Milano, 5 maggio 2025 – Durante il primo trimestre del 2025 gli attacchi di phishing hanno avuto un’impennata significativa. In particolare, secondo il rapporto trimestrale pubblicato da Cisco Talos, questo tipo di minaccia harappresentato il metodo di accesso iniziale nel 50% dei casi analizzati, in netto contrasto con i trimestri precedenti. Allo stesso tempo è diminuito l'utilizzo di account validi per l'accesso iniziale, nonostante fosse stato il vettore principale nel 2024 , come indicato nel report annuale di Cisco Talos. Ma non per questo gli account validi hanno perso il loro ruolo fondamentale nelle catene di attacco: i criminali informatici li compromettono frequentemente tramite phishing per poi sfruttarli nelle fasi successive dell'attacco.
Riflettori puntati anche sugli incidenti ransomware e pre-ransomware, che hanno costituito una quota leggermente maggiore del totale delle minacce rilevate. Le analisi di Cisco Talos sugli eventi pre-ransomware hanno evidenziato come l'attivazione tempestiva del team di risposta agli incidenti e il monitoraggio accurato delle tattiche, delle tecniche e delle procedure (TTP) degli aggressori siano stati determinanti per interrompere gli attacchi prima dell'effettiva diffusione del malware.
L’aumento del phishing
Il phishing si è confermato la tattica principale per l'accesso iniziale alle reti, responsabile del 50% degli attacchi rilevati, un aumento significativo rispetto al periodo precedente, quando non raggiungeva nemmeno il 10 %. Tra le tecniche di phishing, il vishing (phishing vocale) ha prevalso, costituendo oltre il 60% dei casi. Tuttavia sono stati riscontrati anche altri vettori, come allegati e link malevoli e campagne BEC (Business Email Compromise).
Nel trimestre in esame, si è osservata una prevalente adozione del phishing per acquisire credenziali valide, con il chiaro intento di entrare in profondità nelle reti bersaglio ed estendere il controllo. Questo modus operandi segna un'evoluzione rispetto al passato, quando il phishing era spesso finalizzato all'esfiltrazione di dati sensibili o alla facilitazione di transazioni fraudolente.
Le principali tendenze del ransomware
Gli incidenti ransomware e pre-ransomware hanno superato il 50% delle attività gestite da Cisco Talos, segnando un notevole incremento rispetto al 30% del periodo precedente. Una vasta campagna, contraddistinta dalle TTP dei gruppi BlackBasta e Cactus, ha preso di mira le aziende del settore manifatturiero ed edile, rappresentando oltre il 60% degli incidenti ransomware e pre-ransomware.
I settori più colpiti
Il settore manifatturiero è risultato il più colpito, con il 25% degli incidenti gestiti da Cisco Talos. Tale dato assume particolare rilevanza se confrontato con il secondo semestre del 2024, quando il principale bersaglio era stato invece il settore dell'istruzione, mentre nel trimestre attuale non si sono riscontrati incidenti diretti a organizzazioni appartenenti al comparto educativo.
Le raccomandazioni di Cisco Talos
Autenticazione a più fattori: le problematiche relative all'autenticazione a più fattori (MFA) hanno rappresentato il 50% degli incidenti gestiti da Cisco Talos, e hanno incluso configurazioni errate, assenza di MFA e casi di bypass. Il furto di token è stato cruciale in diversi attacchi, consentendo agli aggressori di eludere i controlli di autenticazione e stabilire connessioni apparentemente legittime. Cisco Talos raccomanda di controllare che l’MFA venga applicata a tutti i servizi critici, inclusi quelli di accesso remoto e di gestione delle identità e degli accessi
La consapevolezza degli utenti: le tecniche di ingegneria sociale sono state coinvolte nel 50% degli interventi gestiti da Cisco Talos, evidenziando una potenziale lacuna nella formazione degli utenti. Questa vulnerabilità si manifesta nell'incremento degli attacchi di phishing, in cui gli aggressori hanno manipolato con successo gli utenti per accedere agli ambienti aziendali. Il vishing, in particolare, si è dimostrato una tattica particolarmente efficace. Cisco Talos sottolinea l'urgenza di rafforzare la consapevolezza sulle tecniche di phishing e ingegneria sociale: una formazione mirata è cruciale per consentire agli utenti di riconoscere i tentativi di phishing, contrastare le tecniche di elusione dell'MFA e sapere come e dove segnalare attività sospette.
Protezione degli endpoint: in quasi il 20% degli incidenti analizzati, le organizzazioni non disponevano di adeguate protezioni contro la disinstallazione delle soluzioni EDR, una lacuna che ha reso possibile la neutralizzazione di queste difese da parte degli aggressori. Per mitigare questo rischio, Cisco Talos raccomanda di proteggere le soluzioni di sicurezza endpoint, e personalizzando le configurazioni e non semplicemente limitarsi alle impostazioni predefinite.
A proposito di Cisco
Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che connette tutto in modo sicuro per rendere tutto possibile. Il nostro obiettivo è quello di creare un futuro inclusivo per tutti, aiutando i nostri clienti a reimmaginare le loro applicazioni, ad alimentare il lavoro ibrido, a proteggere le loro aziende, a trasformare le loro infrastrutture e a raggiungere i loro obiettivi di sostenibilità. Scopri di più sulla sezione italiana di EMEA Network e seguici su Twitter @Cisco. Digitaliani: l'impegno Cisco per la Digitalizzazione del Paese.
Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri Paesi. Un elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati appartengono ai rispettivi proprietari. L'uso del termine partner non implica un rapporto di partnership tra Cisco e altre aziende.
Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it
Immediapress è un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall'ente che lo emette. L'Adnkronos e Immediapress non sono responsabili per i contenuti dei comunicati trasmessi
