Secondo il recente report globale Security Services di Kaspersky, la violazione delle password e l’uso improprio di account validi continuano a essere tra le tattiche più efficaci utilizzate dai cybercriminali nel 2025. Questa tendenza riflette un cambiamento strategico: gli aggressori stanno progressivamente abbandonando malware più “rumorosi”, in grado di attivare i sistemi di protezione degli endpoint, preferendo invece sfruttare accessi legittimi per eludere il rilevamento.
“Anatomy of a Cyber World” è un report globale approfondito basato sui dati raccolti nel 2025 dai servizi Kaspersky Managed Detection and Response (MDR), Incident Response (IR), Compromise Assessment e SOC Consulting. Il report analizza le tecniche, gli strumenti e gli scenari di rilevamento più comuni utilizzati dagli autori degli attacchi, evidenziando inoltre le principali caratteristiche degli incidenti rilevati.
Secondo il report, una quota significativa delle tecniche di attacco monitorate più frequentemente riguarda la gestione delle credenziali e delle identità. L’analisi, che prende in esame i tassi di conversione[1] dei diversi indicatori di attacco (IoA), mette in evidenza le seguenti tattiche dannose prevalenti:
Indovinare le password – 34.8%. Questa tecnica consiste nel tentare sistematicamente diverse password fino a ottenere l’accesso a un account. Si posiziona al primo posto tra le tecniche più utilizzate, poiché viene impiegata sia negli attacchi reali sia nelle valutazioni di sicurezza autorizzate, confermandosi una minaccia persistente nell’attuale panorama della cybersecurity. Le aziende che utilizzano password deboli o riutilizzate continuano a favorire questa strategia ormai consolidata.
Creazione di account locali – 34.7%. Una volta ottenuto l’accesso a un sistema, gli aggressori creano spesso nuovi account locali per mantenere la persistenza anche nel caso in cui il punto di accesso iniziale venga individuato e rimosso. Questa tecnica viene osservata frequentemente durante le esercitazioni di sicurezza e può essere rilevata solo disponendo di una telemetria adeguata, spesso assente.
Abuso di account validi – 34.5%. Anziché distribuire malware, gli aggressori accedono utilizzando credenziali rubate o compromesse, confondendosi con le normali attività degli utenti. Questo rende il rilevamento molto più complesso, poiché l’accesso appare del tutto legittimo. L’elevato tasso di conversione dimostra perché le credenziali compromesse continuino a rappresentare uno dei vettori di attacco più pericolosi.
Manipolazione degli account – 32%. Gli aggressori modificano gli account esistenti per consolidare il proprio accesso, ad esempio riattivando account disabilitati, modificando l’appartenenza ai gruppi o aumentando i privilegi. Questa pratica conferma una tendenza più ampia: invece di introdurre nuovi strumenti, gli aggressori rafforzano il proprio controllo sfruttando ciò che è già presente nell’infrastruttura.
Individuazione dei servizi di rete – 31.2%. Prima di muoversi all’interno della rete, gli aggressori effettuano generalmente una scansione alla ricerca di servizi aperti e sistemi raggiungibili. Questa fase di ricognizione rappresenta spesso un chiaro segnale di successive attività di movimento laterale e ulteriori attacchi. Individuarla tempestivamente consente ai team di sicurezza di guadagnare tempo prezioso per intervenire.
Il report classifica le tecniche degli aggressori in base alla frequenza con cui le attività osservate hanno portato, in ultima analisi, a incidenti dannosi confermati. Secondo gli esperti di Kaspersky, sebbene il catalogo MITRE ATT&CK® includa un vasto numero di tecniche utilizzate dagli aggressori, un rilevamento efficace richiede di dare priorità ai comportamenti con la più alta probabilità di intenzioni dannose, evitando al contempo un numero eccessivo di falsi positivi.
“Gli autori delle minacce non hanno sempre bisogno di malware sofisticati per raggiungere i propri obiettivi. In molti casi, gli strumenti amministrativi legittimi e gli account compromessi rappresentano ancora il modo più rapido ed efficace per muoversi all’interno di un’organizzazione evitando di essere individuati. La continua diffusione di queste tecniche dimostra che le aziende necessitano di una visibilità approfondita sul comportamento degli aggressori e della capacità di correlare le attività sospette nelle diverse fasi di un attacco. Per affrontare queste sfide, le aziende possono rafforzare la propria sicurezza con le nostre soluzioni Kaspersky Managed Detection and Response e Incident Response, che coprono l’intero ciclo di gestione degli incidenti: dal rilevamento delle minacce alla protezione continua, fino alla risoluzione”,ha commentato Sergey Soldatov, Head of Security Operations Center di Kaspersky.
Per saperne di più sulle tattiche e le tecniche degli autori degli attacchi, sulle caratteristiche degli incidenti rilevati e sulla loro distribuzione a livello regionale e settoriale, è possibile leggere il report completo al seguente link.
[1] La conversione è il rapporto tra gli avvisi classificati come veri positivi e il numero totale di avvisi corrispondenti a una specifica tecnica MITRE ATT&CK.
