Nel secondo trimestre del 2025, il panorama della cybersecurity ha vissuto una trasformazione significativa. I criminali informatici hanno affinato le loro tecniche e riorientato i loro obiettivi, con il settore dell’Istruzione che è emerso come il principale bersaglio delle attività illecite, secondo l’ultimo rapporto di Cisco Talos, un’autorità di riferimento nel campo della sicurezza informatica. Questo ha portato a un preoccupante aumento degli attacchi a livello globale.
Phishing e furto di credenziali
Il phishing rimane la modalità di attacco più diffusa, nonostante un calo del 40% rispetto al trimestre precedente. In ben il 75% dei casi, gli aggressori hanno utilizzato account di posta elettronica compromessi, appartenenti a dipendenti o partner fidati, per inviare messaggi ingannevoli che hanno superato i sistemi di sicurezza. Questo ha indotto molti utenti a inserire le proprie credenziali e token di autenticazione multifattoriale su pagine di accesso false, ben progettate e sofisticate, fornendo così agli hacker dati preziosi. Queste informazioni vengono poi rivendute nei mercati clandestini o utilizzate per ulteriori intrusioni.
Un altro elemento preoccupante emerso dal report è il ruolo del ransomware, che ha rappresentato il 50% di tutti gli incidenti analizzati. Cisco Talos ha documentato attacchi condotti da gruppi come Qilin e Medusa, con Qilin che ha adottato tecniche innovative e strumenti mai visti prima. Tra le loro strategie, spicca l’accesso iniziale tramite credenziali rubate e l’uso di un cifrario inedito, rendendo necessarie operazioni di ripristino complete delle macchine e reset delle password a livello aziendale. Questo gruppo sembra essere in fase di espansione, aumentando la propria rete di affiliati e accelerando le operazioni.
Ransomware, mfa e settori più colpiti
Un dato significativo emerso dal report riguarda l’impiego della versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware. Questa versione obsoleta, priva di funzioni di sicurezza fondamentali, viene sfruttata dai criminali per eludere i controlli di sicurezza. Cisco Talos raccomanda un aggiornamento a PowerShell 5.0 o versioni successive per mitigare i rischi di compromissione.
Inoltre, oltre il 40% degli incidenti ha riguardato problemi legati all’autenticazione multifattoriale, spesso causati da configurazioni errate o tentativi di bypass. Talos suggerisce di implementare correttamente la MFA, monitorandone costantemente l’efficacia e integrandola con firewall per applicazioni web e sistemi di rilevamento in tempo reale.
Il settore dell’Istruzione ha subito un notevole incremento degli attacchi, diventando il più colpito a livello globale. Anche i settori manifatturiero, delle costruzioni e della pubblica amministrazione hanno registrato elevati livelli di attività ransomware.
Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia, ha commentato: “La cybercriminalità è in continua evoluzione. Nel secondo trimestre, i criminali informatici hanno puntato soprattutto alla vendita di credenziali rubate, un metodo rapido e a basso rischio per fare profitto. Sebbene il phishing stia diminuendo, rimane un metodo molto efficace per ottenere accessi non autorizzati. Inoltre, l’aumento degli attacchi con il ransomware Qilin dimostra che questa minaccia è molto seria per le aziende.”
