Settore pubblico nel mirino
Per la prima volta dal 2021, la Pubblica Amministrazione è stata il settore più colpito dagli attacchi informatici. Gli enti locali, le scuole e le strutture sanitarie risultano obiettivi particolarmente appetibili. Questo a causa di budget limitati e sistemi di difesa spesso obsoleti. Il trattamento di dati sensibili rende queste organizzazioni vulnerabili, rendendo gli attacchi profittevoli sia per criminali orientati al guadagno, sia per chi è motivato da spionaggio.
Raccomandazioni di Cisco Talos
Per contrastare efficacemente gli attacchi informatici, Cisco Talos raccomanda di rafforzare l’autenticazione a più fattori (MFA). Così come monitorare accessi sospetti o località incompatibili. È fondamentale centralizzare e proteggere i log tramite sistemi SIEM, in modo da conservare le tracce anche in caso di compromissione. Allo stesso tempo, bisogna applicare tempestivamente aggiornamenti e patch su server e applicazioni vulnerabili. Segentando correttamente le reti aziendali per impedire movimenti laterali degli aggressori.
