Acronis Cyberthreats Report: allarme minacce AI-driven

Il cybercrime accelera e continua a trasformarsi. È quanto emerge dall’“Acronis Cyberthreats Report H2 2025: From exploits to malicious AI”, l’analisi semestrale che fotografa l’evoluzione delle minacce globali sulla base dei dati di telemetria raccolti dai sensori proprietari e studiati dall’Acronis Threat Research Unit (TRU). Il quadro delineato nel secondo semestre 2025 mostra una crescita costante degli attacchi informatici, con un mix sempre più sofisticato di tecniche tradizionali e strumenti basati sull’intelligenza artificiale.

Gli attacchi via e-mail sono aumentati del 16% per organizzazione e del 20% per utente su base annua. Il phishing si conferma il punto di ingresso privilegiato, responsabile del 52% degli attacchi contro i Managed Service Provider (MSP). Nel solo secondo semestre 2025, l’83% delle minacce veicolate tramite posta elettronica è riconducibile a campagne di phishing, segno che le tecniche di ingegneria sociale restano centrali nelle strategie criminali.

Parallelamente, crescono gli attacchi alle piattaforme di collaborazione aziendale: dal 12% nel 2024 al 31% nel 2025. I cybercriminali puntano sempre più su canali alternativi, meno monitorati ma altamente efficaci.

Tra le tendenze tecniche più rilevanti spicca l’abuso di PowerShell, che si conferma lo strumento legittimo più sfruttato a livello globale, con particolare incidenza in Germania, Stati Uniti e Brasile. Sul fronte delle vulnerabilità, tutte le CVE pubblicate nel 2025 relative a piattaforme MSP sono state classificate come High o Critical, a conferma dell’elevato impatto potenziale anche quando il numero complessivo di falle risulta contenuto.

L’AI entra stabilmente nei workflow criminali

Il dato più significativo riguarda l’integrazione sistematica dell’AI nelle operazioni malevole. Gli attaccanti utilizzano strumenti basati su intelligenza artificiale per automatizzare la ricognizione, ottimizzare l’esfiltrazione dei dati e persino gestire le negoziazioni dei riscatti. Il gruppo GLOBAL GROUP ha impiegato sistemi AI per coordinare simultaneamente trattative ransomware con più vittime, mentre GTG-2002 ha sfruttato tecniche di ricognizione assistite dall’intelligenza artificiale per massimizzare l’impatto delle intrusioni.

Anche il social engineering evolve: nelle truffe di finto rapimento sono state generate immagini di “prova in vita” create con AI, aumentando la pressione psicologica sulle vittime.

Ransomware: numeri in crescita

Il ransomware si conferma la minaccia predominante. Nel 2025 quasi 150 MSP e operatori di telecomunicazioni sono stati colpiti direttamente e oltre 7.600 vittime sono state rese pubbliche. Tra i gruppi più attivi figurano Qilin (962 vittime), Akira (726) e Cl0p (517). Gli Stati Uniti risultano il Paese più colpito, con 3.243 vittime registrate. Nel secondo semestre sono inoltre emersi nuovi attori come Sinobi, TheGentlemen e CoinbaseCartel.

Gli attacchi alla supply chain e agli MSP restano una delle principali fonti di rischio sistemico. I cybercriminali hanno sfruttato strumenti di Remote Monitoring and Management (RMM) come AnyDesk e TeamViewer per compromettere oltre 1.200 vittime tra terze parti e fornitori. Gli Stati Uniti registrano la maggiore esposizione, con 574 casi documentati.

“Nel 2025 abbiamo osservato un’accelerazione nell’evoluzione delle minacce -, ha dichiarato Gerald Beuchelt, CISO di Acronis -. Gli attaccanti non si limitano a estendere metodi consolidati come phishing e ransomware, ma integrano l’AI per operare in modo più rapido, efficiente e su larga scala”.