Acronis, “Il ransomware resta la minaccia numero uno”

Casi di ransomware in crescita continua, phishing come vettore chiave d’attacco contro gli MSP, incremento progressivo del cybercrime-as-a-service e phishing in aumento nelle app di collaborazione. Sono questi i principali risultati emersi dall’ultimo Acronis Cyberthreats Report, pubblicato a fine agosto e relativo ai primi sei mesi del 2025. “Si tratta di uno strumento frutto dell’intenso lavoro della nostra Threat Research Unit (TRU), un’unità di ricerca nata con la missione di proteggere il mondo digitale, offrendo conoscenza e strumenti affinché le organizzazioni possano davvero essere cyber resilient e un passo avanti rispetto alle minacce” afferma Irina Artioli, Cyber Protection Evangelist Threat Research Unit di Acronis (nella foto in alto), sottolineando come il team raccolga e analizzi in profondità una mole di dati provenienti da oltre un milione di endpoint a livello globale. Attraverso queste analisi, vengono identificati schemi, tecniche e strumenti usati nelle maggiori minacce del momento: ransomware, malware, APT, attacchi alla supply chain e campagne phishing sempre più sofisticate.

“Il frutto di questo enorme lavoro è condensato nel Cyberthreats Report, il nostro report semestrale, lanciato per la prima volta nel 2021e che dal 2024 ha aggiunto un importante capitolo con informazioni relative agli attacchi contro gli MSP (Managed Service Provider)” prosegue Artioli, osservando come nella prima parte del 2025 il vettore chiave di attacco contro questo tipo di operatori sia stato principalmente il phishing (52%), seguito dalle vulnerabilità non corrette (27%) e dall’abuso di account/credenziali validi (13%).

Il nuovo ruolo dell’AI

Un importante tema affrontato dal report è stato quello dell’intelligenza artificiale, che ormai risulta parte integrante delle operazioni criminali. “L’AI è sfruttata in modi diversi: per l’automazione, per creare campagne di phishing, malware, ransomware, oltre a deepfake realistici. Va detto, però, che il suo utilizzo non sembra essere ancora integrato al 100% nelle intere catene degli attacchi informatici” precisa Artioli, mettendo in guardia rispetto al crescente uso del white coding: una tecnica che automatizza lo sviluppo e la distribuzione del malware attraverso processi legittimi, rendendone più difficile il rilevamento. “Questo significa che dobbiamo rafforzare le difese tradizionali, perché molti attacchi si concentrano ancora sulle aree più classiche, che pensavamo fossero sicure. È fondamentale avere una protezione multilivello, ma anche fare formazione per aumentare la consapevolezza sulle minacce. Sappiamo bene che l’utente rappresenta la prima linea di difesa in campagne così sofisticate”.

A livello generale, il phishing resta una minaccia forte, con una crescita evidente soprattutto nelle app di collaborazione, dove è passato dal 9% al 30,5%. In calo, invece, nelle mail dove è sceso dal 79% al 69,8%. Anche il backup delle e-mail è sotto attacco: nei backup di e-mail M365 il TRU ha osservato che l’1,47% delle e-mail scansionate (oltre 20.000) conteneva malware, mentre il 40% degli URL incorporati erano link di phishing e il 30% link dannosi.

Ransomware, minaccia numero uno

Sul fronte malware, il ransomware continua a essere la minaccia numero uno per le organizzazioni, soprattutto per il settore manifatturiero, che è stato il più colpito a livello mondiale, soprattutto all’inizio del 2025 (15% dei casi). “L’incremento del numero di vittime rispetto allo stesso periodo dell’anno scorso è stato addirittura del 70%. Tra i Paesi più attaccati la Germania con 179 casi ogni 10.000 workload, mentre tra le gang più attive è stata individuata Cl0p, che ha contribuito al numero impressionante di 955 vittime note. Il modello del ransomware funziona, quindi, ancora molto bene” afferma Umberto Zanatta, CISM, CISSP, Sr. Solutions Engineer di Acronis, spiegando come il nostro Paese si posizioni undicesimo al mondo con 19 casi di ransomware ogni 10.000 workload. In particolare, la Pubblica amministrazione, le Telecomunicazioni, la Finanza e l’Energia sono state colpiti ripetutamente da attacchi di spear-phishing. “Il risultato di 19 casi di ransomware ogni 10.000 workload è stato calcolato normalizzando il dato rispetto al numero di workload protetti con le soluzioni Acronis, dove è attiva la messa in sicurezza degli endpoint” precisa Zanatta, commentando come oggi il cybercrime si sia ormai frammentato e le tecniche di AI stiano rimodellando lo spazio cyber: ormai non si consegna più il malware direttamente, lo si preferisce fare lungo la catena attraverso payload secondari.

Le otto raccomandazioni di Acronis

Tante le raccomandazioni di Acronis in considerazione dei risultati emersi dal report. Innanzitutto, rafforzare il backup recovery; poi applicare policy Zero Trust, soprattutto per quanto riguarda la supply chain; implementare soluzioni Xdr, invece di endpoint protection legacy; aggiornare i sistemi e adottare politiche di virtual patching; utilizzare soluzioni di email security, ma proteggere anche le app di collaborazione; regolamentare l’uso dell’AI; stabilire piani di digital response; e, infine, lavorare sull’awareness dei dipendenti.