Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le minacce informatiche stanno cambiando radicalmente forma.
Non esistono più categorie ben separate come malware, phishing, ransomware o sfruttamento delle vulnerabilità: tutti questi vettori stanno convergendo in un unico ecosistema di attacco.
È quanto emerge dal Global Threat Intelligence Report 2026 di Flashpoint, che descrive un panorama in cui gli aggressori combinano simultaneamente più tecniche: credenziali rubate, vulnerabilità software, ransomware, phishing e automazione basata sull’intelligenza artificiale.
Secondo l’analisi, la velocità degli attacchi sta raggiungendo quella delle macchine. Se in passato molte operazioni richiedevano intervento umano, oggi sistemi di intelligenza artificiale basati su agenti sono in grado di gestire autonomamente intere fasi dell’attacco: raccolta dati, personalizzazione delle esche, modifica delle infrastrutture e adattamento delle strategie dopo tentativi falliti.
Il report presenta diversi dati che mostrano quanto rapidamente stia evolvendo il panorama delle minacce.
Alla fine del 2025 le attività criminali legate all’intelligenza artificiale sono aumentate del 1500% in un solo mese. Nello stesso anno Flashpoint ha rilevato 3,3 miliardi di credenziali e token cloud compromessi, mentre il numero di incidenti ransomware è cresciuto del 53% tra gennaio e dicembre.
Anche il numero di vulnerabilità divulgate è aumentato del 12% nel 2025, ma il dato più preoccupante riguarda il tempo necessario agli aggressori per sfruttarle. In molti casi, il divario tra pubblicazione e sfruttamento di massa si è praticamente azzerato.
Uno dei temi centrali del report è l’ascesa dell’intelligenza artificiale agentica nel cybercrime.
Non si tratta semplicemente di generatori di testo o immagini, ma di sistemi autonomi capaci di eseguire intere catene operative: raccolta di informazioni, modifica delle tattiche, lancio di nuove campagne e apprendimento dai fallimenti.
Tra novembre e dicembre 2025, le discussioni sull’uso dell’IA nei forum criminali sono aumentate del 1500%, segno che gli attori malevoli stanno passando dalla fase sperimentale alla creazione di veri e propri framework offensivi automatizzati.
Questi strumenti possono analizzare un bersaglio, generare messaggi di phishing personalizzati, cambiare infrastrutture e ripetere gli attacchi in modo continuo. Di fatto, il costo del fallimento per gli aggressori si riduce drasticamente: se un tentativo fallisce, l’automazione consente di riprovare immediatamente con una nuova strategia.
Un altro cambiamento fondamentale riguarda il principale punto di ingresso negli attacchi informatici. Secondo Flashpoint, non è più il codice vulnerabile il bersaglio principale, ma l’identità digitale degli utenti.
Nel 2025 sono state rilevate oltre 11,1 milioni di macchine infettate da malware progettati per rubare credenziali, cookie di sessione, token cloud e dati di compilazione automatica. Queste infezioni hanno alimentato un enorme mercato clandestino che ha generato i già citati 3,3 miliardi di credenziali compromesse.
Con queste informazioni gli aggressori non devono più violare i sistemi: possono semplicemente entrare come utenti legittimi.
Sessioni rubate, token di autenticazione e login validi permettono agli attaccanti di muoversi all’interno delle infrastrutture senza attivare molti dei tradizionali sistemi di difesa.
Il report evidenzia anche la crescente professionalizzazione del ransomware.
Il modello Ransomware-as-a-Service (RaaS) consente a gruppi criminali di creare piattaforme e strumenti pronti all’uso, mentre affiliati e partner eseguono gli attacchi.
Flashpoint cita gruppi come RansomHub e Clop come esempi di questa economia criminale strutturata, in cui il cybercrime funziona sempre più come una vera attività commerciale, con ruoli specializzati, supporto tecnico e modelli di franchising.
Nel 2025 oltre l’87% degli attacchi ransomware è stato attribuito a gruppi che operano proprio secondo questo modello.
Un cambiamento ancora più significativo riguarda la natura degli attacchi ransomware.
Secondo Flashpoint, gli aggressori stanno sempre più prendendo di mira le persone invece dei sistemi. Con il rafforzamento delle difese contro la crittografia dei file, molti criminali preferiscono sfruttare la fiducia umana.
Se un attaccante riesce ad accedere a un sistema con credenziali valide, può studiare l’organizzazione, scaricare dati sensibili e comprendere i processi aziendali. A quel punto la pressione non deriva più dalla cifratura dei file, ma dalla minaccia di divulgazione dei dati o dall’interruzione delle attività operative.
Questo approccio è spesso più rapido, meno rischioso e più efficace per gli aggressori.
Il report segnala inoltre una crescente riduzione della finestra temporale per l’applicazione delle patch. Nel 2025 una vulnerabilità su tre (33%) aveva già codice di exploit pubblico disponibile, e in alcuni casi gli attacchi su larga scala sono iniziati entro 24 ore dalla divulgazione.
Questo significa che molte organizzazioni non hanno più il tempo di seguire i tradizionali cicli di gestione delle patch, che prevedevano valutazione del rischio, test e distribuzione graduale degli aggiornamenti. Oggi anche un ritardo di pochi giorni può essere sufficiente per subire un attacco.
Il Global Threat Intelligence Report 2026 si basa sulla Primary Source Collection di Flashpoint, un sistema proprietario che raccoglie informazioni direttamente da ambienti criminali online.
Questo approccio consente di individuare segnali precoci di nuove minacce prima che emergano nei tradizionali strumenti di monitoraggio.
Secondo gli autori del report, uno dei problemi principali per i difensori è che i sistemi di sicurezza sono ancora organizzati in compartimenti separati: gestione delle vulnerabilità, sicurezza delle identità, intelligence sulle minacce e sicurezza fisica.
Ma nel panorama attuale gli attacchi non rispettano più queste divisioni. Quattro trend che definiranno il cybercrime del 2026 Flashpoint identifica quattro tendenze principali che plasmeranno il panorama delle minacce nei prossimi anni
La conclusione del report è netta: migliorare i vecchi modelli di difesa non è più sufficiente.
Quando gli aggressori operano alla velocità delle macchine, il vantaggio competitivo non appartiene a chi possiede più strumenti difensivi, ma a chi riesce a comprendere per primo come si sviluppano gli attacchi all’interno degli ecosistemi criminali.
Secondo Flashpoint, le organizzazioni che continueranno ad affidarsi a una visibilità frammentata del panorama delle minacce rischiano inevitabilmente di restare indietro.
