opening-skew

Torna indietro

masking

Il 79% degli attacchi ransomware parte da identità compromesse: cambia il volto della minaccia informatica

Secondo il nuovo report Sophos, email malevole e phishing superano per la prima volta lo sfruttamento delle vulnerabilità come principale causa tecnica degli attacchi.

Per anni le vulnerabilità software sono state considerate la principale porta d’ingresso degli attacchi ransomware. Oggi lo scenario è cambiato: i cybercriminali puntano sempre più sulle identità digitali compromesse. Secondo la settima edizione del report State of Ransomware pubblicato da Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, il 79% degli attacchi ransomware ha origine da account validi compromessi, confermando come le identità rappresentino ormai il principale vettore di accesso iniziale utilizzato dai cybercriminali.

Inoltre, per la prima volta negli ultimi quattro anni lo sfruttamento delle vulnerabilità non rappresenta più la causa tecnica principale degli attacchi, superato dalle email malevole (26%) e dalle campagne di phishing (24%). Ciò non significa tuttavia che le vulnerabilità abbiano perso importanza: il 59% delle richieste di riscatto originate dallo sfruttamento di una vulnerabilità presente sul firewall supera il milione di dollari, contro il 48% registrato considerando l’insieme degli attacchi ransomware.

Stiamo osservando come i gruppi ransomware stiano iniziando a sperimentare l’intelligenza artificiale, una tecnologia che potrebbe aumentare drasticamente la loro capacità di sottrarre dati di valore, prenderli in ostaggio e operare su una scala mai vista prima“, commenta Ross McKerchar, Chief Information Security Officer di Sophos. “Questa evoluzione rende indispensabile un monitoraggio continuo dei principali vettori di compromissione, che i nostri dati identificano soprattutto negli account validi rubati o compromessi. Allo stesso tempo, il continuo miglioramento dei modelli AI open-weight non adeguatamente protetti offrirà agli attaccanti un vantaggio crescente nell’individuare e sfruttare vulnerabilità software. Affidarsi esclusivamente all’applicazione delle patch non è più sufficiente: ridurre la superficie esposta a Internet e mantenere una solida protezione degli endpoint è oggi fondamentale.”

Il report evidenzia inoltre come il 56% delle organizzazioni colpite abbia subito la cifratura dei dati, invertendo così il trend di miglioramento osservato negli ultimi due anni.

Se da un lato gli autori degli attacchi continuano a evolvere le proprie tecniche rendendo più complessa la prevenzione, dall’altro le aziende stanno migliorando sensibilmente la propria capacità di ripristino. I maggiori investimenti nelle infrastrutture di backup sembrano infatti dare risultati concreti: oltre la metà delle organizzazioni (55%) riesce a riprendere completamente le attività entro una settimana dall’attacco, mentre il 16% torna operativo in meno di 24 ore.

Le organizzazioni si dimostrano inoltre sempre più efficaci nella negoziazione con i cybercriminali. Tra quelle che hanno scelto di pagare il riscatto, il 51% è riuscito a ottenere una riduzione rispetto alla richiesta iniziale.

Negli ultimi due anni la mediana delle richieste di riscatto è diminuita del 65%, mentre la percentuale di organizzazioni che pagano per recuperare i propri dati è scesa al 48%, il secondo valore più basso mai registrato dopo il 2023 (46%).

Nonostante questi progressi, i costi medi di ripristino continuano a crescere, raggiungendo oggi 1,7 milioni di dollari per incidente, escluso il pagamento del riscatto.

Negli ultimi dodici mesi le organizzazioni hanno rafforzato in modo significativo la propria resilienza contro il ransomware e questi investimenti stanno producendo risultati concreti”, aggiunge McKerchar. “Ciò nonostante, il ransomware continua a generare danni economici per milioni di dollari. Con l’evoluzione dell’intelligenza artificiale, gli attaccanti saranno in grado di individuare configurazioni errate delle identità e punti deboli delle infrastrutture in modo molto più rapido ed economico rispetto al passato. Le aziende non possono più contare sulla complessità dei propri ambienti per nascondere eventuali lacune di sicurezza. La stessa tecnologia offre però ai difensori l’opportunità di individuare e correggere tali criticità più velocemente, a condizione che prevenzione, rilevamento e risposta siano parte integrante di una strategia di cybersicurezza unificata.”

Come difendersi

Sophos raccomanda alle organizzazioni di adottare un approccio integrato, supportato dall’intelligenza artificiale, che combini tecnologia, persone e processi:

  • Considerare l’identità come uno degli elementi fondamentali della sicurezza, adottando soluzioni ITDR (Identity Threat Detection and Response), implementando autenticazione multifattore resistente al phishing su tutti i punti di accesso ed effettuando verifiche periodiche sia delle identità umane sia di quelle non umane.
  • Investire nelle infrastrutture di backup e ripristino, verificando regolarmente i backup, conservandoli offline o in formato immutabile e integrandoli in un piano documentato di risposta agli incidenti.
  • Mantenere programmi strutturati di Exposure Management, applicando tempestivamente le patch, dando priorità agli asset esposti su Internet e sfruttando strumenti assistiti dall’intelligenza artificiale per accelerare l’individuazione e la correzione delle vulnerabilità.
  • Ridurre l’esposizione attraverso il firewall e sfruttarne la telemetria per individuare precocemente gli attacchi, assicurandosi che il firewall riceva aggiornamenti rapidi, preferibilmente automatici, limitando al minimo i servizi esposti su Internet (come accessi amministrativi e portali utente) e integrandolo con soluzioni XDR e MDR per rilevare gli attacchi ransomware prima dell’esecuzione del payload.

Metodologia dell’indagine

L’indagine è stata realizzata da Vanson Bourne per conto di Sophos nel primo trimestre del 2026.

Sono stati intervistati 2.158 responsabili IT e della cybersicurezza appartenenti a organizzazioni che avevano subito almeno un attacco ransomware nei dodici mesi precedenti, distribuite in 17 Paesi: Stati Uniti, Brasile, Cile, Colombia, Messico, Regno Unito, Francia, Germania, Italia, Spagna, Svizzera, Australia, India, Giappone, Singapore, Sudafrica ed Emirati Arabi Uniti.

Le organizzazioni coinvolte appartengono a 15 differenti settori merceologici e hanno dimensioni comprese tra 100 e 5.000 dipendenti.

Il report completo State of Ransomware 2026 è disponibile qui

Condividilo su:

closing-skew
Skewed-grey-square

SEI UN'AZIENDA?

SEI UN CANDIDATO?

SEI UN GIORNALISTA O UN BLOGGER?

Vuoi migliorare gli effetti della tua comunicazione e gli impatti sul tuo business?

Non aspettare. Contattaci ora.

Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy

Sei intraprendente, proattivo, orientato ai risultati e cerchi un contesto in cui crescere e sviluppare i tuoi talenti?

Unisciti al nostro team. Consulta le posizioni aperte e inviaci il tuo CV.

Carica il tuo Curriculum Vitae (Max 1MB)


Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy

Vuoi saperne di più su Sound PR e/o sui nostri clienti?

Non aspettare. Contattaci ora.

Ho preso visione dell'Informativa privacy (riportata nel link in calce) fornita ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679 relativa al trattamento dei miei dati personali da parte di Sound Public Relations Srl e, consapevolmente:


al trattamento dei miei dati personali per le finalità indicate.

Informativa Privacy