Secondo il Managed XDR Global Threat Report di Barracuda ben il 90% degli attacchi ransomware ha sfruttato i firewall e software non aggiornati o account vulnerabili. L’indagine mostra le modalità in cui i cyber aggressori prendono di mira le organizzazioni e sfruttano le falle nella sicurezza, mettendo a rischio i sistemi. I risultati si basano sul dataset di Barracuda Managed XDR, che comprende oltre 2 trilioni di eventi IT raccolti nel corso del 2025, quasi 600.000 avvisi di sicurezza e oltre 300.000 endpoint protetti, firewall, server e risorse cloud.
Le porte principali da cui entrano gli attacchi ransomware
I risultati, basati su migliaia di incidenti di sicurezza realmente accaduti, mostrano come gli aggressori si servano di strumenti IT legittimi, come i software di accesso remoto, e di dispositivi non protetti. Inoltre, rivelano i rischi legati alla crittografia obsoleta e ai sistemi di sicurezza degli endpoint disabilitati. Oltre a mettere in luce i segnali di allarme derivanti da accessi insoliti o da comportamenti anomali da parte degli account con più privilegi. Come ricordato il 90% degli incidenti ransomware ha sfruttato i firewall attraverso una vulnerabilità software catalogata (CVE) o un account vulnerabile. Gli aggressori possono utilizzarli per ottenere l’accesso e il controllo della rete e aggirarne la protezione, nascondendo traffico e attività dannose.
Quando gli aggressori sono più avanti dei team di sicurezza
Il caso di ransomware più rapido osservato ha coinvolto il ransomware Akira e ha richiesto appena 3 ore dalla violazione alla crittografia dei dati. Tempi così ridotti possono lasciare ai team di sicurezza pochissime possibilità di rilevamento e risposta. Una vulnerabilità rilevata 10 presentava un exploit noto. Gli aggressori stanno attivamente sfruttando i bug del software, spesso all’interno della supply chain. Di conseguenza, è bene non sottovalutare l’importanza di identificare e applicare le patch ai software non aggiornati. La vulnerabilità più diffusa risale al 2013. CVE-2013-2566 indica un difetto in un algoritmo di crittografia obsoleto che può trovarsi nei sistemi legacy, come ad esempio vecchi server o dispositivi e applicazioni embedded.
Attenzione al movimento laterale, segnale di attacco ransomware in corso
Il 96% degli incidenti che hanno utilizzato il movimento laterale si è concluso con il rilascio di un ransomware. Il movimento laterale segna il momento in cui gli aggressori nascosti su un endpoint non protetto escono allo scoperto. Inoltre rappresenta il più grande segnale di allarme di un attacco ransomware in corso. Il 66% degli incidenti ha coinvolto la supply chain o una terza parte, in aumento rispetto al 45% del 2024. Questo perché gli aggressori sfruttano i punti deboli del software di terzi per violare le difese e ampliare la propria portata di attacco. Contestualmente, il report elenca anche una serie di misure pratiche che organizzazioni e MSP che le supportano possono adottare per affrontare e ridurre i rischi.
Un panorama di minacce in continua evoluzione
Merium Khalid, Director SOC Offensive Security di Barracuda Networks Le organizzazioni e i loro team di sicurezza, specialmente se i ‘team’ sono composti da un unico professionista IT, si trovano ad affrontare una sfida immensa. Con risorse limitate e strumenti di sicurezza frammentati, devono proteggere identità, risorse e dati da un panorama di minacce in continua evoluzione e da attacchi che possono svolgersi nel giro di poche ore.
Ciò che rende vulnerabili gli obiettivi passa facilmente inosservato: un singolo dispositivo non autorizzato, un account che non è stato disattivato quando un dipendente ha lasciato l’azienda. E ancora: un’applicazione inattiva che non è stata aggiornata o una funzione di sicurezza configurata in modo errato. Ai cyber aggressori basta trovare uno solo di questi elementi per riuscire nel proprio intento. Una soluzione di sicurezza integrata, basata sull’AI e autonoma, insieme alla gestione e al supporto di esperti, può davvero fare la differenza.
