Gli attacchi informatici che sfruttano applicazioni accessibili pubblicamente – come siti web e portali aziendali – sono oggi il principale vettore di ingresso nelle reti delle organizzazioni. È quanto emerge dal Report trimestrale di Cisco Talos, relativo ai mesi di luglio, agosto e settembre 2025. Parallelamente cresce il phishing condotto da account aziendali compromessi, mentre gli attacchi ransomware risultano in diminuzione, pur mostrando nuove varianti più complesse e difficili da rilevare.
Sfruttamento delle applicazioni esposte: l’impatto delle falle SharePoint e della catena ToolShell
Oltre il 60% degli incidenti gestiti dal team di Incident Response di Cisco Talos ha avuto origine da applicazioni raggiungibili via internet, un incremento significativo rispetto al 10% del trimestre precedente. In molti casi gli attaccatori hanno sfruttato vulnerabilità recentemente emerse nei server Microsoft SharePoint installati on-premise (CVE-2025-53770 e CVE-2025-53771), in grado di consentire l’esecuzione di codice da remoto senza autenticazione.
Queste falle, combinate con la cosiddetta catena ToolShell, hanno favorito movimenti laterali rapidi e difficili da individuare. La catena ToolShell, osservata in quasi il 40% degli incidenti, conferma l’importanza di una segmentazione corretta delle reti aziendali e di una gestione rigorosa degli aggiornamenti di sicurezza.
Phishing da account compromessi: una minaccia interna in crescita
Il phishing non arriva più soltanto dall’esterno. Sempre più spesso i criminali informatici sfruttano account aziendali già violati per inviare messaggi malevoli a colleghi e partner. In uno degli attacchi analizzati, un account Microsoft 365 compromesso è stato utilizzato per inviare oltre 3.000 email fraudolente in pochi minuti, aumentando notevolmente la credibilità del messaggio e la probabilità di successo.
Ransomware: calano gli attacchi, aumentano le tecniche avanzate
Gli incidenti legati al ransomware sono scesi al 20% del totale, rispetto al 50% del trimestre precedente. Nonostante ciò, il ransomware rimane una minaccia ad alta priorità. Il trimestre ha visto l’emergere di nuove varianti come Warlock, Babuk e Kraken, oltre al consolidamento di famiglie già note, come Qilin e LockBit.
Un caso particolare è stato attribuito con moderata certezza al gruppo Storm-2603, collegato alla Cina. Durante l’attacco, gli aggressori hanno utilizzato Velociraptor – uno strumento open source legittimo per l’analisi forense – per mantenere l’accesso ai sistemi dopo l’avvio delle procedure di contenimento. È la prima volta che uno strumento di questo tipo viene osservato come mezzo di persistenza in un attacco ransomware.
Qilin intensifica le operazioni
Il gruppo ransomware Qilin, già emerso nel trimestre precedente, ha aumentato l’attività, con un numero crescente di furti e divulgazioni di dati. Il metodo resta invariato: accesso iniziale tramite credenziali compromesse, crittografo personalizzato per ogni vittima e uso dello strumento CyberDuck per l’esfiltrazione dei dati.
Pubblica Amministrazione nel mirino
Per la prima volta dal 2021, la Pubblica Amministrazione è risultata il settore più colpito. In particolare, gli attacchi hanno coinvolto enti locali, spesso con infrastrutture obsolete e risorse di difesa limitate. La gestione di dati sensibili e servizi essenziali li rende obiettivi strategici sia per gruppi criminali motivati al profitto, sia per attori legati allo spionaggio.
Le raccomandazioni di Cisco Talos
• Rafforzare l’autenticazione a più fattori e contrastare fenomeni come la “MFA fatigue”.
• Implementare sistemi di rilevamento delle anomalie, incluso il monitoraggio di accessi da località incompatibili.
• Centralizzare i log con soluzioni SIEM per evitarne la perdita o la manipolazione.
• Applicare tempestivamente gli aggiornamenti, in particolare su SharePoint e altri servizi esposti.
• Segmentare la rete per limitare i movimenti laterali in caso di compromissione.
Il trimestre conferma il cambiamento in atto nel panorama delle minacce: gli attaccatori sfruttano servizi e strumenti legittimi, riducendo la necessità di malware e rendendo più complessa l’individuazione degli incidenti. La sicurezza si sposta sempre più verso la gestione di identità, accessi e comportamenti anomali negli ambienti digitali.
