Nel primo trimestre del 2025, gli attacchi di phishing hanno registrato una vera e propria impennata, diventando la principale porta d’accesso per i criminali informatici alle reti aziendali. È quanto emerge dal report trimestrale di Cisco Talos, che lancia l’allarme su una mutata geografia delle minacce e sulla crescente sofisticazione delle tecniche usate dagli attaccanti.
Secondo il rapporto, il phishing ha rappresentato il 50% degli accessi iniziali analizzati dagli esperti Cisco, un aumento drastico rispetto al trimestre precedente, dove non superava nemmeno il 10%. Tra le varianti più diffuse si segnala il vishing (phishing vocale), che ha costituito oltre il 60% dei casi, affiancato da allegati e link malevoli e da campagne di Business Email Compromise (BEC).
L’obiettivo principale? Ottenere credenziali valide per spingersi in profondità all’interno dei sistemi aziendali, ampliando il controllo sugli asset critici. Un’evoluzione rispetto al passato, quando il phishing mirava soprattutto al furto di dati sensibili o all’effettuazione di transazioni fraudolente.
Parallelamente, si è verificato un aumento rilevante degli incidenti ransomware e pre-ransomware, che hanno superato il 50% degli eventi gestiti da Cisco Talos, contro il 30% del periodo precedente. In particolare, una campagna estesa associata ai gruppi BlackBasta e Cactus ha preso di mira i settori manifatturiero ed edile, rappresentando oltre il 60% degli attacchi di questa tipologia.
Complessivamente, i comparti più bersagliati sono risultati manifattura, sanità e retail, che insieme hanno concentrato il 25% degli incidenti.
Un cambiamento significativo rispetto alla seconda metà del 2024, quando il target privilegiato era il settore dell’istruzione, ora praticamente scomparso dai radar degli attaccanti.
Il report evidenzia anche gravi criticità legate all’autenticazione a più fattori (MFA): il 50% degli incidenti ha coinvolto assenza, configurazioni errate o aggiramento della MFA, spesso tramite furto di token di autenticazione, che permettono di simulare connessioni legittime. In parallelo, le tecniche di ingegneria sociale sono state usate nel 50% dei casi, dimostrando come la formazione degli utenti resti una delle aree più vulnerabili nella difesa aziendale.
Infine, preoccupano i dati relativi alla protezione degli strumenti EDR (Endpoint Detection and Response): in quasi il 20% degli incidenti, gli aggressori sono riusciti a disinstallare queste difese per via di configurazioni troppo generiche o predefinite.