Secondo il rapporto trimestrale pubblicato da Cisco Talos, tra le principali organizzazioni private di intelligence al mondo dedicate alla cybersecurity, durante il primo trimestre del 2025 gli attacchi di phishing hanno avuto un’impennata significativa rappresentando il metodo di accesso iniziale nel 50% dei casi analizzati, in netto contrasto con i trimestri precedenti.
Allo stesso tempo è diminuito l’utilizzo di account validi per l’accesso iniziale, nonostante fosse stato il vettore principale nel 2024, anche se questi mezzi non hanno perso il loro ruolo fondamentale nelle catene di attacco: i criminali informatici li compromettono frequentemente tramite phishing per poi sfruttarli nelle fasi successive dell’attacco. Tra le tecniche di phishing, il vishing (phishing vocale) ha prevalso, costituendo oltre il 60% dei casi. Tuttavia sono stati riscontrati anche altri vettori, come allegati e link malevoli e campagne business email compromise (Bec). Nel trimestre in esame, si è osservata una prevalente adozione del phishing per acquisire credenziali valide, con il chiaro intento di entrare in profondità nelle reti bersaglio ed estendere il controllo.
Il settore manifatturiero è risultato il più colpito, con il 25% degli incidenti gestiti da Cisco Talos. Tale dato assume particolare rilevanza se confrontato con il secondo semestre del 2024, quando il principale bersaglio era stato invece il settore dell’istruzione, mentre nel trimestre attuale non si sono riscontrati incidenti diretti a organizzazioni appartenenti al comparto educativo. In seconda posizione tra i settori più presi di mira la sanità e sull'ultimo gradino del podio il retail.
Riflettori puntati anche sugli incidenti ransomware e pre-ransomware, che hanno costituito una quota leggermente maggiore del totale delle minacce rilevate. Le analisi di Cisco Talos sugli eventi pre-ransomware hanno evidenziato come l’attivazione tempestiva del team di risposta agli incidenti e il monitoraggio accurato delle tattiche, delle tecniche e delle procedure (Ttp) degli aggressori siano stati determinanti per interrompere gli attacchi prima dell’effettiva diffusione del malware.