• Non è solo luce e gas, è l'energia di casa tua.
  • Un museo. Quattro Sedi. IntesaSanPaolo
  • La piattaforma di wealth planning
  • Italpress Agenzia di stampa
Economia e Finanza

Cybersecurity 2025: boom di attacchi via siti web e portali aziendali. In calo i ransomware, ma nascono nuove varianti

 
Cybersecurity 2025: boom di attacchi via siti web e portali aziendali. In calo i ransomware, ma nascono nuove varianti
Redazione

Il Report Cisco Talos segnala un’impennata degli attacchi informatici che sfruttano applicazioni pubbliche e phishing aziendale. La Pubblica Amministrazione torna il bersaglio principale, mentre emergono minacce inedite come Warlock, Babuk e Kraken.

Attacchi informatici in forte crescita: nel mirino le applicazioni accessibili al pubblico

Nel terzo trimestre del 2025, gli attacchi informatici contro aziende e istituzioni italiane ed europee sono aumentati in modo significativo. A segnalarlo è il nuovo Report di Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la sicurezza informatica.

Il documento rivela che oltre il 60% degli incidenti gestiti dal team di Incident Response ha avuto origine da applicazioni pubblicamente accessibili, come siti web o portali aziendali. Solo tre mesi fa, questa tipologia rappresentava appena il 10%. Un balzo impressionante, dovuto soprattutto a una serie di attacchi contro server Microsoft SharePoint locali, sfruttando falle di sicurezza note dal mese di luglio.

La catena ToolShell e le nuove vulnerabilità di SharePoint

La cosiddetta catena ToolShell è stata protagonista di quasi quattro attacchi su dieci. Gli esperti avvertono che il fenomeno conferma l’importanza di segmentare le reti aziendali e installare rapidamente gli aggiornamenti di sicurezza.

A partire da metà luglio 2025, i cybercriminali hanno cominciato a sfruttare due nuove vulnerabilità critiche di Microsoft SharePoint (CVE-2025-53770 e CVE-2025-53771), che permettono di eseguire codice remoto senza credenziali valide.

Phishing aziendale: la minaccia che cresce dall’interno

Parallelamente, crescono gli attacchi di phishing condotti da account aziendali compromessi. Gli hacker utilizzano email interne già violate per diffondere link malevoli all’interno dell’organizzazione o verso i partner.
Durante uno degli episodi analizzati, un account Microsoft 365 compromesso è stato usato per inviare quasi 3.000 email fraudolente in poche ore, a riprova dell’efficacia di questo metodo.

Ransomware in calo, ma sempre più sofisticati

Gli attacchi ransomware — pur in diminuzione dal 50% al 20% degli incidenti — restano una minaccia costante. Nel trimestre, Cisco Talos ha individuato nuove varianti pericolose come Warlock, Babuk e Kraken, accanto alle già note Qilin e LockBit.

In un caso, gli analisti hanno attribuito con “moderata certezza” un attacco al gruppo cinese Storm-2603, che ha utilizzato in modo inedito Velociraptor, un software open source solitamente impiegato per analisi forensi digitali, per mantenere l’accesso ai sistemi infetti. È la prima volta che un simile strumento legittimo viene sfruttato per scopi malevoli in un attacco ransomware.

Qilin: il gruppo ransomware più attivo del 2025

Tra i gruppi più aggressivi figura Qilin, che ha intensificato le operazioni con un aumento di fughe di dati pubblicate online. Gli attacchi seguono uno schema consolidato: accesso iniziale con credenziali rubate, crittografia personalizzata e esfiltrazione dei dati tramite CyberDuck. Gli esperti prevedono che Qilin resterà una minaccia di primo piano fino a fine anno.

Pubblica Amministrazione nel mirino

Per la prima volta dal 2021, la Pubblica Amministrazione risulta il settore più colpito. Gli enti locali — che gestiscono scuole e strutture sanitarie — sono bersagli ideali per via dei sistemi obsoleti e delle risorse limitate, ma custodiscono dati sensibili e non possono permettersi lunghi stop operativi.

Le raccomandazioni di Cisco Talos

Cisco Talos invita le organizzazioni a rafforzare le misure di sicurezza proattiva.
Tra le raccomandazioni:

  • Rafforzare la MFA (autenticazione a più fattori) per evitare fenomeni di MFA fatigue o bypass;

  • Centralizzare i log di sicurezza tramite soluzioni SIEM, per preservare le prove digitali anche in caso di compromissione;

  • Applicare tempestivamente le patch di sicurezza e aggiornare sistemi come SharePoint;

  • Segmentare la rete per contenere gli attacchi e prevenire movimenti laterali degli aggressori.

Cybersecurity: una sfida continua per aziende e PA

Il quadro tracciato da Cisco Talos conferma una realtà: gli attacchi informatici evolvono più rapidamente delle difese. L’uso crescente di strumenti legittimi per scopi malevoli e l’espansione del phishing aziendale richiedono una cultura digitale diffusa e investimenti costanti in sicurezza.
Nel 2025, la resilienza informatica è diventata una priorità strategica per il settore pubblico e privato.