Report trimestrale Cisco Talos, in crescita il furto di credenziali

“La cybercriminalità è in continua evoluzione. Nel secondo trimestre i criminali informatici hanno puntato soprattutto alla vendita di credenziali rubate, un metodo rapido e a basso rischio per fare profitto. Il phishing, pur diminuendo, resta molto efficace per ottenere accessi non autorizzati. Inoltre, l’aumento degli attacchi con il ransomware Qilin dimostra che questa minaccia è molto seria per le aziende. Le aziende devono agire immediatamente: usare l’autenticazione multifattoriale (MFA) e installare firewall per applicazioni web con monitoraggio dei flussi, così da rilevare le minacce in tempo reale.”

Queste osservazioni di Renzo Ghizzoni, Country Leader Sales Security di Cisco Italia, evidenziano come per i criminali informatici obiettivi e tecniche siano cambiate. Stando a quanto evidenziato dal report relativo al secondo trimestre 2025 di Cisco Talos, i malviventi hanno nell’attività di phishing la principale modalità di accesso anche se, rispetto al trimestre precedente, questa tecnica risulta in calo del 40%.  E' sempre più frequente che gli attacchi sfruttino account di posta elettronica compromessi di dipendenti interni o di partner aziendali fidati, inviando messaggi credibili che riescono a superare i sistemi di sicurezza e a conquistare la fiducia delle vittime.

Nel secondo trimestre del 2025, il 75% degli attacchi di phishing osservati è partito da account di posta elettronica compromessi, appartenenti a dipendenti o a partner aziendali fidati. In molti casi, gli utenti sono stati ingannati e indotti a inserire le proprie credenziali e i token di autenticazione a più fattori (MFA) su pagine di accesso false particolarmente sofisticate, consentendo così agli hacker di rubare informazioni preziose, utilizzate poi per nuovi attacchi o rivendute nei mercati clandestini.

Nuove osservazioni sul ransomware

Ad essere responsabile della metà di tutti gli incidenti nel secondo trimestre di quest’anno è stato il ransomware. Il team di Cisco Talos ha rilevato per la prima volta le attività dei gruppi Qilin e Medusa, oltre a rispondere a nuovi attacchi legati al già noto ransomware Chaos.

Nel primo caso documentato di attacco Qilin, Cisco Talos ha osservato strumenti e tattiche del tutto inedite. L’intrusione è iniziata con l’utilizzo di credenziali rubate, seguita da movimenti laterali all’interno della rete tramite strumenti di accesso remoto. Gli attaccanti hanno impiegato un cifrario mai utilizzato prima e nuove tecniche di esfiltrazione dei dati. Hanno quindi creato processi automatici in grado di riavviare il ransomware dopo ogni reboot o login, provocando danni estesi ai sistemi e rendendo necessario il ripristino completo delle macchine e la reimpostazione delle password a livello aziendale.

L’analisi di Talos suggerisce inoltre che il gruppo Qilin sta espandendo la propria rete di affiliati o accelerando le proprie operazioni.

Attacchi con scripting obsoleti

A rappresentare una tendenza allarmante è l’uso della vecchia versione 1.0 di PowerShell in circa un terzo degli attacchi ransomware. Tale versione, obsoleta, viene utlizzata dai criminali informatici perché priva di funzionalità di sicurezza fondamentali, come la registrazione degli script e l’integrazione con gli antivirus. Cisco Talos raccomanda alle organizzazioni di adottare PowerShell 5.0 o versioni successive, così da ridurre in modo significativo i rischi di compromissione.

Il settore più colpito? Quello dell’Istruzione

Nel secondo trimestre 2025, il settore dell’Istruzione è risultato essere l’industria più presa di mira a livello globale, segnando un cambiamento significativo rispetto al trimestre precedente. Elevati livelli di attività ransomware sono stati osservati anche nei settori manifatturiero, delle costruzioni e della pubblica amministrazione.

Oltre il 40% degli incidenti registrati nel secondo trimestre ha riguardato problemi legati all’autenticazione a più fattori (MFA), come configurazioni errate, assenza del sistema o tentativi di aggiramento. Cisco Talos consiglia di attivare la MFA e monitorarla con attenzione, al fine di  prevenire abusi e rafforzare la sicurezza dell’organizzazione.