Secondo il report di Cisco Talos il 2025 è stato un anno che ha evidenziato un cambio di passo senza precedenti per ciò che riguarda i cyberattacchi, ora ancora più veloci, intelligenti e difficili da individuare. Le campagne di ransomware risultano sempre più strutturate e industrializzate, mentre gli attacchi contro i sistemi di autenticazione diventano più mirati e difficili da intercettare. A rafforzare questo scenario contribuisce l’utilizzo crescente di strumenti basati sull’intelligenza artificiale, che permettono ai cybercriminali di automatizzare, scalare e rendere più efficaci le proprie operazioni.
Un punto di svolta fondamentale nei cyberattacchi
Secondo il report Cisco Talos 2025 Year in Review https://blog.talosintelligence.com/2025yearinreview/, il panorama del cybercrime sta vivendo e continua a vivere un’accelerazione senza precedenti. Segnando in questo modo un punto di svolta nella complessità e nella velocità delle minacce digitali. I criminali informatici sono in grado di sfruttare le vulnerabilità in tempi estremamente ridotti, spesso nell’arco di poche ore o addirittura minuti dalla loro divulgazione pubblica.
Attacchi lampo e vulnerabilità conosciute
In diversi casi i ricercatori di Cisco Talos hanno osservato attacchi partire a distanza di pochi minuti dalla pubblicazione delle falle, riducendo drasticamente la finestra di intervento per le organizzazioni. Tra gli esempi più rilevanti, React2Shell si è affermata come la vulnerabilità più sfruttata dell’anno, nonostante sia stata resa nota soltanto nel mese di dicembre. A dimostrazione della rapidità con cui gli attaccanti riescono ad adattarsi. Allo stesso tempo, i criminali continuano a sfruttare delle vulnerabilità conosciute da tempo, segnalando una persistente difficoltà da parte delle aziende nel mantenere aggiornati sistemi e applicazioni.
Ransomware: Qilin domina e prende di mira il manifatturiero
Il ransomware si conferma come una tra le minacce più pervasive e dannose per il tessuto economico globale. In questo contesto, il gruppo Qilin si è distinto come il più attivo dell’anno, portando avanti campagne continue e altamente coordinate. Le operazioni di Qilin mostrano un elevato livello di preparazione, con modelli di business strutturati e strategie mirate alla massimizzazione dei profitti. Il settore manifatturiero risulta il più colpito, principalmente a causa della sua bassa tolleranza ai fermi operativi e della presenza di infrastrutture legacy difficili da aggiornare rapidamente. Le interruzioni produttive causate da questi attacchi generano impatti economici significativi, rendendo le aziende particolarmente vulnerabili a richieste di riscatto.
Crescita record dei cyberattacchi ai sistemi di autenticazione
Nel 2025 si è registrato un +178% dei casi di compromissione dei sistemi di autenticazione multifattore (MFA). Ovvero una delle tecnologie considerate fino a poco tempo fa tra le più efficaci per la protezione degli accessi. I criminali informatici adottano tecniche sempre più sofisticate, tra cui la registrazione fraudolenta di dispositivi MFA a nome delle vittime. Riuscendo così ad aggirare completamente i sistemi di sicurezza. Questo tipo di attacco evidenzia come la protezione dell’identità digitale sia diventata uno dei rischi principali per organizzazioni e utenti. Richiedendo approcci più evoluti e continui aggiornamenti delle strategie difensive.
Minacce statali: Cina, Russia, Corea del Nord e Iran intensificano le operazioni
Le attività riconducibili ad attori statali hanno registrato un sensibile incremento nel corso dell’anno. La Cina ha aumentato del 74% le campagne identificate, ampliando il raggio delle proprie operazioni di cyber spionaggio. La Russia continua a distinguersi per l’utilizzo sistematico di vulnerabilità note da tempo, sfruttate per mantenere accessi persistenti all’interno delle reti bersaglio. La Corea del Nord si è resa protagonista del più grande furto di criptovalute mai registrato, confermando il forte interesse per il finanziamento illecito tramite asset digitali. Infine, l’Iran ha intensificato le proprie attività sia nel campo dello spionaggio sia in quello dell’hacktivism, aumentando la pressione su obiettivi strategici a livello internazionale.
L’intelligenza artificiale è la nuova frontiera dei cyberattacchi
L’intelligenza artificiale si è affermata come un vero e proprio moltiplicatore di competenze per il cybercrime. I criminali informatici utilizzano l’AI per creare campagne di phishing sempre più realistiche, personalizzate e difficili da riconoscere. Inoltre, emergono nuove tipologie di malware in grado di analizzare in tempo reale ciò che appare sullo schermo delle vittime, adattando il proprio comportamento per massimizzare l’efficacia dell’attacco. L’AI viene anche impiegata per sviluppare rapidamente nuove funzionalità malevole, riducendo drasticamente i tempi e aumentando la frequenza e la varietà delle minacce.
Serve adottare un approccio alla sicurezza più integrato e moderno
Il report evidenzia una velocità e una capacità di adattamento dei criminali informatici senza precedenti. Cisco richiama l’attenzione sulla necessità di adottare un approccio alla sicurezza integrato e moderno. Un approccio basato su visibilità completa degli asset, protezione avanzata dell’identità, segmentazione delle reti e capacità di risposta coordinata agli incidenti. Solo attraverso strategie proattive e tecnologie evolute sarà possibile contrastare efficacemente un panorama di minacce in continua evoluzione.
