Le campagne di ransomware diventano sempre più strutturate e industrializzate, mentre gli attacchi contro i sistemi di autenticazione risultano più mirati e difficili da intercettare. L’utilizzo crescente di strumenti basati sull’intelligenza artificiale consente inoltre ai cybercriminali di automatizzare e scalare le operazioni, rendendo il panorama delle minacce più complesso e dinamico. È questo il quadro delineato dal report Cisco Talos 2025 Year in Review , che evidenzia una fase di forte accelerazione del cybercrime, caratterizzata da tempi di sfruttamento delle vulnerabilità sempre più ridotti e da un’evoluzione significativa delle tecniche di attacco.
Vulnerabilità sfruttate in tempi record e persistenza dei rischi legacy
Una delle principali evidenze del report riguarda la rapidità con cui gli attaccanti sono in grado di sfruttare nuove falle di sicurezza. In diversi casi, le vulnerabilità vengono utilizzate entro poche ore dalla loro divulgazione pubblica, riducendo drasticamente la finestra di intervento per le organizzazioni. React2Shell rappresenta un esempio emblematico: pur essendo stata resa nota solo a dicembre, è diventata rapidamente la vulnerabilità più sfruttata dell’anno, confermando la crescente capacità dei criminali informatici di adattarsi in tempo reale agli aggiornamenti del panorama tecnologico.
Parallelamente, continuano a essere sfruttate vulnerabilità note da tempo, come Log4j o PHPUnit, dimostrando come molte organizzazioni fatichino a mantenere aggiornati sistemi e applicazioni legacy. Circa il 40% delle vulnerabilità più colpite riguarda dispositivi giunti a fine ciclo di vita, evidenziando una persistente difficoltà nella gestione del ciclo di patching e nella dismissione delle infrastrutture obsolete.
Ransomware sempre più organizzato: Qilin tra i gruppi più attivi
Il ransomware si conferma una delle minacce più rilevanti per il tessuto economico globale, con il settore manifatturiero che risulta il più colpito a causa della bassa tolleranza ai fermi operativi e della presenza di ambienti ibridi IT-OT difficili da aggiornare rapidamente. In questo scenario il gruppo Qilin emerge come il più attivo del 2025, con campagne strutturate secondo modelli di ransomware-as-a-service e strategie orientate alla massimizzazione dei profitti.
Le operazioni ransomware mostrano un’evoluzione significativa anche nelle tecniche di accesso iniziale, sempre più basate su vulnerabilità legate all’identità digitale e sull’utilizzo di credenziali valide compromesse tramite phishing o social engineering. L’uso di strumenti legittimi di amministrazione remota contribuisce inoltre a rendere gli attacchi meno visibili e più difficili da individuare.
Attacchi ai sistemi di autenticazione in forte crescita
Il report evidenzia un incremento del 178% nei casi di compromissione dei sistemi di autenticazione multifattore, una tecnologia tradizionalmente considerata tra le più efficaci per la protezione degli accessi. I cybercriminali sfruttano tecniche sempre più sofisticate, tra cui la registrazione fraudolenta di dispositivi MFA a nome delle vittime, consentendo di bypassare completamente i meccanismi di sicurezza.
Gli attacchi di tipo MFA spray e device compromise dimostrano come l’identità digitale sia diventata uno dei principali punti di vulnerabilità delle organizzazioni. In particolare, gli attaccanti concentrano le proprie attività sui sistemi di Identity and Access Management e Privileged Access Management, con l’obiettivo di ottenere accessi persistenti e privilegi elevati all’interno delle infrastrutture aziendali.
Minacce statali sempre più attive e sofisticate
Nel corso del 2025 si è registrato un aumento significativo delle attività riconducibili ad attori statali. Le campagne attribuite a gruppi legati alla Cina sono cresciute del 74%, con operazioni caratterizzate da un uso combinato di vulnerabilità note e zero-day per mantenere accessi persistenti alle reti bersaglio. La Russia continua a privilegiare lo sfruttamento di vulnerabilità legacy, in particolare su dispositivi di rete, per sostenere attività di spionaggio a lungo termine.
La Corea del Nord si distingue per operazioni finalizzate al finanziamento illecito tramite asset digitali, tra cui uno dei più grandi furti di criptovalute mai registrati, mentre l’Iran intensifica le attività di hacktivism e cyber spionaggio, spesso in relazione alle dinamiche geopolitiche internazionali.
Intelligenza artificiale come moltiplicatore del cybercrime
L’intelligenza artificiale rappresenta uno dei principali fattori di accelerazione del cybercrime. Gli attaccanti utilizzano modelli generativi per creare campagne di phishing altamente personalizzate e difficili da individuare, mentre emergono nuove tipologie di malware in grado di analizzare in tempo reale il contenuto visualizzato sullo schermo delle vittime per adattare il comportamento dell’attacco.
L’AI consente inoltre di ridurre drasticamente i tempi di sviluppo delle funzionalità malevole e di automatizzare diverse fasi della kill chain, dalla ricognizione iniziale alla distribuzione del payload, fino alla persistenza all’interno delle reti compromesse.
Verso un nuovo approccio alla sicurezza
Il report evidenzia come il panorama delle minacce richieda un cambio di paradigma nelle strategie di difesa. Le organizzazioni devono adottare un approccio integrato alla sicurezza, basato su visibilità completa degli asset, protezione avanzata delle identità digitali, segmentazione delle reti e capacità di risposta coordinata agli incidenti.
La crescente velocità di sfruttamento delle vulnerabilità e l’uso dell’intelligenza artificiale da parte degli attaccanti rendono infatti insufficiente un approccio reattivo. Diventa invece necessario anticipare le minacce attraverso modelli di sicurezza proattivi, in grado di adattarsi a un contesto in continua evoluzione.
