Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
I dati Barracuda rivelano che il 90% degli incidenti ransomware sfrutta firewall compromessi. Il divario tra minacce e difese si allarga mentre le identità mac…
Contenuto
Scopri anche
- CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
- Sicurezza e rischi dei Large Language Models: framework, vulnerabilità e normative
- Le chiavi BootROM della PlayStation 5 trapelano online: una vulnerabilità hardware irreversibile
- Intelligenza artificiale e cybersecurity: il doppio fronte tra attacchi e difese
- OpenClaw: perché le grandi aziende tech bloccano l'agente AI autonomo
- Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
- Vulnerabilità informatiche: assessment e penetration test a confronto per una difesa efficace
- OpenClaw, l'agente AI che spaventa le Big Tech: Meta vieta, OpenAI assume il creatore
- Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
- F-35 e jailbreak: la dichiarazione del ministro olandese riapre il dibattito sulla sovranità software
- Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
- OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza
- Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
- Nuova vulnerabilità zero-day in MOVEit Transfer: a rischio dati sensibili di aziende
- F-35 e il dilemma del "jailbreak": le dichiarazioni olandesi riaccendono il dibattito sulla sovranità software
- Cisco corregge vulnerabilità RCE zero-day nei prodotti Unified Communications
- Vulnerabilità critiche in Veeam Backup: aggiornamenti di sicurezza per prevenire RCE e attacchi ransomware
- Unione Europea: resilienza delle infrastrutture critiche e nuove procedure legislative
- Arc Raiders: la patch 1.12.0 contrasta gli exploit su Stella Montis
- Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
Ransomware: firewall vulnerabili e identità macchina ignorate amplificano il rischio
- Vettori d'attacco e tempi di compromissione
- Il divario tra preparazione e minacce
- La situazione italiana: dati e tendenze
- Vulnerabilità strutturali e configurazioni errate
- Evoluzione del modello criminale
- Machine identity e limiti dei playbook
- Resilienza e risposte istituzionali
- Implicazioni e scenari
- Cosa monitorare
- Fonti
I dati raccolti da Barracuda Networks attraverso il servizio Managed XDR nel corso del 2025 fotografano un panorama delle minacce in continua evoluzione. Su oltre due trilioni di eventi IT monitorati, quasi 600.000 alert di sicurezza e più di 300.000 endpoint, firewall, server e asset cloud analizzati, emerge un dato: nel 90% degli incidenti ransomware, il firewall ha rappresentato il punto di ingresso dell'attacco. Le violazioni hanno sfruttato vulnerabilità note prive di patch o credenziali deboli associate agli accessi VPN e di amministrazione.
Vettori d'attacco e tempi di compromissione
⬆ Torna suL'attacco più rapido documentato da Barracuda ha richiesto sole tre ore per passare dalla violazione iniziale alla cifratura dei dati. Gli attaccanti prediligono percorsi che combinano lo sfruttamento di falle nei controlli di frontiera, l'abuso di strumenti legittimi come RMM, RDP, PowerShell e PsExec, e i movimenti laterali all'interno della rete. Nel 96% dei casi in cui è stato osservato uno spostamento laterale, l'esito è stato il rilascio del ransomware. La tecnica "Living off the land" attraversa molti incidenti: gli attaccanti utilizzano strumenti IT quotidiani per mantenere persistenza, distribuire codice malevolo e controllare i sistemi compromessi.
Il ruolo delle identità emerge come centrale nelle fasi iniziali della catena di attacco. Tra le rilevazioni più frequenti figurano accessi insoliti a Microsoft 365, login da geolocalizzazioni inusuali o in violazione della regola di "impossible travel", e tentativi sistematici di brute-force sulle credenziali. Una volta ottenuto un punto d'appoggio, il passaggio successivo è l'escalation dei privilegi, soprattutto in ambienti Windows e Microsoft 365. Il 42% dei casi di escalation sospetta riguarda l'aggiunta di un account a gruppi con diritti elevati, come i domain admin.
Il divario tra preparazione e minacce
⬆ Torna suIl rapporto sullo stato della cybersecurity 2026 di Ivanti evidenzia un ampliamento del gap di preparazione di 10 punti anno su anno in ogni categoria di minaccia monitorata. Il dato riguarda il ransomware: il 63% dei professionisti della sicurezza lo considera una minaccia di livello elevato o critico, ma solo il 30% dichiara di sentirsi "molto preparato" a difendersi. Una forbice di 33 punti, in crescita rispetto ai 29 dell'anno precedente. Daniel Spicer, Chief Security Officer di Ivanti, ha definito questa situazione il "Deficit di Prontezza della Cybersicurezza": uno squilibrio persistente e crescente nella capacità di difendere dati, persone e reti.
Una lacuna significativa emerge dal framework di preparazione anti-ransomware di Gartner. Durante la fase di contenimento, la guida raccomanda di reimpostare le credenziali degli utenti e degli host compromessi, ma ignora le identità delle macchine. Gli account di servizio, le chiavi API, i token e i certificati digitali sono assenti dalle procedure standard. CyberArk nel suo rapporto 2025 sulla sicurezza delle identità rileva che per ogni essere umano nelle organizzazioni esistono 82 identità macchina, di cui il 42% dispone di accessi privilegiati o sensibili.
La situazione italiana: dati e tendenze
⬆ Torna suIl progetto italiano DRM – Dashboard Ransomware Monitor tiene sotto controllo i gruppi criminali ransomware che colpiscono vittime italiane. Il Bitdefender Threat Debrief di marzo 2025 segnala che febbraio ha registrato un aumento del 126% delle vittime rivendicate rispetto all'anno precedente, raggiungendo un picco di 962 casi. Il dato totale delle rivendicazioni ransomware contro target italiani aggiornato al 31 dicembre 2025 è di 169. I gruppi più prolifici includono Qilin, Lockbit5, Akira, Clop e altri. I settori più colpiti comprendono Manufacturing, Servizi, Logistica e Sanità.
Secondo il report annuale Zscaler ThreatLabz 2025, i tentativi di attacco ransomware bloccati nel cloud Zscaler sono aumentati del 146% rispetto all'anno precedente. Il volume totale di dati esfiltrati dai 10 principali gruppi ransomware è cresciuto del 92%, passando da 123 TB a 238 TB. RansomHub ha rivendicato 833 vittime, seguito da Akira con 520 e Clop con 488. Il settore Oil & Gas ha registrato un aumento degli attacchi superiore al 900% annuale.
Vulnerabilità strutturali e configurazioni errate
⬆ Torna suL'analisi di Barracuda Managed Vulnerability Security ha individuato 2.525 vulnerabilità uniche, con oltre 4.000 classificate come critiche. La vulnerabilità più diffusa è risultata la CVE-2013-2566, che sopravvive da quasi tredici anni all'interno di server datati, dispositivi embedded e applicazioni non più manutenute. L'11% delle vulnerabilità individuate dispone di exploit noti. Il report rileva inoltre migliaia di casi di certificati non fidati, self-signed o con nome non corrispondente al dominio, server configurati con algoritmi deboli o versioni datate di TLS, e stack vulnerabili ad attacchi come BEAST.
Il 100% degli incidenti gestiti include almeno un endpoint non protetto. Il 94% delle segnalazioni relative a strumenti di sicurezza disabilitati riguarda agent di protezione endpoint spenti o rimossi. Quote significative riguardano anche funzionalità connesse a multifactor authentication e regole avanzate per la protezione di link e allegati. Il 66% degli incidenti analizzati coinvolge terze parti, con un incremento del 45% rispetto al 2024.
Evoluzione del modello criminale
⬆ Torna suI dati Coveware per il terzo trimestre del 2025 indicano che solo il 23% delle organizzazioni colpite ha scelto di pagare il riscatto. I gruppi criminali si sono riorganizzati in strutture complesse con modelli di business basati sul Ransomware-as-a-Service. La tecnica della doppia estorsione prevede che i dati non vengano solo cifrati, ma anche esfiltrati. Se la vittima non paga, corre il rischio che i dati vengano resi pubblici. I gruppi criminali stanno spostando l'attenzione verso realtà di medie dimensioni, più vulnerabili, con specializzazione per settore verso sanità e istruzione.
I metodi di attacco vedono la compromissione dell'accesso remoto come principale vettore d'ingresso, seguita dall'uso di vulnerabilità software note e non aggiornate. L'ingegneria sociale e il reclutamento di insider rappresentano trend emergenti. Zscaler ha identificato 34 nuove famiglie di ransomware attive nell'ultimo anno, portando il numero totale tracciato a 425. CrowdStrike quantifica il costo medio dei tempi di inattività dovuti a ransomware in 1,7 milioni di dollari per incidente, con le organizzazioni del settore pubblico che raggiungono una media di 2,5 milioni.
Machine identity e limiti dei playbook
⬆ Torna suLe procedure standard di contenimento del ransomware si articolano su cinque passaggi fondamentali, e le identità macchina sono assenti da ciascuno. La reimpostazione delle credenziali pensata per gli esseri umani non ferma il movimento laterale attraverso un account di servizio compromesso. Il playbook campione di Gartner prevede tre passaggi per il reset delle credenziali basati su Active Directory, zero per le credenziali non umane. L'isolamento di rete non revoca le chiavi API emesse ai sistemi a valle. Il comportamento anomalo di un'identità macchina non attiva allarmi come farebbe un account utente compromesso.
L'arrivo dell'intelligenza artificiale agente moltiplicherà il problema. L'87% dei professionisti della sicurezza afferma che l'integrazione dell'IA agente è una priorità, e il 77% dichiara di sentirsi a proprio agio nel consentire all'IA autonoma di agire senza supervisione umana. Ma solo il 55% utilizza guardrail formali. Ogni agente autonomo crea nuove identità macchina che autenticano, prendono decisioni e agiscono in modo indipendente. Gartner stima che i costi totali di recupero ammontino a 10 volte il riscatto stesso.
Resilienza e risposte istituzionali
⬆ Torna suAlcune stime prevedono un aumento superiore al 50% del numero di intrusioni ransomware nel 2025 rispetto al 2024. Le normative come NIS2, DORA e Cyber Resilience Act rappresentano passi verso un approccio sistemico alla sicurezza informatica. La proposta di legge italiana sulle intrusioni ransomware introduce elementi di trasparenza. Le normative australiane prevedono l'obbligo di disclosure per le vittime di ransomware. A livello europeo, le discussioni in corso riguardano il divieto di pagamento dei riscatti e la ridefinizione delle infrastrutture critiche. Il sondaggio CrowdStrike rileva che l'85% dei team di sicurezza riconosce che i metodi di rilevamento tradizionali non riescono a tenere il passo con le minacce moderne, mentre solo il 53% ha implementato il rilevamento delle minacce basato sull'intelligenza artificiale.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suLa centralità del firewall come vettore d'ingresso e l'assenza delle identità macchina dai playbook di risposta delineano un quadro in cui le procedure difensive faticano a tenere il passo con le tecniche offensive. La persistenza di vulnerabilità datate e l'ampio ricorso a strumenti legittimi per i movimenti laterali rendono il perimetro tradizionale sempre più permeabile.
- Scenario 1: se il divario tra percezione del rischio e preparazione effettiva continuerà a crescere, le organizzazioni con risorse limitate potrebbero concentrarsi sulla resilienza piuttosto che sulla prevenzione pura.
- Scenario 2: l'integrazione dell'IA agente senza guardrail adeguati potrebbe moltiplicare le identità macchina prive di monitoraggio, estendendo la superficie d'attacco oltre il perimetro attualmente visibile.
- Scenario 3: la specializzazione dei gruppi criminali per settore potrebbe spingere sanità e istruzione a investire in protezione dedicata, mentre il Manufacturing rimarrebbe esposto alla convergenza IT-OT.
Cosa monitorare
⬆ Torna su- L'evoluzione dei playbook di risposta verso l'inclusione sistematica delle identità macchina nei processi di contenimento.
- Il tasso di adozione di patch su firewall, VPN e dispositivi di frontiera rispetto al tempo medio di sfruttamento delle vulnerabilità note.
- La diffusione di guardrail formali per l'IA agente nelle organizzazioni che stanno automatizzando processi critici.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://www.securityopenlab.it/news/5980/falle-nella-security-fornitori-vulnerabili-cosi-i-ransomware-colpiscono-le-aziende.html
- https://www.tomshw.it/business/il-divario-tra-minacce-ransomware-e-difese-peggiora-2026-02-17
- https://www.barracuda.com/company/news/2026/ransomware-incidents-exploit-firewalls
- https://www.cybersecurity360.it/nuove-minacce/ransomware/attacchi-ransomware-aziende-italiane-oggi/
- https://www.libero.it/tecnologia/come-stanno-cambiando-gli-attacchi-ransomware-107561
- https://www.bitmat.it/sicurezza/il-ransomware-non-si-ferma-tentativi-di-attacco-aumentati-del-146/
- https://www.ictsecuritymagazine.com/articoli/resilienza-informatica/
In breve
- ransomware
- cybersecurity
- vulnerabilita
- exploit