Che cosa è accaduto nella seconda parte del 2025 in termini di attacchi informatici? E come si è chiuso l’anno per l’Italia? Sono le domande al centro della presentazione dell’Acronis Cyberthreats Report H2 2025, il rapporto semestrale che l’Acronis Threat Research Unit (Tru) propone dal 2021 analizzando le telemetrie raccolte da oltre un milione di endpoint distribuiti in tutto il mondo. Quest’ultima edizione – From exploits to malicious AI -, è anche oggetto del confronto con Irina Artioli, Security Solutions Consultant, e Umberto Zanatta, Senior Solutions Engineer Cism e Cissp di Acronis.
Il quadro che emerge non è rassicurante: gli attacchi non solo non diminuiscono, ma si intensificano, si automatizzano e si industrializzano. E l’intelligenza artificiale, da strumento sperimentale nelle mani dei criminali, diventa componente strutturale dei loro flussi operativi. I numeri parlano chiaro.
Nel 2025, 7.681 organizzazioni a livello globale hanno dichiarato pubblicamente di essere state vittime di ransomware. Gli attacchi basati su e-mail sono cresciuti del 16% per organizzazione e del 20% per singolo utente. Il phishing domina la scena: rappresenta l’83% delle minacce veicolate via posta elettronica e si conferma il principale vettore di accesso iniziale negli attacchi rivolti ai managed service provider (Msp), dove è responsabile del 52% degli incidenti. L’escalation non riguarda solo i volumi, ma la sofisticazione: gli attacchi avanzati alle piattaforme di collaborazione come Teams, SharePoint e Slack passano dal 12% nel 2024 al 31% nel 2025.
“Il 2025 non segna semplicemente l’incremento del volume degli attacchi” dettaglia Irina Artioli -. Nella seconda metà dell’anno si osserva infatti uno spostamento verso l’automazione, la scalabilità e l’industrializzazione delle attività criminali online. L’intelligenza artificiale è ormai integrata in modo strutturale nelle operazioni dei cybercriminali e aiuta ad accelerare tutte le fasi dell’attacco, dalla ricognizione alle intrusioni, alla negoziazione fino alla monetizzazione finale”.
Il ransomware resta la minaccia dominante e conferma la sua natura di “business maturo”. La cronologia del 2025 è scandita da due picchi: a febbraio, con oltre mille vittime pubblicamente segnalate in un solo mese – in gran parte riconducibili allo sfruttamento della vulnerabilità Cleo da parte del gruppo Cl0p – e a ottobre, in coincidenza con la riattivazione post-estiva degli affiliati ai principali gruppi. Makop si conferma la famiglia di ransomware più rilevata dalla telemetria Acronis Active Protection con il 41,79% dei rilevamenti, seguita da BlackHeart al 24,34%. I settori più colpiti a livello globale sono la produzione manifatturiera (21%) e la tecnologia (20%), seguiti da sanità (12%) e servizi alle aziende (10%).
Acronis, lo scenario italiano
L’Italia non fa eccezione. I dati normalizzati di Acronis inquadrano il Paese su un orizzonte di esposizione costante, con tassi di rilevamento malware intorno al 2,3%, inferiori rispetto ad altri Paesi europei come Spagna e Germania, ma comunque significativi. Tra i casi italiani più rilevanti del 2025 figurano l’attacco del gruppo Beast a Microdevice (ottobre, 850 Gbyte esfiltrati) e quello di Inc Ransom a Stim nel settore manifatturiero (gennaio, 100 Gbyte di dati sensibili sottratti), oltre a incidenti che hanno coinvolto Siad, Mutti e Colacem. Il pattern ricorrente è sempre lo stesso: accesso tramite Rdp esposto e credenziali compromesse, modello di doppia estorsione con pubblicazione dei dati sul Dark Web.
“Immaginate questo scenario: un accesso remoto lasciato esposto, credenziali valide magari prese dal Dark Web e, nel giro di pochi giorni o addirittura minuti, centinaia di gigabyte vengono prelevati e pubblicati“, si inserisce Umberto Zanatta. “Quello dell’abuso delle credenziali rimane uno dei metodi più usati. Lo schema si ripete sempre: credenziali compromesse, sistemi esposti e poi il modello della doppia estorsione. E l’Italia, facendo parte dell’UE, rientra in campagne regionali che colpiscono trasversalmente i Paesi europei”. Zanatta rimarca poi un punto cruciale: “Il ransomware oggi è un business maturo, industrializzato e soprattutto scalabile. Colpire service provider o telco produce un effetto moltiplicatore rispetto ad attaccare le singole realtà”.
Managed service provider nel mirino
Gli Msp e gli operatori di telecomunicazione sono tra gli obiettivi nel mirino. Acronis ha identificato nel 2025 quasi 150 vittime tra queste categorie: 69 Msp e provider di servizi IT e 74 operatori telco.
Con gli Usa che dominano entrambe le classifiche, e l’Italia che compare con una quota del 3% in ciascuna categoria. I gruppi più attivi contro i provider sono in questo caso Akira (responsabile di oltre il 20% degli attacchi in entrambi i settori), Qilin e Cl0p. Un dato emerge sugli altri: tutte le vulnerabilità divulgate nel 2025 relative a piattaforme Msp sono classificate come high o critical.
“Gli Mps continuano a rappresentare un obiettivo di elevato valore per gli attaccanti”, ribadisce Artioli, “perché la compromissione di un singolo provider consente di amplificare l’impatto su tutti i suoi clienti. In un vero e proprio effetto domino. Il dato più rilevante è la forte sovrapposizione dei gruppi attivi tra Msp e telco: gli attaccanti puntano a colpire fornitori e operatori di servizi gestiti per sfruttare la loro capacità di scalare l’impatto e accedere a più organizzazioni contemporaneamente”.
L’integrazione dell’AI negli strumenti di cybercrime
Importante anche l’analisi dell’integrazione strutturale dell’AI nel cybercrime. Per esempio il Global Group (cybercrime) ha introdotto chatbot basati su AI nei portali di negoziazione dei riscatti, gestendo automaticamente le comunicazioni con le vittime. Gtg-2002 utilizza strumenti di AI per generare script, assistere nella raccolta di credenziali e analizzare rapidamente i dataset rubati, calibrando le richieste di estorsione sulle possibilità economiche di ciascuna vittima. Una campagna attribuita a un attore sponsorizzato dallo Stato cinese mostra inoltre per la prima volta un comportamento di agenti AI semi-autonomi, capaci di eseguire sequenze di attività con intervento umano limitato.
“Quando parliamo di AI nel cybercrime è importante chiarire subito una cosa: non stiamo più parlando di esperimenti o di casi isolati – precisa Zanatta -. L’AI applicata al cybercrime è diventata un modello operativo. La vediamo impiegata in tutta la cyber kill chain: dall’automazione alla creazione del ransomware, dalla gestione dell’attacco all’analisi dei dati esfiltrati, fino al supporto nella fase di negoziazione. La vittima oggi si può trovare a interagire con un agente di intelligenza artificiale per negoziare il riscatto. In sintesi, l’AI semplifica e industrializza le minacce già esistenti”.
Sul fronte delle minacce via e-mail, il secondo semestre 2025 registra poi un incremento del 36% rispetto al primo semestre. Il phishing cresce dal 77% all’83% della composizione delle minacce, ma con una caratteristica significativa: diminuiscono i contenuti tecnicamente pericolosi e aumenta la componente di inganno e manipolazione sociale. Le piattaforme di collaborazione, dal canto loro, mostrano un profilo di minaccia radicalmente diverso: il 31% degli attacchi è di tipo avanzato (contro appena l’1% nelle e-mail), il 54% è malware e il phishing pesa solo il 15%. PowerShell si conferma l’applicazione legittima più abusata dagli attaccanti nei dati di telemetria Acronis, seguita da cmd.exe. “Per le aziende italiane il messaggio è molto chiaro: non possiamo più affidarci alle firme tradizionali – avverte Artioli -. Servono tecniche di rilevamento comportamentale e monitoraggio dell’identità digitale. E la sicurezza non può più essere e-mail centrica: dobbiamo proteggere tutto l’inizio della kill chain. L’identità è il nuovo campo di battaglia e serve visibilità cross-platform, perché gli attaccanti ragionano in modo integrato e anche la difesa deve fare lo stesso”.
A chiudere la panoramica, Zanatta riposta l’accento su un concetto che va oltre la cybersecurity tradizionale: “Si deve parlare di cyber resilienza, che è diversa dalla cybersecurity. La cyber resilienza permette di garantire che il business continui anche qualora si sia sotto attacco. In questo la possibilità di fare backup sicuri, immutabili e con ripristino rapido è fondamentale. E non ultimo c’è il tema dell’awareness: addestrare costantemente i dipendenti, fare simulazioni di phishing. Purtroppo agli errori nel comportamento umano non c’è rimedio, rimane sempre il punto debole”.
© RIPRODUZIONE RISERVATA
