Nel 2025 il 90% degli incidenti ransomware ha sfruttato i firewall, attraverso vulnerabilità software note o account compromessi. È il dato più rilevante che emerge dal Managed XDR Global Threat Report di Barracuda Networks, basato su oltre due trilioni di eventi IT analizzati nel corso dell’anno, quasi 600.000 alert di sicurezza e più di 300.000 endpoint, firewall, server e risorse cloud protetti.
Il messaggio è chiaro: l’anello debole non è quasi mai una tecnica esotica, ma una falla nota, un account dimenticato, un sistema non aggiornato.
A rendere il quadro ancora più critico è la velocità. Il caso più rapido osservato, attribuito alla famiglia Akira, ha impiegato appena tre ore per passare dalla compromissione iniziale alla cifratura dei dati. In scenari di questo tipo, le finestre di rilevazione e risposta si riducono drasticamente.
Identità digitali e privilege escalation al centro degli attacchi
Le minacce più rilevate nell’ultimo anno riguardano le identità: login anomali su Microsoft 365, accessi da geolocalizzazioni sospette, tentativi di “impossible travel”, disabilitazione di agent endpoint e aggiunta di utenti a gruppi ad alto privilegio.
L’escalation dei privilegi è un passaggio chiave. Il 42% dei tentativi sospetti ha riguardato l’aggiunta di utenti a gruppi Windows con diritti elevati, mentre il 16% ha coinvolto l’assegnazione del ruolo di global administrator in Microsoft 365. Una volta ottenuti privilegi amministrativi, gli aggressori possono muoversi lateralmente, disattivare difese, esfiltrare dati o distribuire ransomware.
Non a caso, il 96% degli incidenti che hanno incluso movimento laterale si è concluso con il rilascio di un ransomware.
Supply chain e strumenti legittimi come vettori di attacco
Un altro dato significativo riguarda la supply chain: il 66% degli incidenti ha coinvolto terze parti o software di fornitori esterni, in crescita rispetto al 45% dell’anno precedente. Gli aggressori sfruttano software legittimi e strumenti di gestione remota per mimetizzarsi nelle normali attività IT.
È il paradigma del “living off the land”: utilizzo di strumenti legittimi per scopi malevoli. Remote Desktop Protocol, VPN SSL, tool di gestione remota e PowerShell diventano leve operative che riducono la probabilità di rilevazione.
Il 90% degli incidenti ransomware ha sfruttato firewall vulnerabili o account esposti. Il 44% degli episodi legati ai firewall ha incluso tecniche di password spraying, mentre nel 34% dei casi sono stati cancellati i log per coprire le tracce.
Vulnerabilità vecchie di oltre dieci anni ancora attive
Tra le vulnerabilità più diffuse spicca una CVE del 2013 legata all’uso dell’algoritmo RC4, ancora presente in sistemi legacy. È un dato che evidenzia il rischio di esposizioni dormienti: sistemi dimenticati, dispositivi embedded, server non più monitorati ma ancora connessi.
Complessivamente sono state individuate 2.525 vulnerabilità uniche, di cui 4.146 classificate come critiche. L’11% presentava exploit noti e pubblicamente disponibili.
La mancata applicazione delle patch resta uno dei principali fattori di rischio.
Endpoint non protetti e strumenti disabilitati
Il 100% degli incidenti analizzati ha coinvolto almeno un endpoint non protetto o rogue. Inoltre, tra le configurazioni più problematiche figurano agent di protezione endpoint disabilitati, MFA non attivata e regole di protezione email disattivate.
Il falso senso di sicurezza derivante dalla semplice presenza di uno strumento installato, ma non correttamente configurato, rappresenta una vulnerabilità strutturale.
Un ransomware sempre più costante e industrializzato
Nel 2025 non si registrano più picchi isolati ma un livello costante e alto di incidenti ransomware durante tutto l’anno. La percentuale di organizzazioni colpite ogni mese è raddoppiata rispetto al 2024, passando da un intervallo dell’1,5–5,6% a un range tra il 5,1% e il 10,9%.
Tra le famiglie più attive figurano Akira, Qilin, RansomHub e Cactus, con modelli operativi basati su doppia estorsione, data theft e ransomware-as-a-service.
AI agentica e nuova accelerazione delle minacce
Il report evidenzia inoltre un rischio emergente: l’utilizzo di sistemi di AI agentica da parte degli attaccanti. Automatizzare le prime fasi dell’attacco, identificare configurazioni deboli e adattare dinamicamente il codice malevolo può aumentare ulteriormente velocità e scala delle operazioni.
Secondo Barracuda, la risposta deve essere una strategia integrata: rilevazione avanzata basata su AI, SOC operativo 24/7, gestione centralizzata delle configurazioni, MFA coerente, patch management rigoroso e formazione continua del personale.
La conclusione è lineare: in uno scenario dove la compromissione può trasformarsi in cifratura in poche ore, la resilienza operativa diventa importante quanto la prevenzione.
