Scopri anche

• Apple introduce i Background Security Improvements: il nuovo sistema di patch automatiche per iPhone, iPad e Mac
• Cybersecurity: allerta globale per vulnerabilità Microsoft SharePoint e attacco ransomware VMware ESXi
• DarkSword, nuova catena di exploit iOS: vulnerabilità corrette da Apple
• Apple introduce i Background Security Improvements: aggiornamenti di sicurezza invisibili tra una versione e l'altra
• La Cyber Kill Chain e le nuove frontiere della sicurezza cloud: strategie di difesa nell'era delle minacce accelerate
• CVE-2026-24061: la vulnerabilità che concede accesso root senza autenticazione su Telnet
• Apple rilascia aggiornamenti di sicurezza critici per iPhone e iPad: mitigato l'exploit Coruna
• Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio
• DarkSword: nuovo exploit kit iOS colpisce milioni di iPhone con catena di vulnerabilità zero-day
• Vulnerabilità zero-day in SharePoint e Zimbra: attacchi globali e mitigazione
• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Vulnerabilità zero-day e malware colpiscono i browser Chromium: analisi delle minacce e confronto tra Chrome ed Edge
• Apple introduce i Background Security Improvement: il nuovo sistema di patch leggere per iOS e macOS
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• Microsoft corregge vulnerabilità zero-day critiche: analisi delle patch di sicurezza
• Apple lancia Background Security Improvements: aggiornamenti automatici per correggere vulnerabilità senza riavvii
• Apple rilascia il primo Background Security Improvement per iOS, iPadOS e macOS Tahoe
• Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
• Windows 11 KB5079473: 79 vulnerabilità corrette e nuove funzionalità nel Patch Tuesday di marzo 2026
• Microsoft Edge 146: patch di sicurezza per vulnerabilità zero-day e nuove funzionalità

Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala

Cybersecurity 2025: vulnerabilità critiche sfruttate in ore, ransomware evolve e attacchi su larga scala

Il panorama della cybersecurity nel 2025 presenta un quadro caratterizzato da una compressione temporale senza precedenti tra disclosure e sfruttamento delle vulnerabilità, un'evoluzione strutturale del modello ransomware e attacchi su vasta scala che coinvolgono sia infrastrutture critiche che grandi aziende tecnologiche. I dati emergono da molteplici fonti che documentano incidenti, statistiche e tendenze del settore.

Vulnerabilità Langflow: sfruttamento in 20 ore

⬆ Torna su

Secondo Sysdig, minacciosi attori hanno dimostrato la rapidità operativa sfruttando una vulnerabilità critica open source entro 20 ore, lavorando esclusivamente dalla descrizione pubblicata nell'advisory. Il bug CVE-2026-33017 è una vulnerabilità di Remote Code Execution (RCE) non autenticata in Langflow, framework open-source per la costruzione di agenti IA e pipeline RAG. Con un punteggio CVSS di 9.3, permette agli attaccanti di eseguire codice Python arbitrario su istanze esposte, senza credenziali e con una singola richiesta HTTP.

Sysdig ha osservato che CVE-2026-33017 rappresenta un target particolarmente attraente: nessuna autenticazione richiesta, numerose istanze esposte e sfruttamento relativamente semplice. I criminali hanno costruito exploit funzionanti direttamente dalla descrizione dell'advisory e iniziato la scansione di istanze vulnerabili. Le informazioni esfiltrate includevano chiavi e credenziali, che fornivano accesso a database connessi e potenziale compromissione della supply chain software.

Un'altra vulnerabilità critica, tracciata come CVE-2025-3248, è stata identificata dai ricercatori Horizon3.ai sempre in Langflow. Questa falla permette l'esecuzione di codice remoto tramite un endpoint accessibile senza autenticazione. La causa principale risiede nell'uso diretto della funzione exec() su codice inviato dall'utente, senza confinamento o filtraggio. CISA ha aggiunto la vulnerabilità al suo Known Exploited Vulnerabilities Catalog (KEV) il 5 maggio, sulla base di evidenze di sfruttamento attivo. Il team di Horizon3.ai segnala che oltre 500 istanze di Langflow sono esposte su Internet.

L'iniziativa Zero Day Clock ha rivelato che il tempo mediano per l'sfruttamento (TTE) è collassato da 771 giorni nel 2018 a poche ore nel 2024. Entro il 2023, il 44% delle vulnerabilità sfruttate è stato reso operativo entro 24 ore dalla disclosure, e l'80% degli exploit pubblici è apparso prima dell'advisory ufficiale. Il tempo mediano per le organizzazioni per distribuire patch è di circa 20 giorni, un intervallo che lascia i difensori esposti per periodi significativi.

L'evoluzione del ransomware nel 2025

⬆ Torna su

Il rapporto Q2 2025 di Coveware by Veeam documenta una trasformazione profonda del ransomware, evoluto da minaccia informatica a ecosistema criminale complesso. Il pagamento medio per attacco ha raggiunto 1,13 milioni di dollari, un incremento del 104% rispetto al primo trimestre dello stesso anno. La percentuale di vittime che decidono di pagare il riscatto si è mantenuta stabile al 26%, nonostante l'aumento drammatico degli importi.

L'esfiltrazione dei dati ha superato la crittografia come principale metodo di estorsione: il 74% degli attacchi nel secondo trimestre 2025 ha incluso il furto di informazioni sensibili. Bill Siegel, CEO di Coveware, sottolinea che "il secondo trimestre del 2025 segna un punto di svolta per il ransomware, dove social engineering mirato e data exfiltration sono diventati il playbook dominante".

Il Ransomware-as-a-Service ha subito quella che Coveware definisce una crisi strutturale profonda. Il modello risulta "irrimediabilmente compromesso" dopo che i gruppi pionieri sono stati esposti come caratterizzati da conflitti interni, inganni e anonimato compromesso. Le operazioni di law enforcement coordinate nel 2024 hanno danneggiato sistematicamente le risorse su cui gli attori ransomware dipendono. Questo collasso ha dato origine a un panorama frammentato dominato da tre categorie: operatori solitari non affiliati ("lone wolf"), nuovi brand ransomware che confondono i confini tra crimine finanziario e spionaggio, e pochi gruppi sopravvissuti dell'era precedente.

RansomHub, che aveva raggiunto una quota di mercato a due cifre, è scomparso improvvisamente intorno al 2 aprile 2025, con l'infrastruttura disconnessa. I tre gruppi più attivi nel Q2 2025 sono stati Akira con il 19% degli attacchi, Qilin con il 13% e i "Lone Wolf" con il 9%. Per la prima volta, Silent Ransom e Shiny Hunters sono entrati nella top five. Questi gruppi hanno abbandonato gli attacchi opportunistici di massa per colpi di precisione, utilizzando tattiche di impersonificazione contro help desk, dipendenti e fornitori di servizi terzi.

La figura del negoziatore ransomware

⬆ Torna su

La negoziazione ransomware si è consolidata come componente essenziale della risposta agli incidenti. I negoziatori operano nell'intersezione tra cybersecurity, intelligence e psicologia criminale. Molti provengono da background in intelligence militare, forze dell'ordine o incident response. GuidePoint Security riporta che il proprio team ha ridotto la richiesta media di riscatto del 50%, con la riduzione più grande pari all'85% rispetto alla richiesta originale.

Il processo negoziale si articola in fasi precise. Richard Foster, negoziatore con esperienza nella gestione delle crisi ostaggio per le forze dell'ordine britanniche, spiega che "la negoziazione è più un gioco di pensiero, in cui cerchi di essere più furbo degli hacker per guadagnare tempo e accertare informazioni preziose". Il caso Royal Mail del gennaio 2023 illustra il valore strategico: il negoziatore, presentandosi come junior IT staff, ha esteso le trattative con LockBit per tre settimane, permettendo all'azienda di identificare i file esfiltrati e preparare una strategia di risposta senza mai pagare.

La decisione di negoziare solleva questioni legali complesse. L'Office of Foreign Assets Control del Dipartimento del Tesoro americano ha emesso un advisory nell'ottobre 2020 avvertendo che le vittime e le terze parti potrebbero violare le leggi federali se pagano a entità sanzionate. Le penalità possono arrivare fino a 20 milioni di dollari e reclusione. Florida, North Carolina e Tennessee hanno approvato normative che proibiscono alle entità del settore pubblico di pagare riscatti.

Attacco Cl0p a Oracle E-Business Suite

⬆ Torna su

Secondo il Google Threat Intelligence Group, un collettivo hacker ha violato Oracle E-Business Suite. L'attacco è stato preparato per almeno tre mesi, indicando un'organizzazione sofisticata. La gang ransomware Cl0p ha messo a segno il colpo sfruttando diverse vulnerabilità zero day, ma senza cifratura dei dati: solo esfiltrazione, probabilmente a scopo di estorsione.

Il target è stato Oracle E-Business Suite (eBS), piattaforma on premise dedicata alle grandi aziende. Secondo Bloomberg, tutto sarebbe iniziato con la violazione di un'email aziendale, che ha portato al reset della password di un account non protetto da autenticazione a due fattori per ottenere l'accesso al portale business. Oracle ha ammesso di essere a conoscenza che alcuni clienti hanno ricevuto email estorsive. L'azienda ha risolto le vulnerabilità e invitato gli utenti ad aggiornare l'applicazione.

A marzo 5, gli analisti di CloudSEK avevano dichiarato che il cloud di Oracle era stato bucato con 6 milioni di record in vendita sul dark web. All'epoca l'azienda smentì la notizia, ma CloudSEK ha ribadito l'autenticità. Oracle è il terzo gigante del cloud per dimensioni dopo Amazon Web Services e Google.

Campagna Salt Typhoon: spionaggio sulle telecomunicazioni

⬆ Torna su

CISA e FBI hanno rilasciato una dichiarazione congiunta secondo cui la Repubblica Popolare Cinese sta prendendo di mira l'infrastruttura delle telecomunicazioni commerciali come parte di una campagna di cyber spionaggio. Gli attori affiliati alla Cina hanno compromesso reti di multiple compagnie telefoniche, rubato dati dei record delle chiamate e compromesso le comunicazioni private di un numero limitato di persone. Il Senatore Mark Warner ha dichiarato al Washington Post che gli attori hanno ascoltato chiamate audio e si sono mossi tra le reti.

I dati raccolti durante l'attacco cadono in due categorie: record delle chiamate che mostrano orario e numero chiamato, principalmente nell'area di Washington D.C.; e ascolto di chiamate live di target specifici, potenzialmente inclusi Donald Trump e Kamala Harris. L'aspetto più critico riguarda le implicazioni per la sicurezza nazionale: Salt Typhoon ha compromesso i portali usati da intelligence e law enforcement statunitensi, permettendo potenzialmente agli attaccanti di ottenere informazioni su quali spie e informatori cinesi fossero monitorati.

Richard Forno, Principal Lecturer in Computer Science alla UMBC, ha spiegato che molti dei metodi di penetrazione hanno sfruttato debolezze esistenti nell'infrastruttura. Gli esperti raccomandano l'uso di app crittografate come WhatsApp e X invece del texting tradizionale. Jeff Greene, CISA Executive Assistant Director for Cybersecurity, ha dichiarato: "La crittografia è tua amica, sia nei messaggi che nelle comunicazioni vocali. Anche se l'avversario intercetta i dati, se sono crittografati sarà impossibile o molto difficile decifrarli".

Cybercrime in Italia: +45,5% in quattro anni

⬆ Torna su

Un'indagine di Confartigianato rivela un aumento del 45,5% dei cybercrimi segnalati dalle aziende su un periodo di quattro anni. Per confronto, i reati di tutti i tipi che coinvolgono le aziende nello stesso periodo sono aumentati del 10%. La classifica delle regioni più colpite vede la Toscana al primo posto con +88,3%, seguita da Veneto (+63,7%), Marche (+56%), Puglia (+54,7%), Lazio (+53,2%), Emilia-Romagna (+53%), Piemonte (47%) e Lombardia (45,5%).

I reati informatici rappresentano il 35,5% dei crimini contro le aziende. Il 15,8% delle aziende italiane ha subito almeno un incidente IT con conseguenze come indisponibilità di servizi ICT o distruzione di dati sul dark web, rispetto alla media UE del 21,5%. Tuttavia, l'83,1% delle imprese attribuisce alta importanza alla cybersecurity, superando la media europea del 71,1% e posizionando l'Italia al secondo posto dopo l'Irlanda. Nel 2024, il 42,6% delle aziende ha investito in cybersecurity, includendo l'adozione di strumenti di intelligenza artificiale.

Nonostante ciò, solo il 32,2% degli imprenditori adotta almeno 7 delle 11 misure di sicurezza monitorate da Istat, inferiore alla media UE del 38,5%. Il 22,8% delle aziende italiane segnala difficoltà nel trovare personale specializzato in sicurezza IT, rispetto al 12% della media europea. Servivano 6.300 esperti nel 2024, ma 4.000 erano difficili da reperire.

Prevenzione e difesa: le misure raccomandate

⬆ Torna su

La prevenzione del ransomware nel 2025 richiede un approccio diverso perché la natura degli attacchi è cambiata. Il 74% degli incidenti include esfiltrazione dati, rendendo insufficienti le strategie focalizzate solo sulla prevenzione della crittografia. L'implementazione dell'autenticazione multifattoriale è considerata requisito minimo. Il caso Change Healthcare del febbraio 2024 è partito da un singolo account senza MFA. Microsoft sottolinea che l'MFA tradizionale via SMS non basta più: servono soluzioni resistenti al phishing basate su hardware key o biometria.

Secondo l'IBM Cost of a Data Breach Report 2024, le organizzazioni che stabiliscono team di incident response e testano regolarmente i loro piani possono ridurre il costo medio di una violazione di 232.008 dollari. I backup devono essere implementati correttamente: il 94% delle organizzazioni colpite nel 2024 ha subito tentativi di compromissione dei backup da parte dei criminali. Veeam raccomanda storage immutabile con object lock e backup air-gapped fisicamente separati dalla rete.

L'architettura Zero Trust parte dal principio "never trust, always verify", limitando drasticamente il movimento laterale. Anche se un attaccante compromette un endpoint, non può automaticamente espandersi all'intera rete. Secondo un rapporto di febbraio 2025 di Coveware, il 25% delle aziende colpite ha pagato un riscatto nell'ultimo trimestre del 2024, un minimo storico. Il pagamento mediano era di 110.890 dollari, in calo del 45% rispetto al trimestre precedente.

Le forze dell'ordine possono accelerare identificazione e contenimento: le organizzazioni che le coinvolgono identificano e contengono una violazione in 281 giorni in media, contro 297 giorni quando non lo fanno. Per quanto riguarda Langflow, i ricercatori di Horizon3.ai raccomandano cautela nell'esporre strumenti AI sviluppati recentemente su Internet, suggerendo di posizionarli in VPC isolato e/o dietro SSO.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La compressione del tempo tra disclosure e sfruttamento delle vulnerabilità ridefinisce i margini di risposta per le organizzazioni. La velocità operativa degli attaccanti, unita all'evoluzione del ransomware verso modelli basati su esfiltrazione, suggerisce un cambiamento strutturale nel panorama delle minacce.

• Scenario 1: le finestre di patch diventano inadeguate, costringendo a strategie difensive pre-patch e segmentazione delle reti.
• Scenario 2: il collasso del modello Ransomware-as-a-Service potrebbe portare a maggiore frammentazione ma anche a operatori più difficili da tracciare.
• Scenario 3: la professionalizzazione della negoziazione ransomware si consolida come componente standard della risposta agli incidenti.

Cosa monitorare

⬆ Torna su

• L'evoluzione del tempo mediano di sfruttamento e le risposte normative sui pagamenti dei riscatti.
• La diffusione di istanze esposte di piattaforme open-source e le campagne di spionaggio su infrastrutture critiche.
• L'efficacia delle azioni di law enforcement contro gruppi ransomware emergenti.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.infosecurity-magazine.com/news/hackers-exploit-critical-langflow/
• https://www.ibm.com/think/news/fbi-cisa-issue-warning-for-cross-apple-android-texting
• https://www.ictsecuritymagazine.com/notizie/ransomware-2025/
• https://www.punto-informatico.it/attacco-hacker-contro-oracle-centinaia-di-aziende-coinvolte/
• https://en.ilsole24ore.com/art/companies-targeted-by-hackers-most-affected-regions-AH98HlEC
• https://www.actuia.com/en/news/cisa-warns-of-actively-exploited-critical-flaw-in-langflow/
• https://www.securityinfo.it/2025/05/07/cybercriminali-sfruttano-una-vulnerabilita-di-langflow-per-prendere-il-controllo-dei-server/