Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il report

I 3 fenomeni che minacciano le aziende: quasi nove attacchi su dieci provengono dal Medio Oriente

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il Barracuda Managed XDR offre una fotografia preoccupante di quanto stia accadendo nelle reti aziendali di tutto il mondo. Ecco i tre fenomeni che si distinguono nel primo trimestre dell’anno, mentre un dato geografico emerge dall’analisi e merita una riflessione approfondita

Pubblicato il 21 apr 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

sicurezza_informatica_in_italia_cybersecurity360; Italia nel mirino dei cyber attacchi: il nostro Paese è il più esposto, ecco come proteggersi; I 3 fenomeni che minacciano le aziende: quasi nove attacchi su dieci provengono dal Medio Oriente
Foto: Shutterstock
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il panorama delle minacce informatiche continua a evolversi con ritmi serrati, e i dati raccolti nel primo trimestre del 2026 da Barracuda Managed XDR offrono una fotografia preoccupante di quanto stia accadendo nelle reti aziendali di tutto il mondo.

Comprendere la natura di queste minacce, i fattori di rischio che le alimentano e le contromisure disponibili è oggi una priorità per qualsiasi organizzazione che voglia mantenere un adeguato livello di resilienza informatica.

Ecco i tre fenomeni che si distinguono in modo particolare.

Iran, super attacchi cyber: massima allerta per le aziende italiane

I 3 fenomeni che mettono le aziende sotto pressione

Tre fenomeni si distinguono in modo particolare: l’impennata degli attacchi brute force contro i dispositivi perimetrali, la rapidità fulminante con cui il ransomware Qilin riesce a propagarsi all’interno dei sistemi colpiti, e la crescente diffusione degli attacchi ClickFix, una tecnica di ingegneria sociale che sfrutta la buona fede degli utenti per aggirare le difese automatizzate.

Il primo fronte: gli attacchi di autenticazione brute force

Sul fronte degli attacchi di autenticazione brute force, i dati del Security Operations Center di Barracuda indicano una crescita significativa dei tentativi rivolti contro dispositivi SonicWall e FortiGate nel periodo compreso tra gennaio e marzo 2026.

Si tratta di apparati largamente diffusi nelle infrastrutture aziendali con funzione di firewall e gateway VPN, il che li rende bersagli di particolare interesse per i criminali informatici: compromettere un dispositivo perimetrale equivale spesso a ottenere un accesso diretto alla rete interna dell’organizzazione, bypassando buona parte delle difese successive.

Attacchi in prevalenza dal Medio Oriente

Ildato geografico che emerge dall’analisi merita una riflessione approfondita: circal’88% dei tentativi rilevati proviene dal Medio Oriente.

Sebbene attribuire con certezza la paternità di un attacco informatico sia un’operazione complessa, una concentrazione così marcata suggerisce l’esistenza di infrastrutture organizzate e di campagne condotte in modo sistematico.

Non si tratta, in altri termini, di episodi casuali o isolati, ma di attività di scansione e testing aggressive e continuative, finalizzate a individuare credenziali deboli o configurazioni errate.

Gli attacchi di febbraio-marzo

Nel bimestre febbraio-marzo, questi incidenti hanno rappresentato oltre la metà, precisamente il 56%, di tutti gli eventi confermati registrati dal SOC. Un dato che da solo restituisce la dimensione del fenomeno.

La maggior parte degli attacchi è stata neutralizzata, sia dagli strumenti di sicurezza in uso, sia perché i tentativi erano indirizzati verso nomi utente inesistenti.

Tuttavia, sarebbe un errore interpretare questa circostanza come una ragione di rassicurazione: ogni tentativo fallito è anche una prova, e la ripetizione sistematica di queste prove aumenta la probabilità statistica che prima o poi una password debole o una configurazione non aggiornata apra una breccia nei sistemi.

Neutralizzati gli incidenti

Nel bimestre febbraio-marzo, questi incidenti hanno rappresentato oltre la metà, precisamente il 56%, di tutti gli eventi confermati registrati dal SOC. Un dato che da solo restituisce la dimensione del fenomeno.

La maggior parte degli attacchi è stata neutralizzata, sia dagli strumenti di sicurezza in uso, sia perché i tentativi erano indirizzati verso nomi utente
inesistenti.

Tuttavia, sarebbe un errore interpretare questa circostanza come una ragione di rassicurazione: ogni tentativo fallito è anche una prova, e la ripetizione sistematica di queste prove aumenta la probabilità statistica che prima o poi una password debole o una configurazione non aggiornata apra una breccia nei sistemi.

I fattori di rischio

I fattori strutturali che espongono le organizzazioni a questo tipo di attacco sono ben identificabili.

L’assenza diautenticazione multifattoriale sugli account che gestiscono firewall e VPN è tra le vulnerabilità più gravi: in sua mancanza, una credenziale compromessa è sufficiente a garantire l’accesso.

A questo si aggiunge l’utilizzo di password deboli o riciclate, pratica ancora diffusa nonostante anni di campagne di sensibilizzazione.

Contribuisce al rischio anche la presenza di dispositivi esposti su Internet privi di un monitoraggio continuo, che non segnalano in modo tempestivo sequenze anomale di tentativi di accesso falliti.

Infine, un aspetto spesso sottovalutato è la persistenza di account legacy o cosiddetti profili fantasma: utenze create in passato, mai disattivate, che restano silenziosamente accessibili e rappresentano porte d’ingresso potenzialmente inesplorate per gli attaccanti.

Il secondo fenomeno: il ransomware Qilin

Passando al secondo fronte critico emerso nel periodo analizzato, quello del ransomware Qilin, ciò che colpisce non è soltanto la pericolosità del gruppo, che si conferma tra i più attivi nel panorama del crimine informatico, ma soprattutto la velocità con cui riesce ad operare una volta ottenuto l’accesso ai sistemi.

Il SOC di Barracuda ha recentemente gestito un attacco riconducibile a Qilin, partito dalla compromissione di un endpoint vulnerabile. Dopo l’esecuzione del malware, l’offensiva ha prodotto in pochi minuti modifiche di file su larga scala accompagnate da attività di esecuzione sospette, costringendo il team di risposta a isolare la rete per contenere la propagazione.

Questa rapidità operativa rappresenta una sfida concreta per i team di sicurezza: la finestra temporale disponibile per individuare la minaccia e reagire è estremamente ridotta, e qualsiasi ritardo nella rilevazione si traduce quasi inevitabilmente in un danno maggiore.

Cosa favorisce l’attacco ransomware di Qilin

Le condizioni che favoriscono il successo di un attacco ransomware come quello di Qilin riguardano anzitutto la mancanza di visibilità completa sulla rete, che impedisce di individuare movimenti laterali o anomalie nei comportamenti dei file.

Pesano inoltre l’assenza di autenticazione multifattoriale, l’eccesso di dipendenti con privilegi di accesso elevati, la presenza di endpoint non protetti o monitorati in modo insufficiente, e processi di backup e ripristino inadeguati a garantire il recupero dei dati in tempi accettabili dopo un incidente.

Un aspetto che merita attenzione è la relazione tra la formazione del personale e la prevenzione del ransomware: molti attacchi di questo tipo hanno origine da campagne di phishing o di social engineering che vanno a buon fine proprio perché chi le riceve non è in grado di riconoscerle.

La sensibilizzazione periodica dei dipendenti sulle tecniche di inganno più recenti è quindi una componente della difesa tanto rilevante quanto gli strumenti tecnologici.

Il terzo fenomeno: la tecnica ClickFix

Su questo tema si innesta il terzo fronte di preoccupazione emerso dall’analisi di Barracuda: la diffusione degli attacchi ispirati alla tecnica ClickFix.

Si tratta di una modalità di attacco basata sull’ingegneria sociale che porta l’utente a eseguire autonomamente codice malevolo, nella convinzione di stare risolvendo un problema tecnico.

La vittima viene indotta a cliccare su un elemento o a copiare e incollare un comando in una casella, un’operazione apparentemente innocua, che in realtà attiva l’esecuzione di un file o di uno script dannoso.

L’efficacia di questa tecnica risiede nella sua capacità di sfruttare la fiducia e, in certi casi, lo stato di urgenza o preoccupazione dell’utente.

I pop-up e le richieste visualizzate imitano comunicazioni tecniche legittime, riproducono loghi familiari, usano un linguaggio plausibile.

Questa verosimiglianza rende la minaccia particolarmente insidiosa non solo per l’utente, ma anche per i sistemi di sicurezza automatizzati: poiché è la persona stessa a inserire manualmente il codice, l’azione può non essere immediatamente distinguibile da una normale attività utente, almeno nelle prime fasi dell’attacco.

Occorre cambiare approccio alla sicurezza

Il quadro complessivo che emerge dall’analisi di Barracuda Managed XDR per il primo trimestre 2026 indica con chiarezza che le minacce informatiche si stanno facendo più rapide, più frequenti e più difficili da intercettare con le sole difese automatizzate.

La combinazione di attacchi tecnici, come il brute force contro i dispositivi perimetrali, con tecniche di manipolazione sociale sempre più sofisticate, come ClickFix, e con ransomware capaci di agire in pochi minuti, come Qilin, richiede un approccio alla sicurezza che sia allo stesso tempo tecnologico, procedurale e culturale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • faraday bag

  • la guida

    Faraday bag, a cosa servono per la privacy e la sicurezza su smartphone (e a cosa no)

    19 Mar 2026

    di Redazione Cybersecurity360.it

    Condividi
  • AI Act: scattano i primi divieti

  • intelligenza artificiale

    AI Act, un anno dopo i primi divieti: il bilancio della conformità e le nuove scadenze della governance

    05 Mar 2026

    di Redazione Cybersecurity360.it

    Condividi
  • Microimprese come soggetti NIS 2: come risolvere il paradosso della direttiva

  • Il caso

    Microimprese come soggetti NIS 2: come risolvere il paradosso della direttiva

    29 Lug 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Phishing PagoPA; Device Code Phishing: come proteggersi da un account takeover attraverso una forma di phishing nascosta; Neutralizzata Tycoon 2FA: come il kit phishing che aggirava l'MFA ha compromesso decine di migliaia di account

  • attacchi informatici

    Device Code Phishing: la minaccia che non ruba password, ma compromette gli account utente

    22 Dic 2025

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x