Manifatturiero bersaglio preferito del ransomware, MFA compromessa con +178% di attacchi ai dispositivi, vulnerabilità sfruttate in pochi minuti dalla divulgazione: il 2025 ha spostato il campo di battaglia sull'identità digitale.
Autore: Redazione SecurityOpenLab
Il settore manifatturiero è stato il più colpito dal ransomware nel 2025. Non è una novità, ma la sua conferma per il terzo anno consecutivo nei dati del Cisco Talos 2025 Year in Review merita attenzione, soprattutto in un paese come l'Italia in cui il manifatturiero rappresenta circa il 15% del PIL e dove la frammentazione in PMI rende sistematicamente difficile mantenere standard di sicurezza elevati. La ragione per cui questo settore rimane in cima alla lista è la bassissima tolleranza al downtime produttivo, affiancata da ambienti ibridi IT/OT con superfici di attacco ampliate, infrastrutture legacy difficili da aggiornare e budget di sicurezza risicati. Per un operatore ransomware è la combinazione ideale per aggiudicarsi la massima leva negoziale con la minima resistenza tecnica.
A rendere il quadro più preoccupante è la perdita di efficacia difensiva dell’MFA. Nel 2025 i casi di compromissione fraudolenta dei sistemi di autenticazione multifattore sono aumentati del 178% rispetto all'anno precedente. L'MFA, considerata fino a poco tempo fa tra le misure difensive più solide disponibili, è diventata essa stessa bersaglio primario di attacchi. Non perché sia tecnicamente fragile, ma perché gli attaccanti hanno iniziato ad attaccare il processo che la governa.
Nella stragrande maggioranza dei casi osservati da Talos (77%), il vettore era il vishing, ossia il phishing vocale, finalizzato a consegnare all'attaccante un accesso persistente e ad alta fiducia, così da potersi muovere lateralmente, accedere a informazioni sensibili e inviare email di phishing interno da account apparentemente legittimi. Talos distingue due modalità di attacco all'MFA. Il primo consiste negli MFA spray attack, che puntano sulla debolezza delle policy di autenticazione e bersagliano le applicazioni IAM provando poche password su molti account. Con questo schema, un singolo accesso riuscito garantisce token, policy e credenziali di molti utenti contemporaneamente. La seconda opzione sono gli MFA device compromise, molto più mirati e difficili da intercettare. Il comparto tecnologico è il più colpito dagli spray attack (36% degli episodi); nel settore dell'istruzione superiore domina invece il device compromise. Il manifatturiero compare in entrambe le categorie, con workforce distribuita su turni che favorisce gli spray e ambienti OT/IT ibridi con device eterogenei che favoriscono il device compromise: gli stessi fattori strutturali che lo rendono il settore più esposto al ransomware lo rendono vulnerabile su entrambi i fronti dell'attacco all'identità.
Il dato sull’MFA va di pari passo con cambio di approccio complessivo degli attaccanti: nel periodo di analisi la maggioranza degli attacchi non è diretta ai dispositivi fisici, ma ai sistemi che gestiscono, validano e distribuiscono le identità. Il tema è quello solito delle vulnerabilità note; l’analisi dei dati di Cisco indica che circa il 40% delle 100 vulnerabilità più sfruttate nel 2025 impattava dispositivi end-of-life; il 25% colpiva framework e librerie software ampiamente usate come ad esempio Log4j; il 23% riguardava direttamente appliance di rete. A fronteggiare il fuoco di fila risultano essere più che altro VPN, firewall, piattaforme di network management e in generale tutti quei componenti che funzionano da identity gateway, e che una volta compromessi consentono di aggirare l'MFA, rubare session token e muoversi lateralmente su tutta la rete senza lasciare tracce evidenti.
Il caso delle piattaforme di network management è emblematico, perché raramente vengono monitorate con la stessa attenzione degli identity provider o delle appliance perimetrali, ma una singola compromissione può propagarsi all'intera organizzazione senza che l'attaccante debba violare individualmente firewall o router.
Detto questo, la falla più sfruttata in assoluto è React2Shell relativa ai React Server Components, nonostante sia stata divulgata a fine anno. È bastata una manciata di minuti dalla pubblicazione per vedere in azione i primi attacchi: la maggior parte delle organizzazioni non aveva nemmeno avuto il tempo di leggere l'advisory.
Sul fronte ransomware accade quello che è già noto da tempo: il modello RaaS si affina, il suo esponente di maggiore successo è il gruppo Qilin attivo dal luglio 2022. Può essere usato per attaccare differenti sistemi operativi, è stato il più attivo nel periodo di monitoraggio in termini di volume di attacchi e post sui siti di rivendicazione. In questo caso agli affiliati è riconosciuta una quota di riscatto fino all'85%, e gli vengono forniti servizi accessori che includono assistenza legale, giornalisti interni per gestire la comunicazione dei data leak, negoziazione automatizzata con le vittime e capacità DDoS. Completano la top 3 Akira e Play, entrambi già presenti in top 5 nel 2024 a dispetto delle attività repressive delle Forze dell'Ordine.
L'analisi mensile degli attacchi mostra che gennaio è il mese di attività minima, per questo costituisce il momento migliore per testare le difese, verificare i backup, aggiornare le policy di patch management e condurre esercitazioni di incident response, prima del picco primaverile.
Le investigazioni Talos legate ad attori riconducibili alla Cina sono aumentate del 74% rispetto al 2024. Diversi cluster operativi hanno combinato zero-day e vulnerabilità note in campagne ad alto impatto su obiettivi che spaziano dalle reti di amministrazioni locali statunitensi alle infrastrutture critiche in Asia, dalle entità IT europee alle organizzazioni di telecomunicazione. Diversi casi hanno evidenziato che il confine tra cybercrime e spionaggio di stato è sempre più labile: in alcuni casi gli stessi threat actor hanno condotto operazioni sponsorizzate da stati nazionali e hanno rubato accessi da rivendere online.
La Russia ha mantenuto un alto volume di ritmo operativo, per lo più con lo sfruttamento di vulnerabilità note su dispositivi di rete non aggiornati. L'attività cyber russa mostra una correlazione significativa con i cicli di sanzioni occidentali. La Corea del Nord ha proseguito con attività volte a portare denaro nelle casse statali, con furti di criptovalute e proprietà intellettuale finalizzati al finanziamento dei programmi missilistici di Pyongyang. L'Iran ha intensificato le operazioni di accesso persistente nel settore delle telecomunicazioni e, in coincidenza con gli attacchi israeliani e statunitensi, gli hacktivisti hanno triplicato la propria attività.
Il fil rouge di tutte le attività citate nel report è il ruolo di moltiplicatore dell’AI. Sul piano del social engineering , l’AI ha abbassato la soglia di ingresso per gli attaccanti meno esperti e ha alzato il tiro per quelli più avanzati, compresi gli APT. Sul piano del malware, sono comparsi i primi esempi di codice in grado di analizzare in tempo reale il contenuto dello schermo della vittima e adattare il proprio comportamento di conseguenza, che preoccupa per lo più sul piano mobile.
La transizione verso agenti AI pienamente autonomi è già in corso nella sua fase iniziale, con in proiezione sistemi capaci di eseguire task ripetitivi come il movimento laterale, la raccolta dati e l'esfiltrazione in autonomia. La velocità con cui questo scenario sta maturando è, secondo Talos, probabilmente superiore a quanto le organizzazioni abbiano messo in preventivo. Per i difensori, i problemi maggiori sono la protezione dell'identità, della supply chain software e dei piani di gestione dell'infrastruttura, che richiedono visibilità completa degli asset, segmentazione delle reti, protezione avanzata dell'identità e capacità di incident response coordinata.