Il secondo semestre del 2025 presenta contrasti e dicotomie nel panorama delle minacce informatiche. Da un lato, il volume complessivo di malware rilevato a livello di rete cresce del 26% rispetto alla prima metà dell’anno; dall’altro, sul fronte endpoint, le rilevazioni totali calano di circa il 4,6%. Ma il dato più significativo riguarda la varietà: il numero di campioni di malware completamente nuovi – hash mai osservati in precedenza – esplode nel quarto trimestre, con un incremento del 1.548% rispetto al trimestre precedente. E’ il segnale che i threat actor stanno investendo nella creazione di payload unici, polimorfici, progettati per colpire bersagli specifici ed eludere ogni forma di rilevamento statico. A certificare i trend è l’Internet Security Report 2025 di WatchGuard Technologies relativo alla seconda metà dell’anno che, proprio con questa edizione, inaugura una cadenza semestrale in sostituzione di quella trimestrale adottata fino ad oggi. L’obiettivo dichiarato è offrire una visione più ampia e meno soggetta alla volatilità dei dati di breve periodo, mantenendo la possibilità di aggiornamenti ad hoc in caso di eventi critici.
Metodologia
Il report si basa su dati di threat intelligence aggregati e anonimizzati raccolti da tre fonti principali. La prima è il Firebox Feed, ovvero la telemetria proveniente da decine di migliaia di appliance Firebox distribuite in tutto il mondo i cui amministratori hanno autorizzato la condivisione dei dati. Su queste appliance operano cinque servizi di sicurezza: Gateway AntiVirus (Gav) per il rilevamento basato su firme, IntelligentAV (Iav) per la prevenzione tramite intelligenza artificiale, Apt Blocker per l’analisi comportamentale in sandbox, l’Intrusion Prevention Service (Ips) per il blocco degli exploit di rete e DnsWatch per la protezione a livello Dns. La seconda fonte è la telemetria degli endpoint protetti da WatchGuard Epdr e AD360, che fornisce dati su malware, programmi potenzialmente indesiderati, vettori di attacco e tecniche di exploit. La terza è il monitoraggio dei domini malevoli attraverso il servizio DnsWatch, che intercetta tentativi di connessione a server di phishing, command-and-control e distribuzione malware. I dati vengono normalizzati come medie per dispositivo, consentendo confronti omogenei tra periodi diversi e aree geografiche. Una novità di questa edizione è la capacità estesa di ispezionare campioni effettivi intercettati da Apt Blocker e IntelligentAV, permettendo analisi comportamentali più approfondite su specifiche minacce.
Traffico crittografato, canale d’elezione
Il dato consolidato riguarda la distribuzione delle minacce attraverso connessioni Tls: il 96% del malware bloccato a livello perimetrale nel secondo semestre transita su canali crittografati, una percentuale invariata rispetto alla prima metà dell’anno. Tra i Firebox configurati per la decrittazione Tls, le rilevazioni del solo Gateway Antivirus raggiungono una media di 2.235 hit per dispositivo, in crescita del 9%. Ma il dato più allarmante riguarda il malware evasivo veicolato su Tls, che registra una media di 2.749 hit per Firebox con un incremento di circa il 2.000%. Si tratta di campagne che combinano tecniche avanzate di offuscamento e packing progettate per sfruttare i canali cifrati, colpendo le organizzazioni che non effettuano ispezione Https.
I dropper dominano la top 10 delle famiglie malware
L’analisi delle famiglie di malware più rilevate conferma la predominanza dei dropper, presenti in sei delle dieci posizioni principali per volume. Ricordiamo che il dropper è un tipo di malware il cui unico scopo è “depositare” (to drop) un altro payload malevolo sul sistema della vittima. Non si parla quindi del malware “finale” quanto piuttosto del primo stadio della catena di infezione, una sorta di corriere. Al primo posto si è posizionato Heur.Bzc.Pzq.Boxter con oltre 705mila rilevazioni, un dropper offuscato che cambia continuamente aspetto per eludere le difese basate su firma. Nella classifica compaiono anche tool di post-exploitation come Impacket, utilizzato sia dai red team sia dagli attaccanti reali per credential dumping ed esecuzione remota, e strumenti orientati a Linux come PnScan, legati ad attività di reclutamento di botnet IoT. Il quadro è coerente con una strategia consolidata: gli attaccanti raramente distribuiscono il payload finale come primo stadio dell’attacco. Preferiscono utilizzare dropper, stager e loader per preparare il terreno, tentando nel frattempo di neutralizzare le difese attive sul sistema bersaglio.
Cambiano i vettori di attacco, estorsioni ransomware da record
Un cambiamento significativo riguarda i vettori di attacco sugli endpoint. Per anni gli script malevoli, in particolare PowerShell, hanno rappresentato il canale privilegiato per avviare le catene di infezione. Nel quarto trimestre 2025 questa dinamica si è invertita: i binari Windows living-off-the-land (Lolbas) superano gli script diventando il principale vettore di attacco con il 39,25% delle rilevazioni, contro il 17,43% degli script. Processi come cmd.exe, explorer.exe, msiexec.exe e vbc.exe vengono dirottati per eseguire payload malevoli mimetizzandosi nel normale funzionamento del sistema operativo, una tecnica che rende particolarmente difficile il rilevamento da parte delle soluzioni tradizionali.
Sul fronte ransomware emerge un apparente paradosso. Le rilevazioni effettive di ransomware sugli endpoint diminuiscono del 68,42% su base annua, ma le estorsioni pubbliche raggiungono livelli record: 2.588 vittime nel solo Q4 2025, con un incremento del 47,6% rispetto al trimestre precedente. Qilin domina la scena con 472 estorsioni nel trimestre, seguito da Akira con 227. Nel corso del semestre sono emersi 40 nuovi gruppi ransomware, a conferma di un ecosistema in espansione che si orienta sempre più verso il modello Ransomware-as-a-Service e verso attacchi mirati ad alto valore, abbandonando la distribuzione massiva a basso rendimento. In parallelo, il cryptomining ha ripreso vigore alimentato da campagne di distribuzione via Usb.
Infine, gli attacchi di rete diminuiscono del 28% nel semestre, con una media di 845 rilevazioni Ips per Firebox. Tuttavia, la composizione della Top 10 rivela che le vulnerabilità più sfruttate restano quelle datate, da Cve-2020-6754 in dotCms a Log4Shell e ProxyLogon. Le applicazioni web restano il bersaglio principale, con directory traversal, Sql injection e cross-site scripting che dominano le classifiche. Tra le nuove firme entrate nella Top 50 figurano rilevazioni di web shell e un exploit per Telerik UI risalente al 2017, a conferma che il patching tempestivo resta una delle misure difensive più efficaci e al tempo stesso più disattese.
WatchGuard, le indicazioni per la difesa
Corey Nachreiner, chief security officer di WatchGuard, sottolinea come il panorama attuale abbia superato i modelli di sicurezza reattivi basati su soluzioni puntuali. Per gli Msp il rischio è duplice: “le violazioni subite dai clienti aumentano i costi di supporto e danneggiano la fiducia”. Le raccomandazioni che emergono dal report convergono su tre priorità. La prima è l’attivazione dell’ispezione Tls come controllo fondamentale, non opzionale, per riacquisire visibilità sul traffico cifrato. La seconda è il rafforzamento delle difese endpoint contro le tecniche living-off-the-land, attraverso il monitoraggio dei processi, il logging avanzato di PowerShell e l’adozione di soluzioni Edr con capacità di analisi comportamentale. La terza riguarda il blocco degli allegati JavaScript nelle e-mail, compresi quelli contenuti in archivi compressi, per eliminare alla radice una classe di attacchi basati su social engineering che continua a registrare tassi di successo elevati.
© RIPRODUZIONE RISERVATA
