Gli attaccanti si infiltrano in rete in poche ore, colpiscono di notte e nei week end. Identità compromesse, ransomware ed esfiltrazione dati spingono al limite difese e tempi di risposta.
Autore: Redazione SecurityOpenLab
Nel 2025, il 67% degli incidenti è stato agevolato da un problema di identità, mentre negli attacchi ransomware l’88% dei payload è stato distribuito fuori orario d’ufficio, di notte o nei weekend. I dati provengono dal Sophos Active Adversary Report 2026, basato su 661 interventi di Incident Response e MDR condotti dal vendor tra il 1 novembre 2024 e il 31 ottobre 2025 in 70 Paesi e 34 settori diversi.
Due sono le tendenze del periodo in esame: la progressiva focalizzazione degli attacchi sulle identità e l’accelerazione dei tempi operativi degli attaccanti, che sono sempre più rapidi e colpiscono quando le aziende sono meno presidiate. Il tutto con l’aggiunta di una AI generativa che rende phishing e social engineering più rapidi, credibili e scalabili, ma che tutto sommato non ha cambiato in modo strutturale le TTP degli avversari.
Come accennato in apertura, nel 64,45% dei casi la compromissione iniziale è riconducibile all’abuso di identità: credenziali rubate o già in circolazione nei circuiti criminali, attacchi di brute force, phishing, furto di token di autenticazione o abuso di relazioni di fiducia. In questa macro‑categoria spicca la quota del 42,06% di incidenti risulta che le credenziali erano compromesse, ma non si riesce a risalire con precisione alla tecnica che le ha esposte per log e telemetria sufficienti.
Gli attacchi brute force, con il 15,58% dei casi, sono quasi alla pari con lo sfruttamento delle vulnerabilità (16,04%) come root cause, mentre il phishing raddoppia la propria incidenza rispetto all’anno precedente e dimostra di poter agire da moltiplicatore di danno quando si combina con MFA debole e policy identitarie permissive. In parallelo restano i problemi di patching: nel dataset 2025, Sophos ha potuto collegare a specifiche CVE 52 incidenti basati su exploit, con una mediana di 322 giorni tra il rilascio della patch e il suo abuso e 296,5 giorni tra la pubblicazione di un proof‑of‑concept pubblico e lo sfruttamento in produzione.
Sul fronte ransomware, Akira è responsabile da solo del 22% circa degli incidenti ransomware: più del doppio del secondo gruppo più attivo, che è Qilin, fermo all’11,06%. In totale sono stati osservati 51 gruppi ransomware, 27 già noti e 24 nuovi. Sul lungo periodo, dal 2020 al 2025, solo tre brand (LockBit, MedusaLocker, Phobos) e una tecnica, l’abuso di BitLocker nativo, sono presenti in modo continuativo, a testimonianza della resilienza dei modelli RaaS più collaudati.
Il ransomware, però, oggi è solo una parte del problema. Gli attacchi di pura esfiltrazione dati arrivano al 12,71% del totale, la percentuale più alta da quando esiste l’Active Adversary Report. In quasi la metà dei casi ransomware con esfiltrazione confermata (49,07%) i dati finiscono pubblicati entro 19,5 giorni, trasformando la fuga di informazioni in leva di pressione quasi immediata, anche quando la cifratura viene sventata. Nella grande maggioranza degli episodi di esfiltrazione (84,47%) non è possibile un’attribuzione precisa a un gruppo: gli attori entrano, prelevano ciò che interessa e spariscono senza lasciare rivendicazioni né canali di contatto.
L’evoluzione dei tempi operativi è un altro punto chiave. Il dwell time mediano, ossia il tempo che intercorre tra il primo ingresso e il rilevamento, si stabilizza a tre giorni, in calo rispetto agli anni precedenti poiché da un lato gli attaccanti accelerano la kill chain, dall’altro i team di difesa migliorano la capacità di rilevamento precoce. Gli attaccanti impiegano mediamente 3 ore e 40 minuti per arrivare al server Active Director, che si è ridotto del 70% rispetto all’anno precedente. Il tempo che separa il primo tentativo su AD dal rilevamento cresce del 16%, segno che il cuore dell’infrastruttura identitaria resta un’area dove la visibilità difensiva non è ancora all’altezza della criticità. A complicare il quadro contribuiscono versioni obsolete di Windows Server: tra quelle identificate nel report, il 13% è già a fine vita e il 27% ci arriverà a breve, accumulando un debito tecnico che rende più difficile applicare patch e controlli avanzati.
Le timeline di attacco confermano la predilezione dei criminali per le fasce orarie di minor presidio. L’88,10% dei payload ransomware viene distribuito in orari non lavorativi, con una leggera concentrazione tra giovedì e venerdì, mentre il 78,85% delle esfiltrazioni avviene, sempre fuori orario, il mercoledì e il giovedì. In media l’esfiltrazione per tutti i tipi di attacco avviene a poco più di tre giorni dall’inizio dell’incidente, ma solo 1,87 ore prima del rilevamento: un margine operativo minimo che, se sfruttato, può ancora consentire di limitare i danni, a patto di avere strumenti di risposta rapidi e procedure ben rodate.
La telemetria rimane il tallone d’Achille di molte organizzazioni. Nei casi analizzati la mancanza di log è uno dei finding più ricorrenti, con un raddoppio degli incidenti in cui l’assenza di dati storici è dovuta a politiche di retention troppo aggressive. Il problema è particolarmente evidente sui firewall, dove le appliance spesso mantengono i log solo per sette giorni, e in alcuni casi appena 24 ore, rendendo di fatto impossibile ricostruire con precisione la dinamica di un attacco iniziato giorni prima. A questa carenza si aggiunge un 29,35% di casi in cui sono coinvolti sistemi non protetti e un triplicarsi dei sistemi end‑of‑life presenti nelle infrastrutture analizzate, segnale che le discipline di base (asset inventory, hardening, lifecycle management) continuano a essere un fronte aperto.
Il ruolo della AI nel threat landscape 2025 è più sfumato di quanto ci si aspettasse. Sophos osserva che la AI generativa è usata per le campagne di phishing, ma nel dataset di incident response compare un solo caso verificato e incontestabile di uso di GenAI da parte di un attaccante: un video deepfake inviato via social, peraltro fallito. La conclusione è che, al momento, i benefici per gli attaccanti si concentrano su scala, velocità e democratizzazione dell’accesso agli strumenti di attacco, più che sulla nascita di vettori inediti o di malware radicalmente nuovi.
In coda al report, Sophos consiglia alcune linee di difesa: MFA anti‑phishing correttamente implementata e verificata, esposizione minima dei servizi di identità e degli asset edge su Internet, patching prioritario delle vulnerabilità note (in particolare sugli apparati di frontiera), monitoraggio continuo tramite MDR o capability equivalenti e conservazione estesa dei log security‑relevant.