Cybersecurity 2025: tutti i nuovi trend nel report Acronis

Il ransomware resta la minaccia numero uno nel panorama della cybersecurity globale (+70% rispetto al 2024), ma è il phishing il principale vettore di attacco.

17 Settembre 2025 Patrizia Godi
cybercrime cybersecurity

L’ultima edizione del Cyber Threat Report di Acronis, pubblicata ad agosto e basata sui dati raccolti da oltre un milione di endpoint in tutto il mondo, offre una fotografia dettagliata delle minacce che stanno plasmando il panorama della cybersecurity nel 2025. “Rispetto agli anni precedenti, abbiamo deciso di arricchire il report con capitoli che fotografano in modo ancora più puntuale i trend emergenti”, spiega Irina Artioli, Cyber Protection Evangelist e Researcher presso la Threat Research Unit (TRU). “Il nostro compito è trasformare l’intelligence in strumenti pratici che aiutino aziende e MSP a rafforzare la resilienza”.

MSP e Telco nel mirino

Dal 2024 il report dedica un capitolo specifico agli attacchi contro i Managed Service Provider (MSP), settore sempre più strategico per i criminali informatici. Se da un lato i casi documentati sono diminuiti (47 nel primo semestre 2025 contro i 76 dello stesso periodo del 2024), dall’altro gli analisti hanno registrato una crescita degli attacchi alle Telco, passati da 14 a 20. “I dati sugli MSP possono essere letti come un segnale incoraggiante – sottolinea Artioli –. Probabilmente riflettono una maggiore maturità delle difese, anche grazie alla spinta normativa di NIS2 in Europa. Tuttavia, la crescita degli attacchi alle Telco mostra che i gruppi criminali continuano a puntare sulle infrastrutture critiche”.

Ransomware: la pressione non cala

Il ransomware resta la minaccia numero uno nel panorama della cybersecurity globale. Il report segnala un incremento del 70% rispetto al 2024, con il settore manifatturiero ancora tra i più colpiti e la Germania come Paese maggiormente bersagliato.

patch management

Abbiamo raccolto e verificato i dati da fonti pubbliche, eliminando duplicazioni e imprecisioni – spiega Umberto Zanatta, Senior Solutions Engineer di Acronis, esperto di sicurezza in Acronis –. Ne emerge un quadro chiaro: le gang criminali continuano a esercitare una pressione altissima”.

Il mese di febbraio è stato emblematico, con 955 vittime attribuite a una sola gang, Cl0p. “Il modello del ransomware-as-a-service funziona ancora molto bene – sottolinea Zanatta –. Permette anche a gruppi meno esperti di accedere a strumenti sofisticati, moltiplicando gli attacchi”. Dopo l’impennata invernale si è registrato un calo, dovuto alla smobilitazione di alcune gang e a una riduzione degli attacchi opportunistici. “È una dinamica ciclica – aggiunge –. Quando un gruppo scompare, ne nasce subito un altro pronto a colmare il vuoto”.

Italia tra ransomware e data breach

Nel nostro Paese sono stati rilevati 19 casi di ransomware ogni 10.000 workload monitorati, contro i 179 registrati in Germania. “Il dato va letto nel contesto: è normalizzato sul numero di endpoint protetti – precisa Zanatta –. Non significa che l’Italia sia più sicura, ma che le campagne si concentrano in mercati più estesi”.

attacchi Machine Learning remote monitoring and management

Artioli conferma che il ransomware in Italia si combina con un fenomeno altrettanto preoccupante: i data breach. “Molti gruppi scelgono di rubare dati sensibili e minacciare la pubblicazione – spiega –. È un approccio che riduce l’esposizione e aumenta i margini di guadagno, mettendo le aziende in una posizione ancora più vulnerabile”.

Phishing e malware: i canali cambiano

Il phishing si conferma il principale vettore di attacco alla cybersecurity, ma sta cambiando canale. Nel 2025 la quota di campagne rivolte alle piattaforme di collaborazione è balzata dal 9% al 30,5%, con un impatto diretto sugli ambienti di produttività come Microsoft 365.

Il phishing si conferma la minaccia più pervasiva, ma oggi assume forme sempre più sofisticate – osserva Artioli –. L’intelligenza artificiale consente di generare email credibili e pagine di login perfettamente imitate. È un salto qualitativo che riduce i segnali d’allarme e rende ancora più urgente la formazione degli utenti”.

Zanatta aggiunge: “È un cambio di paradigma. Le aziende devono proteggere non solo la posta elettronica, ma anche i nuovi ambienti di lavoro digitale”. L’analisi di oltre 20.000 email ha mostrato che l’1,5% conteneva malware: nel 40% dei casi si trattava di allegati dannosi, nel 30% di link malevoli. Inoltre, gli attaccanti preferiscono nascondere il payload malevolo più avanti nella catena d’attacco, invece di consegnarlo subito tramite URL, eludendo così i controlli tradizionali.

L’impatto dell’intelligenza artificiale

Il report evidenzia come l’AI sia ormai parte integrante delle operazioni criminali. Non si tratta ancora di un utilizzo lungo tutta la kill chain, ma di un supporto in fasi mirate: dalla generazione di contenuti per campagne di phishing alla creazione di malware e ransomware automatizzati.

Abbiamo osservato diversi casi in cui l’AI è stata sfruttata per accelerare i tempi di attacco e ridurre i costi per i gruppi criminali – sostiene Artioli –. Questo scenario ci obbliga a ripensare le difese di cybersecurity: non possiamo più contare solo su regole statiche, servono sistemi capaci di adattarsi in tempo reale”.

Zanatta evidenzia un altro aspetto: “L’AI ha democratizzato l’uso di strumenti che prima erano riservati a specialisti. Oggi chiunque può generare phishing credibili, malware su misura e persino deepfake con estrema facilità”.

Casi recenti confermano il fenomeno: gruppi nordcoreani hanno sfruttato l’AI per infiltrarsi in aziende occidentali, mentre in Italia un deepfake ha preso di mira il Ministro della Difesa.

Tecniche avanzate e abuso di strumenti legittimi

La TRU di Acronis ha rilevato una crescita degli attacchi multistage, con tecniche pensate per garantire persistenza ed eludere i controlli tradizionali di cybersecurity. Tra le più diffuse figurano la process injection, l’uso di PowerShell come canale nascosto per il movimento laterale e il masquerading, in cui file malevoli si presentano come applicazioni affidabili.

Un altro fenomeno in crescita è l’abuso di strumenti di Remote Monitoring and Management (RMM). Nel primo semestre 2025 sono stati individuati oltre 50 casi in cui software legittimi come Splashtop, ConnectWise ScreenConnect e Atera sono stati trasformati in vettori d’attacco. In una campagna complessa, un installer compromesso di ScreenConnect è stato usato per distribuire simultaneamente tre famiglie di Remote Access Trojan. “È stato un caso emblematico – racconta Artioli –. La combinazione di più RAT ha dato agli attaccanti maggiore persistenza e diversificazione delle tecniche”.

malevolo cybersecurity, sicurezza, hacker

Il fattore umano sempre decisivo

Accanto alla tecnologia, il comportamento degli utenti continua a rappresentare l’anello debole. “Puoi avere le migliori difese, ma basta un clic sbagliato per compromettere tutto – avverte Zanatta –. La formazione deve essere continua, non un evento isolato. Serve un percorso costante che aiuti a riconoscere le trappole sempre più sofisticate”.

La priorità resta la cyber resilience

Il Cyber Threat Report 2025 si chiude con una serie di raccomandazioni: rafforzare backup e recovery, adottare modelli di zero trust, aggiornare i sistemi, proteggere applicazioni di collaborazione oltre alle email, regolamentare l’uso dell’AI e predisporre piani di incident response.

La tecnologia è indispensabile per la cybersecurity, ma non basta – conclude Artioli –. Un utente consapevole rappresenta ancora la prima linea di difesa. Per questo trasformiamo ogni dato raccolto in strumenti e pratiche che rendano le aziende davvero resilienti”.

Zanatta ribadisce la necessità di una visione integrata: “La resilienza digitale non nasce da un singolo strumento. È il risultato di una strategia che combina tecnologia, processi e consapevolezza umana. Solo così possiamo restare un passo avanti rispetto alle minacce”.

Related Posts: