Immagine di DC Studio su Freepik
Il 2025 avrebbe dovuto essere l’anno della “rivoluzione” guidata dall’intelligenza artificiale, anche per la cybersecurity. Molti analisti prevedevano che l’AI avrebbe trasformato radicalmente le tattiche degli attaccanti, inaugurando una nuova era di minacce automatizzate e imprevedibili. La realtà, come spesso accade, si rivela più sfumata. A cambiare davvero le regole del gioco non è un’unica tecnologia emergente, ma un problema antico quanto la sicurezza informatica stessa: la gestione delle identità. È quanto emerge dal Sophos Active Adversary Report 2026.
Giunto alla sesta edizione, il report si basa sull’analisi di 661 casi gestiti tra il 1 novembre 2024 e il 31 ottobre 2025 dai team Sophos Incident Response (IR) e Managed Detection and Response (Mdr), inclusi quelli operanti all’interno del gruppo Secureworks. Il campione dell’analisi copre aziende distribuite in 70 Paesi e attive in 34 settori differenti, con una netta prevalenza di organizzazioni medio-piccole: l’84% ha meno di mille dipendenti e oltre la metà ne conta meno di 250.
Il settore manifatturiero si conferma il più colpito, con quasi il 20% delle richieste di intervento, seguito da finance, costruzioni, IT e sanità. Il confronto con i dati raccolti dal 2020 — anno di lancio del servizio IR di Sophos — consente di tracciare tendenze pluriennali, rendendo il report uno degli osservatori più consolidati sul comportamento reale degli attaccanti.
L’identità è il nuovo perimetro (violato)
Il dato più significativo del report è la conferma di un trend che nel 2025 raggiunge il suo apice: il 67% di tutti gli incidenti analizzati ha come causa principale la compromissione dell’identità. Credenziali rubate, attacchi a forza bruta, phishing delle credenziali, furto di token di autenticazione e abuso di relazioni di fiducia tra sistemi rappresentano ormai la via d’accesso dominante per i criminali informatici.
Le credenziali compromesse — senza che gli investigatori abbiano potuto determinare con precisione come siano state ottenute — hanno rappresentato il 42% delle cause radice. Gli attacchi a forza bruta si attestano al 15,6%, quasi alla pari con lo sfruttamento delle vulnerabilità (16%), mentre il phishing è più che raddoppiato rispetto al 2024, arrivando al 6,35% dei casi.
Un cambiamento di paradigma che John Shier, Field Ciso di Sophos e autore del report, sintetizza con efficacia: la predominanza degli accessi iniziali basati sull’identità è il risultato di anni di evoluzione, e le carenze che la rendono possibile non possono essere risolte semplicemente applicando patch. Il 59% dei casi analizzati ha inoltre evidenziato l’assenza di autenticazione multifattore, un elemento che facilita enormemente l’abuso delle credenziali rubate.
Gli attaccanti sono più veloci
Il tempo mediano di permanenza degli attaccanti nei sistemi compromessi scende a tre giorni, un dato che riflette due dinamiche parallele. Da un lato, i difensori migliorano le proprie capacità di rilevamento, soprattutto negli ambienti dotati di monitoraggio Mdr attivo. Dall’altro, gli stessi attaccanti si muovono più rapidamente: il tempo necessario per raggiungere un server Active Directory dopo l’accesso iniziale è calato del 70% rispetto all’anno precedente, attestandosi a una mediana di sole 3 ore e 40 minuti. Active Directory resta un obiettivo primario perché rappresenta il cuore della gestione delle identità e dei privilegi aziendali. Una volta raggiunto, l’attaccante può di fatto controllare l’intera infrastruttura. Il report segnala inoltre che il 13% dei server Windows identificati nelle indagini opera su versioni fuori supporto, con un ulteriore 27% prossimo alla fine del ciclo di vita.
Il ransomware colpisce quando nessuno guarda
Uno degli aspetti più interessanti del report riguarda il timing degli attacchi ransomware. L’88% dei payload viene distribuito al di fuori dell’orario lavorativo — di notte — distribuendosi però in modo quasi uniforme su tutti i giorni della settimana, con una leggera concentrazione tra giovedì e venerdì. Anche l’esfiltrazione dei dati segue uno schema simile: il 79% avviene fuori orario ufficio, con un picco tra mercoledì e giovedì. L’esfiltrazione tocca il livello più alto mai registrato nel report, pari al 12,71% dei casi totali. In quasi la metà degli incidenti ransomware analizzati è confermata una sottrazione di dati prima del tentativo di cifratura, e nel 49% di questi i dati sono stati pubblicati entro circa 19 giorni. Una dinamica che conferma come il modello della doppia estorsione sia ormai prassi consolidata nel panorama cybercriminale.
Il 2025 vede crescere anche il numero di gruppi ransomware attivi. Il più alto nella storia del report: 51 brand distinti, di cui 27 già noti e 24 di nuova identificazione. Akira si afferma come il gruppo dominante, responsabile del 22,58% degli incidenti ransomware, seguito da Qilin con l’11%. SafePay, Inc e Play completano i primi cinque, che insieme coprono oltre la metà di tutti gli incidenti. L’azione delle forze dell’ordine produce però effetti visibili sull’ecosistema. LockBit, un tempo il brand dominante nel panorama ransomware, pur restando attivo non detiene più la posizione di predominio di cui godeva in passato. Questo vuoto ha però scatenato una proliferazione di nuovi attori. Solo quattro brand o tecniche — LockBit, MedusaLocker, Phobos e l’abuso di BitLocker — risultano attivi ininterrottamente dal 2020. Shier sottolinea come per chi si difende sia “fondamentale conoscere i vari gruppi attivi e le loro tattiche, tecniche e procedure (Ttp), dato che gli affiliati si spostano liberamente tra i diversi brand a seconda delle circostanze e degli obiettivi”.
L’AI non ha (ancora) cambiato le regole
Nonostante le previsioni allarmistiche, il report di Sophos non trova evidenze di trasformazioni radicali indotte dall’intelligenza artificiale nei comportamenti degli attaccanti. L’AI generativa ha certamente aumentato velocità e qualità delle operazioni di phishing e social engineering, ma non ha prodotto tecniche di attacco realmente nuove.
Shier parla di un’AI che aggiunge scala e rumore al panorama delle minacce, ma che non è ancora in grado di sostituirsi agli attaccanti. La GenAI potrebbe diventare un acceleratore significativo in futuro — automazione e orchestrazione degli attacchi sono candidati naturali — ma per il momento i fondamentali della difesa restano invariati: protezione solida delle identità, telemetria affidabile e capacità di reazione rapida.
Emerge poi un altro aspetto: la mancanza di log e telemetria adeguati compromette gravemente le capacità difensive. I casi di assenza di log per ragioni legate alla conservazione dei dati sono raddoppiati rispetto all’anno precedente, un aumento attribuibile alle appliance firewall che per impostazione predefinita conservano i dati per soli sette giorni — in alcuni casi addirittura per 24 ore. Ridurre la raccolta di telemetria per contenere i costi si rivela una falsa economia: senza dati sufficienti, gli investigatori non riescono a determinare come le credenziali siano state compromesse, né a ricostruire la catena completa dell’attacco. Il report documenta anche un aumento del 16% nel tempo necessario per rilevare un attacco dopo che l’attaccante ha raggiunto Active Directory, un peggioramento che potrebbe essere legato proprio a lacune nella visibilità.
Le raccomandazioni di Sophos
Sulla base dei dati emersi, Sophos consiglia alle aziende di implementare tecniche Mfa resistenti al phishing verificandone la corretta configurazione, ridurre l’esposizione delle infrastrutture di identità e dei servizi esposti a Internet, applicare tempestivamente le patch per le vulnerabilità note — con particolare attenzione ai dispositivi edge — garantire un monitoraggio 24/7 tramite servizi Mdr o capacità equivalenti, e conservare adeguatamente i log di sicurezza per supportare le attività di rilevamento e analisi forense. Il messaggio di fondo del report è chiaro: in un panorama dove gli attaccanti non hanno bisogno di sofisticati exploit per entrare — perché possono semplicemente effettuare il login — la sicurezza delle identità non è più elemento accessorio, ma fondamento stesso di qualsiasi strategia difensiva efficace.
© RIPRODUZIONE RISERVATA
