Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 6 Novembre 2025 11:20
Milano, 4 novembre 2025 – Aumentano gli attacchi informatici che sfruttano applicazioni accessibili al pubblico, come siti web o portali aziendali, per entrare nei sistemi delle organizzazioni, e cresce anche il phishing condotto attraverso account aziendali compromessi. In calo invece gli attacchi ransomware, anche se di questo tipo di minaccia sono state rilevate nuove pericolose varianti.
Questi i dati più significativi emersi dal Report di Cisco Talos – relativo al trimestre luglio, agosto e settembre del 2025.
Per quanto riguarda attacchi informatici che sfruttano applicazioni accessibili al pubblico, si tratta di una modalità utilizzata in oltre sei casi su dieci tra gli interventi gestiti dal team di Incident Response, rispetto al 10% del trimestre precedente. Un aumento vertiginoso, legato in particolare a una serie di attacchi contro server Microsoft SharePoint installati localmente, che hanno sfruttato falle di sicurezza rese note a luglio.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attacchi ransomware hanno rappresentato circa il 20% degli incidenti, in calo rispetto al 50% del trimestre precedente. Nonostante la diminuzione, il ransomware resta però una delle minacce più diffuse e persistenti per le aziende. Per la prima volta, il team di Cisco Talos ha affrontato nuove varianti come Warlock, Babuk e Kraken, oltre a famiglie già note come Qilin e LockBit.
In un caso, gli esperti hanno attribuito con “moderata certezza” un attacco a un gruppo di cybercriminali legato alla Cina, noto come Storm-2603. Un elemento insolito di questo attacco è stato l’uso di Velociraptor, un software open source normalmente usato per analisi forensi digitali, qui sfruttato per mantenere l’accesso ai sistemi violati, un comportamento mai osservato prima in questo tipo di attacchi. Infine, è stato registrato un aumento degli attacchi legati al ransomware Qilin, segno che questo gruppo sta intensificando la propria attività.
Gli attacchi legati alla cosiddetta catena ToolShell confermano quanto sia importante per le aziende segmentare correttamente la rete e installare subito gli aggiornamenti di sicurezza. Nel corso dell’ultimo trimestre, oltre il 60% degli incidenti analizzati da Cisco Talos ha avuto origine da applicazioni accessibili pubblicamente, come siti web o portali aziendali. In quasi quattro casi su dieci è stata riscontrata l’attività della catena ToolShell, una tecnica che ha contribuito in modo significativo alla crescita di questo tipo di attacchi.
A partire da metà luglio 2025, i criminali informatici hanno iniziato a sfruttare due nuove vulnerabilità nei server Microsoft SharePoint installati localmente (identificate come CVE-2025-53770 e CVE-2025-53771). Queste falle, collegate ad altre già corrette da Microsoft a inizio luglio, permettono ai criminali di eseguire un codice da remoto senza bisogno di accedere con credenziali valide.
Come anticipato, gli attacchi di phishing lanciati da account aziendali compromessi continuano a rappresentare una minaccia concreta. I criminali informatici sfruttano email interne già violate per diffondere l’attacco all’interno dell’organizzazione o verso partner esterni.
Gli esperti di Talos hanno osservato che la catena ToolShell è stata sfruttata già prima dell’avviso ufficiale di Microsoft, con la maggior parte degli attacchi concentrata nei dieci giorni successivi. Questa tecnica è stata riscontrata in circa un terzo degli incidenti del trimestre, in aumento rispetto al periodo precedente. In molti casi è stata combinata con il phishing: durante uno degli attacchi monitorati, un account Microsoft 365 compromesso è stato usato per inviare quasi 3.000 email fraudolente.
Diminuiscono invece i ransomware. Nel trimestre appena concluso, gli attacchi ransomware hanno rappresentato circa il 20% degli incidenti gestiti da Cisco Talos, in calo rispetto al 50% del periodo precedente. Per la prima volta però, il teamdi Talos Incident Response ha affrontato nuove varianti come Warlock, Babuk e Kraken, oltre a famiglie già note come Qilin e LockBit.
Cisco Talos ha gestito un attacco ransomware attribuito con moderata certezza al gruppo di origine cinese Storm-2603. L’attacco ha colpito gravemente l’infrastruttura IT di un’azienda del settore telecomunicazioni, inclusi sistemi operativi critici per la gestione delle operazioni. Durante l’indagine, gli esperti di Talos hanno scoperto che i criminali informatici avevano installato una versione obsoleta di Velociraptor, uno strumento open source normalmente usato per le analisi forensi digitali e la risposta agli incidenti, su cinque server compromessi.
Velociraptor è stato utilizzato per mantenere l’accesso ai sistemi anche dopo l’isolamento di alcuni host – un comportamento mai osservato prima in un attacco ransomware. La versione impiegata presentava una vulnerabilità di sicurezza che consentiva agli attaccanti di controllare da remoto i sistemi infettati. Questo caso conferma una tendenza già evidenziata da Cisco Talos: i cybercriminali usano sempre più spesso strumenti legittimi, sia commerciali che open source, per rendere gli attacchi più efficaci e difficili da individuare.
Il gruppo Qilin, comparso per la prima volta nel trimestre precedente, ha intensificato le proprie operazioni, come mostra il numero crescente di fughe di dati pubblicate online a partire da febbraio 2025. Gli attacchi di Qilin seguono uno schema ormai consolidato: accesso iniziale con credenziali rubate, uso di un crittografo personalizzato per ogni vittima e impiego dello strumento CyberDuck per rubare e trasferire i dati. L’attività crescente del gruppo indica che Qilin resterà una delle principali minacce ransomware almeno fino alla fine del 2025.
Per la prima volta dal 2021, la Pubblica Amministrazione è stata il settore più colpito. Gli enti pubblici sono obiettivi attraenti perché spesso dispongono di budget limitati e usano sistemi di difesa obsoleti. In questo trimestre gli attacchi hanno riguardato principalmente enti locali, che gestiscono anche scuole e strutture sanitarie e che trattano dati sensibili e non possono quindi permettersi lunghi periodi di inattività. Queste caratteristiche li rendono appetibili sia per cybercriminali orientati al profitto, sia per quelli motivati da spionaggio.
Nel trimestre preso in considerazione, il modo piùcomune per ottenere l’accesso iniziale ai sistemi aziendali è stato lo sfruttamento di applicazioni su internet, spesso legato all’attività di ToolShell. Altri metodi osservati includono phishing, uso di credenziali valide compromesse e attacchi tramite siti web malevoli.
Nel corso dell’ultimo trimestre quasi un terzo degli incidenti ha coinvolto abusi dell’autenticazione a più fattori (MFA), come la MFA fatigue – richieste ripetute per indurre l’errore – o il bypass dei controlli. Per contrastare questi attacchi, Talos consiglia di attivare sistemi di rilevamento delle anomalie, come accessi da località incompatibili, e di rafforzare i criteri MFA. Un’altra criticità emersa riguarda la registrazione dei log: in molti casi, la mancanza di log completi ha ostacolato le indagini, con problemi frequenti come log eliminati, disabilitati o conservati per periodi troppo brevi. Cisco Talos raccomanda l’utilizzo di soluzioni SIEM (Security Information and Event Management) per centralizzare e proteggere i log, così da preservare le tracce anche in caso di compromissione dei sistemi. Infine, circa il 15% degli attacchi ha sfruttato sistemi non aggiornati, tra cui server SharePoint rimasti vulnerabili settimane dopo il rilascio delle patch. Per ridurre le vulnerabilità e impedire movimenti laterali degli aggressori, è fondamentale applicare tempestivamente gli aggiornamenti.
RedazioneUn servizio di botnet chiamato Aisuru, offre un esercito di dispositivi IoT e router compromessi, per sferrare attacchi DDoS ad alto traffico. In soli tre mesi, la massiccia botnet Aisuru ha lanciato ...
Un’indagine congiunta di BCA LTD, NorthScan e ANY.RUN ha svelato uno degli schemi di hacking più segreti della Corea del Nord. Con il pretesto di un reclutamento di routine, il team ha monitorato c...
L’adozione su larga scala dell’intelligenza artificiale nelle imprese sta modificando in profondità i processi operativi e, allo stesso tempo, introduce nuovi punti critici per la sicurezza. Le a...
L’azienda francese Mistral AI ha presentato la sua linea di modelli Mistral 3, rendendoli completamente open source con licenza Apache 2.0. La serie include diversi modelli compatti e densi con 3, 8...
Nel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...
