Il phishing torna alla ribalta. Non che fosse mai uscito di scena, ma questa tipologia di minaccia informatica è nuovamente protagonista in quanto tecnica di accesso iniziale preferita dai cybercriminali. I criteri di monitoraggio e analisi variano anche di molto tra un osservatore e l’altro, per questo è utile comparare due studi dello stesso vendor: nell’ultimo report trimestrale di Cisco Talos (che basa i propri dati su 46 milioni di dispositivi distribuiti su 93 Paesi) il phishing è stato il metodo di accesso iniziale nel 50% dei casi analizzati, mentre nel report annuale sul 2024 la percentuale non raggiungeva il 10%.
Lo scorso anno, di contro, il metodo di accesso iniziale di gran lunga prevalente era stato l’abuso di account validi. Questo fenomeno, sottolineano i ricercatori di Cisco, nei primi mesi del 2025 non è sparito, ma si è vista soprattutto una dinamica più complessa: prima si compromette l’account tramite phishing (nel 50% dei casi, in base alla statistica del trimestre), poi le credenziali ottenute vengono usate nelle successive fasi dell'attacco. Cisco fa notare che questo modus operandi segna un'evoluzione rispetto al passato, quando il phishing era soprattutto teso a esfiltrare ati sensibili o a realizzare transazioni bancarie e pagamenti a spese delle vittime.
Altro fenomeno interessante del 2025 è l’ascesa del vshing, cioè del phishing vocale o telefonico, usato nel 60% dei casi del primo trimestre come metodo di accesso iniziale. Non sono però scomparse le tecniche tradizionali di phishing via email, con allegati e link a siti Web malevoli, né le campagne di Business Email Compromise (Bec). Da qui la necessità, secondo Cisco, di potenziare la formazione su questi temi in azienda.
L’ascesa dei ransomware
Nei primi tre mesi di quest’anno gli episodi di ransomware e pre-ransomware hanno superato il 50% delle attività gestite dal team di risposta agli incidenti di Cisco Talos, con notevole incremento rispetto al 30% del precedente trimestre. A questo ha contribuito in particolare una vasta campagna ransomware, probabilmente riconducibile ai gruppi BlackBasta e Cactus, che ha preso di mira le aziende del settore manifatturiero ed edile: ha rappresentato oltre il 60% degli incidenti ransomware e pre-ransomware del trimestre.
Attenzione alla Multifactor Authentication
Oltre all’evoluzione del phishing e alle fluttuazioni a volume dei ransomware, legate anche a dinamiche estemporanee, ci sono alcuni temi di fondo su cui Cisco insiste. Uno è la protezione di identità, applicazioni e dati tramite autenticazione a più fattori: la sua assenza, in molte aziende, o il suo utilizzo sbagliato sono un rischio da non sottovalutare. Non basta adottare la Multifactor Authentication (Mfa), ma bisogna applicarla a tutti i servizi critici, inclusi quelli di accesso remoto e di gestione delle identità e degli accessi. Problematiche legate alla Multifactor Authentication (la sua assenza, configurazioni errate e casi di bypass) hanno favorito il 50% degli incidenti gestiti da Cisco Talos nel primo trimestre 2025.
Endpoint ancora troppo esposti
Dimenticarsi di qualcosa di apparentemente banale, come la protezione degli endpoint con una soluzione Edr (Endpoint Detection and Response), è un errore altrettanto grave e sorprendentemente frequente. E per lo più le aziende non lo dimenticano, ma dimenticano di impedire ai dipendenti di rimuovere o non usare le soluzioni previste. In quasi il 20% degli incidenti analizzati da Cisco Talos, infatti, le organizzazioni non disponevano di adeguate protezioni contro la disinstallazione delle soluzioni Edr. Cisco consiglia non solo di adottare soluzioni Edr, ma di personalizzarne le configurazioni.