Fortinet, specialista globale nella cybersecurity che promuove la convergenza tra networking e sicurezza, ha pubblicato il 2026 Global Threat Landscape Report a cura dei FortiGuard Labs. Basato esclusivamente sulla telemetria dei FortiGuard Labs, il nuovo studio offre un quadro del panorama delle minacce attive e dei trend del 2025, inclusa un’analisi completa di tutte le tattiche utilizzate negli attacchi informatici, come delineato nel framework MITRE ATT&CK. I dati rivelano che la criminalità informatica non opera più come una serie di campagne isolate, ma come un sistema vero e proprio, con hacker malevoli che operano sull’intero ciclo di vita dell’attacco e comprimono il ciclo di vita degli attacchi tramite shadow agent.
“La criminalità informatica è una delle minacce più pervasive e onerose al mondo, e il nostro 2026 Global Threat Landscape Report rivela come gli attori malevoli stiano iniziando a sfruttare l’IA agentica per eseguire attacchi sempre più sofisticati”, ha dichiarato Derek Manky, Chief Security Strategist and Global VP of Threat Intelligence, Fortinet FortiGuard Labs. “Man mano che i criminali informatici utilizzano sempre più l’IA per rafforzare le proprie tattiche, i responsabili della sicurezza devono trasformare le operazioni di cybersecurity in una difesa industrializzata e adottare strumenti abilitati dall’IA capaci di rispondere alla stessa velocità delle minacce moderne.”
Tecniche di attacco e settori colpiti nel panorama delle minacce attuale
La criminalità informatica moderna attraversa confini e settori, ridefinendo persino il tradizionale significato di crimine. A causa dell’aumento della sofisticazione e dell’interconnessione degli attacchi, i principali risultati dell’ultimo Global Threat Landscape Report a cura dei FortiGuard Labs rivelano:
· La velocità determina il rischio dal momento che il tempo necessario per lo sfruttamento (TTE – time-to-exploit) si riduce: poiché l’IA accelera le fasi di ricognizione, weaponization ed esecuzione, FortiGuard Intelligence indica un TTE di 24-48 ore per le vulnerabilità critiche, un netto aumento rispetto ai report precedenti che indicavano un TTE di 4,76 giorni. Gli incidenti reali dimostrano come pochi minuti possano determinare l’esito: sono stati effettuati tentativi di sfruttamento attivi poche ore dopo la divulgazione pubblica della React2Shell vulnerability.
· Le vittime di ransomware aumentano vertiginosamente: L’adversary intelligence di FortiRecon ha identificato 7.831 vittime confermate di ransomware a livello globale, un’impennata rispetto alle circa 1.600 vittime identificate nel Fortinet 2025 Global Threat Landscape Report. La disponibilità di kit di servizi criminali come WormGPT, FraudGPT e BruteForceAI ha contribuito a questo aumento del 389% anno su anno (YoY). I tre principali settori colpiti includono manifatturiero (1.284), servizi alle imprese (824) e retail (682). La concentrazione geografica vede in testa USA (3.381), Canada (374) e Germania (291).
· L’identity sprawl definisce l’esposizione nel cloud: L’intelligence di FortiCNAPP rivela che nel 2025 la maggior parte degli incidenti cloud confermati è stata causata da credenziali rubate, esposte o utilizzate in modo improprio, piuttosto che dallo sfruttamento delle infrastrutture. L’analisi settoriale indica che gli ospedali, gli studi medici e strutture retail sono gli obiettivi principali. L’elevato numero di utenti, i modelli di accesso federato e le complesse integrazioni cloud rendono queste realtà bersagli privilegiati per gli hacker malintenzionati.
Uno sguardo alle abitudini dei criminali informatici moderni che sfruttano l’IA
Come anticipato nelle FortiGuard Labs Cyberthreat Predictions for 2026, i gruppi di hacker più sofisticati operano come imprese semi-autonome, supportate da agenti ombra, broker di accesso e gestori di botnet che forniscono servizi su richiesta. I risultati principali del 2026 Global Threat Landscape Report mostrano:
· Gli shadow agent abbassano i requisiti di competenza degli operatori aumentandone la velocità operativa. I segnali del dark web raccolti da FortiRecon hanno rilevato strumenti offensivi basati sull’intelligenza artificiale pubblicizzati come servizi e prodotti, tra cui versioni potenziate di WormGPT e FraudGPT, e servizi innovativi come HexStrike AI, uno strumento offensivo di intelligenza artificiale con generazione automatizzata di percorsi di attacco di ricognizione; e BruteForceAI, uno strumento di penetration testing che integra modelli linguistici di grandi dimensioni (LLM) per l’analisi intelligente dei moduli e in grado di eseguire sofisticati attacchi multithread.
· Grazie all’IA, i criminali lavorano in modo più intelligente, non più duro. La telemetria IPS di FortiGate ha registrato una diminuzione del 22% dei tentativi di brute force su base annua, indicando un aumento dell’efficienza: con tecniche di brute force ottimizzate e intelligenti, gli autori delle minacce stanno effettuando un numero minore di tentativi contro obiettivi meglio selezionati, aumentando la probabilità di successo per ogni credenziale testata. Questa attività si traduce in circa 67,65 miliardi di eventi di brute force a livello globale, con circa 185 milioni di tentativi al giorno; 1,3 miliardi di tentativi a settimana; e 5,6 miliardi di tentativi al mese. Allo stesso tempo, l’intelligence ha rivelato un aumento del 25,49% nei tentativi di sfruttamento a livello globale su base annua.
· I dataset rubati sono più diffusi delle credenziali esfiltrate. Nel 2025 Global Threat Landscape Report, FortiGuard Labs ha osservato un aumento del 500% dei log disponibili provenienti da sistemi compromessi da malware di tipo infostealer. Nel 2026, l’intelligence di FortiRecon ha rilevato un ulteriore aumento del 79% e ha evidenziato una tendenza verso il furto di dataset più completi, reso possibile dall’intelligenza artificiale agentica. Nell’ambito dell’attività dei “database” del dark web, i log degli stealer hanno dominato i dataset pubblicizzati e condivisi (67,12%), superando le combolist (16,47%) e le credenziali esfiltrate (5,96%). I log degli stealer riducono lo sforzo degli aggressori raggruppando il materiale relativo all’identità con artefatti contestuali, inclusi i dati residenti nel browser, consentendo una riproduzione immediata e una conversione più rapida rispetto alla brute force o al password spraying.
· Il malware credential-stealer persiste. Il malware per il furto di credenziali rimane un settore redditizio e il principale motore della generazione di esposizioni. La telemetria di FortiRecon mostra che l’attività degli stealer è dominata da RedLine: 911.968 infezioni (50,80%); Lumma: 499.784 (27,84%); e Vidar: 236.778 (13,19%).
Dalla consapevolezza all’azione: smantellare gli ecosistemi della criminalità informatica
Fortinet si impegna a contrastare la criminalità informatica raccogliendo e condividendo informazioni sulle minacce e operando attivamente per combattere le minacce informatiche su scala globale.
Una recente iniziativa collaborativa guidata dall’INTERPOL e sostenuta da Fortinet attraverso il Cybercrime Atlas del Forum economico mondiale ha portato allo smantellamento di una rete di criminali informatici. Operation Red Card 2.0 ha smantellato le infrastrutture e gli operatori dietro truffe online, frodi nel settore del mobile money e richieste di prestiti fraudolente in Africa. Fortinet è membro fondatore del Cybercrime Atlas, un’iniziativa di collaborazione pubblico-privata a livello globale ospitata dal World Economic Forum che utilizza informazioni di intelligence open-source per mappare le reti criminali informatiche, identificare le vulnerabilità delle infrastrutture e supportare operazioni congiunte di smantellamento con le forze dell’ordine, come le recenti Operation Red Card 2.0 e Operation Serengeti 2.0.
