La cybersicurezza sta vivendo una fase di profonda e accelerata trasformazione, come evidenzia l’ultima edizione del Cyber Threat Report di Acronis. Pubblicato alla fine dello scorso mese di agosto e basato sull’analisi di oltre un milione di endpoint in tutto il mondo, il report dipinge un quadro in cui l’aumento esponenziale degli attacchi ransomware, la diffusione pervasiva del phishing e l’ingresso a pieno titolo dell’intelligenza artificiale tra gli strumenti dei criminali segnano una nuova era di minacce. “Il nostro compito è trasformare l’intelligence in strumenti pratici che aiutino aziende e MSP a rafforzare la resilienza”, afferma Irina Artioli, Cyber Protection evangelist e TRU (Threat Research Unit) Researcher di Acronis.
Ransomware ancora al top tra le minacce
Il ransomware si conferma la minaccia principale. Nei primi sei mesi del 2025, gli attacchi sono aumentati del 70% rispetto allo stesso periodo dell’anno precedente, con il settore manifatturiero come bersaglio principale. I dati, raccolti da fonti pubbliche e verificati dal team Acronis, mostrano un quadro in cui “le gang criminali continuano a esercitare una pressione altissima”. Un dato emblematico è quello di febbraio, che ha visto 955 vittime attribuite alla sola gang Cl0p. Il modello del Ransomware-as-a-service (RaaS) è ancora molto efficace perché, come spiega Umberto Zanatta, senior solution engineer di Acronis, “permette anche a gruppi meno esperti di accedere a strumenti sofisticati, moltiplicando gli attacchi”. Un calo degli attacchi registrato dopo febbraio 2025 è attribuibile a un’evoluzione verso azioni più mirate e al disarmo di alcune gang.
In Italia, il report segnala 19 casi di ransomware ogni 10.000 workload monitorati, contro i 179 registrati in Germania. Questo dato normalizzato, come sottolinea Zanatta, “non significa che siamo più sicuri, ma che le campagne si concentrano in mercati più estesi”. Artioli aggiunge che nel nostro Paese il ransomware è spesso affiancato da data breach, una minaccia crescente. “Molti gruppi scelgono di rubare dati sensibili e minacciarne la pubblicazione. È un approccio che riduce l’esposizione e aumenta i margini di guadagno, mettendo le aziende in una posizione ancora più vulnerabile”.
Con l’AI, il phishing è sempre più sofisticato
Il phishing rimane il principale vettore di attacco, ma la sua forma sta evolvendo rapidamente. Le campagne dirette alle piattaforme di collaborazione sono salite dal 9% al 30,5%, colpendo in particolare Microsoft 365. Artioli sottolinea che l’AI sta rendendo il phishing “sempre più sofisticato”. L’AI, infatti, permette di generare “email credibili e pagine di login perfettamente imitate”. Zanatta aggiunge che l’AI ha “democratizzato l’uso di strumenti che prima erano riservati a specialisti. Oggi, chiunque può generare con estrema facilità phishing credibili, malware su misura e persino deepfake”. L’analisi di oltre 20.000 email di Microsoft 365 ha rivelato che l’1,47% conteneva malware, di cui il 40% erano URL di siti di phishing e il 30% link a siti malevoli. Inoltre, è stato osservato un cambiamento nelle modalità di consegna del malware: il payload viene ora veicolato “più avanti nella catena d’attacco” per sfuggire ai controlli tradizionali. Questo rende la difesa a più livelli (security in depth) una necessità non più un’opzione.
Abuso di strumenti legittimi
Gli attacchi non sono solo aumentati in quantità, ma anche in complessità. Gli analisti di Acronis hanno rilevato una crescita degli attacchi multistage, che utilizzano tecniche per eludere i controlli e garantire persistenza. Tra i metodi più diffusi si trovano il process injection, che consiste nell’iniettare codice malevolo in un processo legittimo; l’uso malevolo di PowerShell, che funge da arma silenziosa per eseguire script offuscati; il masquerading, dove i file vengono rinominati o i processi mascherati per apparire come software legittimi.
Un’altra tendenza preoccupante è l’abuso di software legittimi di Remote monitoring and management (RMM). Nel primo semestre del 2025, sono stati individuati oltre 51 strumenti RMM che possono essere sfruttati (tra i più abusati Splashtop e ScreenConnect).
Riguardo gli MSP, sempre più strategici per i criminali informatici, il report documenta un calo negli attacchi (47 nel primo semestre 2025 contro i 76 dello stesso periodo del 2024). Indica però una crescita degli attacchi alle Telco, passati da 14 a 20. “Dati che probabilmente riflettono una maggiore maturità delle difese – afferma Artioli – anche grazie alla spinta normativa di NIS2 in Europa. La crescita degli attacchi alle Telco mostra però che i gruppi criminali continuano a puntare sulle infrastrutture critiche”.
L’uomo, il punto debole
Nonostante l’evoluzione tecnologica, l’elemento umano rimane il punto debole della catena di sicurezza. La security awareness dei dipendenti è più cruciale che mai. Un utente consapevole “diventa la prima linea di difesa per campagne sempre così sofisticate”, ma la formazione deve essere costante, non un evento isolato. Zanatta evidenzia che “la resilienza digitale non nasce da un singolo strumento”. È il risultato di una strategia integrata che combina “tecnologia, processi e consapevolezza umana”. Solo così, infatti, si può “restare un passo avanti rispetto alle minacce”.
Le raccomandazioni chiave di Acronis
Rafforzare i sistemi di backup e recovery con soluzioni immutabili.
Adottare politiche di zero trust per mitigare i rischi, specialmente nella supply chain.
Sostituire soluzioni di protezione legacy con tecnologie Extended Detection and Response.
Implementare l’email security e la protezione delle app di collaborazione.
Regolamentare l’uso dell’AI per limitare il possibile impiego da parte dei cybercriminali.
Sviluppare solidi piani di Incident Response e promuovere la consapevolezza dei dipendenti.
Il successo dei cybercriminali dipende spesso dalla mancanza di preparazione e l’investimento nella consapevolezza e nella resilienza è l’unica via per difendersi efficacemente.