Attacchi brute force di origine prevalentemente iraniana, ransomware che si propaga in pochi minuti e phishing che inganna facendo leva sull'ansia dell'utente sono state le minacce più diffuse nel primo trimestre 2026.
Autore: Redazione SecurityOpenLab
Un'impennata degli attacchi brute force contro i dispositivi di rete, un caso di ransomware Qilin contenuto prima che causasse danni irreversibili e una crescita degli attacchi ClickFix. Sono dati emersi dal report SOC Threat Radar di aprile di Barracuda, da cui si deduce la direzione in cui sta evolvendo il cybercrime.
Il report copre il trimestre tra gennaio e marzo 2026, quando il Barracuda Managed XDR ha registrato un forte aumento di tentativi di autenticazione brute force diretti contro dispositivi SonicWall e FortiGate. Nel bimestre febbraio-marzo questi alert hanno rappresentato da soli il 56%, di tutti gli incidenti confermati rilevati dal SOC. L'88% dei tentativi di attacco proveniva dall'Iran. Ricordiamo che parliamo di un attacco in cui l’attaccante prova, con un sistema automatizzato, migliaia di combinazioni di credenziali, fino a trovare quella che funziona. I punti di forza di questa tecnica di lunga datata sono la scala e la persistenza; sono particolarmente efficaci sui dispositivi perimetrali perché, se compromessi, aprono l'accesso diretto alla rete interna senza bisogno di altri exploit. La maggior parte dei tentativi osservati da Barracuda non ha avuto successo, ma la quantità di tentativi aumenta la probabilità che una singola password debole o una configurazione errata facciano la differenza.
Da un attacco vecchio stile passiamo a una delle più interessanti evoluzioni contemporanee del ransomware as a service, con Qilin. Si tratta di uno dei gruppi ransomware più attivi del momento, che si distingue per la velocità con cui porta a termine gli attacchi. Il SOC di Barracuda ha recentemente contenuto un'offensiva Qilin partita dalla compromissione di un endpoint vulnerabile; è riuscito a contenere l'offensiva nonostante si fosse propagato in pochi minuti. Le attività anomale hanno fatto scattare i sistemi di rilevamento e il team è riuscito a isolare la parte di rete compromessa prima che la cifratura si diffondesse.
Come ormai constatato, a fare la differenza in attacchi di questo tipo è la rapidità di reazione, che deve tenere il passo con quella di esecuzione per dare chance di successo ai difensori. Il tempo di risposta agli incidenti è un discriminante riconosciuto: più un attacco si muove velocemente, più è probabile che la cifratura sia già in corso quando i sistemi di monitoraggio generano il primo alert. Nel caso documentato da Barracuda, la combinazione di visibilità sul comportamento degli endpoint e capacità di isolamento rapido ha permesso di contenere il danno, anche se l'episodio dimostra l’esiguo margine di manovra a disposizione una volta che il malware è in esecuzione.
La terza minaccia documentata dal SOC di Barracuda è diversa per natura: non sfrutta vulnerabilità tecniche, ma la disponibilità degli utenti a seguire istruzioni che sembrano legittime. Riepiloghiamo brevemente lo schema tipico degli attacchi ClickFix: una email di phishing conduce a una pagina con un messaggio di errore o un avviso di sistema; la vittima viene invitata a copiare e incollare un comando in una finestra di dialogo, oppure a cliccare su qualcosa per "correggere" il problema. Il risultato è l'esecuzione di un comando o file malevolo che installa malware o apre un accesso remoto.
Il motivo per cui questa tecnica è efficace e difficile da bloccare con strumenti automatici è che è l'utente stesso a eseguire il codice malevolo, ingannato sul contesto che comprende finestre di dialogo simili a quelle di Windows, messaggi nel tono dei prompt di sistema, linguaggio tecnico che suona autentico. La contromisura principale rimane la formazione: gli utenti devono sapere che nessun sistema legittimo chiede di copiare e incollare comandi per risolvere un problema tecnico, e che l'interlocutore corretto in questi casi è sempre il reparto IT, non le istruzioni sullo schermo. Sul piano tecnico, limitare i permessi di esecuzione di PowerShell e strumenti a riga di comando agli utenti che ne hanno effettivo bisogno riduce la superficie disponibile agli attaccanti anche quando la vittima coopera inconsapevolmente.
Le tre minacce che abbiamo descritto sono tecnicamente diverse, ma hanno un elemento in comune: sfruttano lacune che le organizzazioni spesso conoscono già. Credenziali deboli, endpoint non monitorati, utenti non formati, backup inadeguati che, in assenza di intervento, rimangono disponibili per chiunque voglia sfruttarle e ne amplificano il danno potenziale.