Il 70% dell’attività ransomware globale è diretta verso i principali paesi anglofoni, secondo il più recente rapporto OT & IoT Security di Nozomi Networks Labs (CHE TROVI QUI). Nella seconda metà dello scorso anno, il 40% di tutti gli attacchi ransomware ha preso di mira aziende con sede negli Stati Uniti, mentre gli attacchi contro Canada e Regno Unito hanno rappresentato complessivamente il 30% degli attacchi ransomware. Poiché i threat actor aumentano l’uso dell’intelligenza artificiale generativa nelle loro attività, gli attacchi contro le aziende dei principali paesi anglofoni stanno crescendo in scala e hanno una maggiore probabilità di successo. Un dato allarmante se consideriamo che questi tre Paesi rappresentano quasi il 30% del PIL mondiale, gli attaccanti hanno quindi il potenziale per causare una massiccia disruption macroeconomica in caso di successo dei loro attacchi.
Altri risultati chiave di questo ultimo rapporto includono:
Le reti wireless continuano a rappresentare una grave minaccia per la sicurezza
Le comunicazioni wireless sono sempre più presenti negli ambienti industriali e nelle infrastrutture critiche, spesso senza una progettazione mirata o un’attenzione specifica alla sicurezza, talvolta completamente all’insaputa degli stessi operatori. Il report di Nozomi ha rilevato che il 68% delle reti wireless osservate opera ancora senza Management Frame Protection (MFP) nonostante utilizzi crittografia moderna, e solo il 2% delle organizzazioni utilizza un’autenticazione di livello enterprise, come 802.1X. Inoltre, circa il 98% delle reti wireless osservate si affida esclusivamente all’autenticazione basata su Pre-Shared Key (PSK), cosa che lo rende di gran lunga il modello dominante negli ambienti operativi. Questo è particolarmente preoccupante poiché le credenziali condivise eliminano la responsabilità individuale e consentono un riutilizzo a lungo termine, rendendo difficile distinguere l’accesso legittimo dall’uso improprio una volta esposte. Sebbene il modello di sicurezza PSK funzioni bene per bar e Wi-Fi aperte agli ospiti, non è certo adatto alle imprese industriali.
2025: trasporti nel mirino globale, crescono le attività ostili nel settore pubblico
In entrambi i semestri del 2025, il settore dei trasporti è stato il più colpito a livello globale. Nella seconda metà dell’anno, è stato seguito dai settori manifatturiero e pubblico. In particolare, gli attacchi contro il settore pubblico sono aumentati considerevolmente tra il primo e il secondo semestre del 2025, in gran parte a causa delle crescenti tensioni geopolitiche, che hanno favorito un incremento dell’attività da parte di attori statali e fenomeni di hacktivismo. Una caratteristica distintiva del settore pubblico è stata la prevalenza delle tattiche di Discovery, le più comunemente rilevate, probabilmente perché molti threat actor sono ancora nella fase di esplorazione degli ambienti che intendono colpire.
L’attività di Scattered Spider rappresenta quasi la metà degli attacchi
Dopo un periodo molto attivo nell’estate del 2025, Scattered Spider ha rappresentato il 42,9% di tutti gli alert relativi ad attori malevoli nella seconda metà dell’anno. Kimsuky (dalla Corea del Nord), APT29 (dalla Russia), CURIUM (dall’Iran) e Mustard Tempest (senza affiliazione specifica a stati nazionali) sono stati i gruppi più attivi, rispettivamente dal secondo al quinto
posto. Sulla base di questi risultati e date le attuali tensioni geopolitiche, Nozomi prevede che le attività legate a Cina, Iran e Russia saranno le tendenze dominanti da monitorare nel 2026.
L’Italia registra un profilo di minaccia distintivo: Data Manipulation e attacchi al manifatturiero
L’Italia presenta un quadro di minacce peculiare rispetto al panorama globale dove dominano gli attacchi Adversary-in-the-Middle (AiTM), in Italia la tecnica più utilizzata è stata la Data Manipulation, responsabile di oltre un quarto di tutti gli alert. Questa è stata anche la tecnica principale nel periodo di rilevazione precedente, confermandola come un pattern di minaccia strutturale e persistente piuttosto che un picco stagionale. Il Brute Force si è classificato al secondo posto. Questo profilo suggerisce che gli attaccanti che prendono di mira l’Italia si concentrano sulla corruzione silenziosa dei dati operativi: che può indurre decisioni errate, innescare processi non sicuri, creare non conformità normative e causare danni significativi a valle prima che qualcuno si renda conto che i dati sono compromessi.
Il settore più colpito in Italia è stato il manifatturiero, seguito dai trasporti. Considerando la peculiare base industriale italiana questo dato assume rilevanza strategica. Gli attacchi al manifatturiero possono bloccare le linee di produzione, provocare perdite finanziarie e interrompere le supply chain con effetti a cascata.
Tra gli incidenti più rilevanti, nell’estate 2025 diversi hotel italiani sono stati compromessi in un attacco coordinato che ha portato al furto di decine di migliaia di documenti d’identità.
Approfondimenti sulla sicurezza e raccomandazioni per proteggere le infrastrutture critiche
“Le infrastrutture critiche non hanno mai affrontato un panorama di minacce più pericoloso, e la scala e la gravità degli attacchi contro di esse non faranno che aumentare”, spiega Chris Grove, Director of Cybersecurity Strategy di Nozomi Networks. “È imperativo per gli operatori comprendere l’attuale panorama delle minacce e preparare i propri sistemi di conseguenza. Devono stabilire una chiara visibilità degli asset, sfruttare sistemi di sicurezza basati sull’intelligenza artificiale per rilevare anomalie e minacce, dare priorità alla gestione delle vulnerabilità basata sul rischio e consentire la condivisione di intelligence per tenere il passo con le tattiche in evoluzione.”
