Sommario: Rapporto sull'intelligence delle minacce 2025 di Mimecast

Il suo gateway di posta elettronica ha intercettato il tentativo di phishing. La sua protezione endpoint ha bloccato il malware. Il suo firewall ha fermato l'intrusione. Eppure, il suo team finanziario ha appena versato 180.000 dollari su un conto fraudolento, dopo aver ricevuto una richiesta DocuSign dall'aspetto legittimo, seguita da una telefonata convincente da parte di qualcuno che afferma di essere il suo CFO.

Benvenuti nel 2025, dove le minacce più pericolose non sfondano le vostre difese, ma le superano utilizzando strumenti di cui già vi fidate e voci che suonano in modo inquietantemente familiare.

I dati raccontano una storia diversa

Tra gennaio e settembre 2025, Mimecast ha analizzato più di 24 trilioni di punti dati su quasi 43.000 clienti, rilevando oltre 9,13 miliardi di minacce. Quello che abbiamo scoperto dovrebbe preoccupare tutti i leader della sicurezza: gli aggressori hanno cambiato radicalmente il loro approccio e i controlli di sicurezza tradizionali faticano a tenere il passo.

Il phishing rappresenta oggi il 77% di tutti gli attacchi, in aumento rispetto al 60% del 2024. Ma non si tratta dei maldestri tentativi di phishing degli anni passati. Gli attacchi ClickFix - in cui gli utenti vengono indotti ad eseguire comandi dannosi - sono aumentati di 500% in soli sei mesi. Le campagne di Business email compromise sono ora caratterizzate da catene di conversazione generate dall'AI che imitano perfettamente i suoi venditori e dirigenti, con una terminologia appropriata e un'urgenza realistica. Gli aggressori abusano abitualmente di DocuSign, SharePoint, PayPal e SendGrid, perché questi servizi aggirano i controlli di sicurezza in modo predefinito.

Abbiamo rilevato più di 2 milioni di file SVG dannosi che utilizzano le esche dell'ingegneria sociale e oltre 900.000 casi in cui gli aggressori hanno utilizzato i CAPTCHA per bloccare i ricercatori di sicurezza dall'analisi della loro infrastruttura. La scomoda verità: sfruttare la fiducia funziona meglio che sfruttare il codice e i criminali informatici hanno industrializzato il processo.

Cosa rende il 2025 diverso

I criminali informatici hanno professionalizzato le loro operazioni in modi che sfidano fondamentalmente i modelli di difesa tradizionali. Combinano le e-mail con le telefonate e le videoconferenze per creare attacchi multicanale che sembrano autentici e aggirano completamente la sicurezza delle e-mail. Durante queste conversazioni, utilizzano la persuasione in tempo reale per rispondere alle domande e superare lo scetticismo, tecniche che le voci generate dall'AI e la tecnologia deepfake rendono sempre più convincenti.

Stanno sfruttando strumenti di gestione remota legittimi che il suo team IT utilizza quotidianamente, come ScreenConnect, TeamViewer e AnyDesk, per ottenere un accesso persistente senza attivare gli avvisi di sicurezza. Nascondono il codice maligno nei file immagine e utilizzano servizi aziendali legittimi come infrastruttura di attacco, rendendo il rilevamento straordinariamente difficile.

E stanno diventando sempre più specifici per il settore. La nostra analisi del settore rivela che gli aggressori non prendono di mira solo le organizzazioni. Si rivolgono a interi settori con playbook specializzati progettati in base ai flussi di lavoro del settore. Per esempio:

• Le aziende del settore immobiliare subiscono attacchi di phishing sproporzionati, guidati da bonifici di alto valore.
• Il settore manifatturiero si imbatte in un maggior numero di malware che prendono di mira la proprietà intellettuale.
• La formazione professionale si occupa di attacchi di impersonificazione persistenti. 

Non si tratta di operazioni casuali, ma di operazioni calcolate che sfruttano le vulnerabilità specifiche del settore.

Cosa troverà nel rapporto completo

Il nostro Report Global Threat Intelligence 2025 va oltre l'identificazione delle minacce per fornire ai team di sicurezza informazioni su cui agire immediatamente:

• Profili di attori pericolosi che tracciano le operazioni più prolifiche che prendono di mira le organizzazioni a livello globale, tra cui le sofisticate campagne di social engineering di Scattered Spider, le operazioni di guerra informatica di UAC-0050 e i gruppi emergenti motivati finanziariamente che sfruttano servizi di notifica affidabili. Ogni profilo descrive in dettaglio le tattiche, le preferenze infrastrutturali, i settori mirati e i modelli comportamentali, con collegamenti diretti agli indicatori di compromissione e all'analisi tecnica per la ricerca immediata delle minacce e la messa a punto del rilevamento.
• Analisi delle minacce specifiche per il settore, che rivelano quali tipi di attacchi colpiscono maggiormente il suo settore e perché. Capire cosa rende il suo settore attraente per determinati attori di minacce, dove si trovano i suoi punti ciechi e come dare priorità alle difese dove sono più importanti per la sua organizzazione.
• Approfondimenti tecnici sulla vita dei servizi affidabili (LOTS), sulle minacce della piattaforma di collaborazione, sui nuovi metodi di offuscamento e sull'abuso sistematico dei servizi di notifica. Ogni sezione include esempi di campagne reali, analisi della catena di attacco e indicatori tecnici che il suo team può utilizzare per rafforzare le capacità di rilevamento.
• Raccomandazioni pratiche per ogni categoria di minaccia principale. Non ci limitiamo a identificare i problemi. Forniamo passi specifici e attuabili che i team di sicurezza possono implementare per rendere più solidi gli ambienti aziendali, dall'istituzione di protocolli di verifica multicanale per gli attacchi BEC all'implementazione di controlli per le piattaforme di collaborazione che bilanciano la sicurezza con la produttività.
• Vulnerability intelligence che analizza le vulnerabilità più sfruttate per età, gravità e tassi di sfruttamento effettivi. Scopra quali vulnerabilità gli aggressori utilizzano attivamente come armi e quali invece generano rumore, aiutando il suo team a concentrare gli sforzi di bonifica dove avranno l'impatto maggiore.

La linea di fondo

Le minacce del 2025 richiedono un passaggio fondamentale dalle misure di sicurezza reattive alla gestione proattiva del rischio umano. I controlli tecnici restano essenziali, ma non sono più sufficienti quando gli aggressori conducono le operazioni attraverso gli stessi servizi da cui dipende la sua azienda e prendono di mira le persone che li utilizzano.

Le organizzazioni che comprendono l'attuale metodologia degli aggressori, addestrano i dipendenti a riconoscere l'ingegneria sociale sofisticata e implementano processi di verifica per le transazioni ad alto rischio, saranno molto meglio posizionate rispetto a quelle che ancora combattono le minacce di ieri con il libro di giochi di ieri.

Il rapporto completo fornisce l'intelligence sulle minacce, l'analisi tecnica e le strategie di difesa di cui il suo team di sicurezza ha bisogno per adattarsi a questo panorama in evoluzione.

Scaricate il Rapporto Global Threat Intelligence 2025 per accedere a profili completi di attori minacciosi con IOC, analisi delle minacce specifiche del settore, indicatori tecnici e strategie di difesa attuabili che riguardano il modo in cui gli aggressori operano effettivamente nel 2025.