Il phishing è tornato a dominare la scena della cybersicurezza, diventando il principale vettore di accesso agli attacchi, soprattutto contro la pubblica amministrazione e il settore sanitario nel primo trimestre del 2026. Lo conferma il nuovo report di Cisco Talos, che segnala un significativo aumento delle campagne di phishing, ora rafforzate dall'uso dell'intelligenza artificiale da parte dei cybercriminali.
Per la prima volta è stato documentato l'utilizzo di una piattaforma AI, Softr, per creare pagine fraudolente destinate a rubare credenziali. L'adozione diffusa di modelli linguistici avanzati e strumenti automatizzati ha abbassato le barriere tecniche, permettendo anche ad attori meno esperti di lanciare attacchi sofisticati con rapidità e su larga scala. Funzionalità avanzate e template preconfigurati consentono di generare pagine di phishing senza necessità di programmazione, rendendo così gli attacchi più frequenti ed efficaci.
Tra le tendenze emergenti, spicca l'abuso sempre più diffuso di strumenti e servizi legittimi, che permette ai criminali di rendere più difficili da rilevare gli attacchi. Spicca, tra questi casi, il primo incidente attribuito al gruppo Crimson Collective: sfruttando account legittimi e vulnerabilità come la pubblicazione involontaria di un token GitHub, il collettivo è riuscito a compromettere sistemi cloud. Tali metodologie evidenziano come la combinazione di accessi regolari e falle note esponga le organizzazioni per mesi, spesso senza che se ne accorgano.
Anche le campagne ransomware mostrano segni di crescita, anche se al momento restano contenute grazie a interventi tempestivi. Gli incidenti riconducibili a ransomware o pre-ransomware sono saliti al 18% nel trimestre, comunque ben lontani dai picchi del 2025, quando rappresentavano la metà degli attacchi gestiti. La complessità dell'attribuzione è ancora alta, ma alcune attività sono avvicinabili a gruppi noti come Rhysida e Money Message. I principali operatori ransomware-as-a-service, pur non registrando picchi recenti, mantengono comunque attivi i loro siti di pubblicazione dati.
Pubblica amministrazione e sanità rimangono gli obiettivi principali dei cyberattacchi: gestiscono grandi quantità di dati sensibili, e la necessità di continuità del servizio le rende estremamente vulnerabili. Molte organizzazioni pubbliche operano con risorse limitate e infrastrutture obsolete, perdendo così efficacia nella difesa da minacce sempre più sofisticate.
Il passaggio dal 2025 al 2026 ha visto il phishing tornare a essere il vettore principale di accesso iniziale in oltre un terzo dei casi analizzati, dopo una breve parabola in cui erano state sfruttate soprattutto vulnerabilità di applicazioni esposte su Internet. L'utilizzo della multifattorialità (MFA) assente o mal configurata è una delle criticità principali emerse in oltre il 35% degli incidenti analizzati. Altro punto debole sono state le infrastrutture non aggiornate: le patch mancanti sono state sfruttate nel 25% dei casi per accedere ai sistemi.
Per arginare queste minacce, Cisco Talos sottolinea l'importanza di una copertura completa con autenticazione multifattore, una gestione costante e tempestiva delle patch e un'adeguata visibilità sulle reti IT. Nel 18% degli incidenti una scarsa visibilità ha ostacolato le attività di identificazione e risposta. L'uso di sistemi di logging centralizzato, come le piattaforme SIEM, è quindi fondamentale per ridurre il rischio e velocizzare le indagini sugli attacchi.
L'adozione di intelligenza artificiale da parte dei criminali abbassa le difese degli enti più vulnerabili e richiede strategie di cyber-resilienza sempre più avanzate, soprattutto nella PA e nel settore sanitario. Il rischio cresce, ma il report evidenzia che interventi tempestivi e un approccio integrato possono limitare l'impatto di queste minacce in continua evoluzione.
Discussione 0
Ancora nessun commento. Sii il primo a commentare!