Sebbene i principali vettori iniziali degli attacchi nel 2025 siano rimasti simili a quelli del 2024, la loro incidenza complessiva è cresciuta fino a superare l’80%. Le applicazioni rivolte al pubblico rappresentano il 43,7% dei casi, mentre le relazioni di fiducia sono aumentate dal 12,7% al 15,5%. Gli account validi costituiscono il 25,4%. Questi dati emergono dal recente report globale pubblicato da Kaspersky Security Services.
“Anatomy of a Cyber World” è un report globale approfondito basato sui dati relativi agli incidenti raccolti nel 2025 da Kaspersky Managed Detection and Response, Kaspersky Incident Response, Kaspersky Compromise Assessment e Kaspersky SOC Consulting. Il report evidenzia le tattiche, le tecniche e gli strumenti più comunemente utilizzati dagli autori degli attacchi, nonché le peculiarità degli incidenti rilevati e la loro distribuzione a livello regionale e settoriale.
Secondo i dati raccolti da Kaspersky Industrial Response, i primi tre vettori di attacco iniziali sono rimasti relativamente stabili negli ultimi sette anni, senza variazioni significative. Gli account validi e gli exploit nelle applicazioni accessibili al pubblico continuano a rappresentare i punti di ingresso più comuni. La terza posizione ha subito cambiamenti nel tempo: le e-mail dannose, un tempo vettore iniziale diffuso, sono state progressivamente sostituite dalle relazioni di fiducia, apparse per la prima volta nel 2021 ed entrate nella TOP-3 nel 2023. Nel 2025, la distribuzione dei principali vettori è risultata la seguenti.
Questi vettori di attacco sono spesso interconnessi all’interno della stessa catena. Ad esempio, le aziende compromesse attraverso relazioni di fiducia vengono frequentemente violate inizialmente tramite exploit in applicazioni accessibili al pubblico. Casi recenti dimostrano che gli aggressori prendono di mira fornitori di servizi o integratori IT per ottenere accesso ai loro clienti. Il problema è aggravato dal fatto che molti piccoli fornitori di servizi non dispongono di competenze e risorse adeguate in materia di sicurezza informatica. Poiché gestiscono software di contabilità o siti web, eventuali violazioni possono tradursi nella compromissione dei sistemi dei clienti attraverso accessi remoti sfruttati dagli attaccanti.
Analizzando gli attacchi in termini di durata e impatto, i dati mostrano che la maggior parte (50,9%) è stata di natura rapida, con una durata generalmente inferiore a un giorno e, nella maggior parte dei casi, accompagnata dalla crittografia dei file. Una quota significativa (33%) è invece costituita da attacchi di lunga durata, con una media di 108 ore: in questi casi gli aggressori non si sono limitati alla crittografia, ma hanno anche installato meccanismi di persistenza, compromesso Active Directory e provocato la fuga di dati. Il restante 16,1% presenta un andamento ibrido: inizialmente si manifesta come attacco rapido, ma con un ritardo significativo tra la violazione iniziale e le attività dannose successive, estendendo la durata complessiva fino a quasi 19 giorni.
" Dato che gli aggressori orchestrano sempre più spesso attacchi coordinati e articolati in più fasi, le aziende non possono permettersi di adottare un approccio puramente reattivo, di tipo ‘antincendio’. Per contrastare questa tendenza, è fondamentale adottare una strategia di sicurezza proattiva, che integri il monitoraggio delle minacce in tempo reale e il rilevamento continuo nelle operazioni quotidiane. Questo consente ai responsabili della sicurezza di reagire tempestivamente alle attività degli avversari prima che possano aggravarsi. Tra le misure chiave per proteggere le risorse digitali, sia da intrusioni rapide sia da compromissioni prolungate, rientrano l’applicazione tempestiva delle patch, l’adozione dell’autenticazione a più fattori e un rigoroso controllo degli accessi di terze parti”, ha commentatoKonstantin Sapronov, Head of Global Emergency Response Team di Kaspersky.
Per migliorare la protezione contro gli attacchi sofisticati, Kaspersky raccomanda di:
· Potenziare i controlli di sicurezza esistenti con il rilevamento guidato da esperti di Kaspersky Managed Detection and Response (MDR) e ottenere un’analisi completa e dettagliata degli incidenti con Kaspersky Incident Response. Questi servizi offrono monitoraggio continuo 24/7 e coprono l’intero ciclo di gestione degli incidenti, dall’identificazione delle minacce alla protezione e risoluzione.
· Allineare processi interni e tecnologie all’evoluzione del panorama delle minacce grazie al servizio Kaspersky SOC Consulting, che supporta nella creazione di un SOC interno da zero, nella valutazione della maturità di un SOC esistente o nel potenziamento di specifiche capacità di rilevamento e risposta.
· Utilizzare soluzioni centralizzate e automatizzate come Kaspersky Next XDR Expert per garantire una protezione completa delle risorse. Aggregando e correlando dati provenienti da più fonti in un’unica piattaforma e sfruttando tecnologie di machine learning, la soluzione consente un rilevamento efficace delle minacce e una risposta rapida e automatizzata.
Per ulteriori approfondimenti sul report globale di Kaspersky, è possibile visitare il sito web.
