Secondo i dati di Barracuda Managed XDR, tra gennaio e marzo 2026 si è registrato un forte aumento di attacchi alle aziende. In particolare è stato evidenziata una crescita dei tentativi di autenticazione brute-force ai danni di dispositivi SonicWall e FortiGate. Queste segnalazioni hanno rappresentato oltre la metà (56%) di tutti gli incidenti comprovati rilevati dal Security Operations Center (SOC) nel bimestre febbraio-marzo.
Inoltre, si è rilevata una netta concentrazione geografica, con circa l’88% dei tentativi proveniente dal Medio Oriente. Sebbene la maggior parte degli attacchi non abbia avuto successo, poiché bloccati direttamente dagli strumenti di sicurezza o indirizzati a nomi utente inesistenti, la minaccia rimane alta.
I cyber criminali stanno scansionando e testando in modo aggressivo i dispositivi perimetrali alla ricerca di credenziali deboli o esposte. Anche quando gli attacchi falliscono, queste prove ripetute aumentano il rischio che una singola password debole o una configurazione errata possano portare a una compromissione dei sistemi.
Fattori di rischio e vulnerabilità strutturali
Il livello di rischio per un’azienda aumenta sensibilmente in presenza di controlli di accesso e sistemi di autenticazione inadeguati, come la mancanza di misure di verifica multifattoriale. A questo si aggiunge l’utilizzo di password deboli o riciclate per proteggere account critici su firewall e VPN, che diventano facili bersagli per gli aggressori. La vulnerabilità è ulteriormente accentuata dalla presenza di dispositivi esposti su Internet privi di un monitoraggio costante che rilevi molteplici tentativi di login falliti, così come dalla persistenza di account legacy o profili fantasma rimasti attivi ma non più utilizzati, che offrono silenziose vie d’accesso alla rete aziendale.
Ransomware Qilin: la minaccia che colpisce in pochi minuti
Qilin è attualmente uno dei gruppi di ransomware più attivi nel panorama del crimine informatico e si distingue per l’estrema rapidità d’esecuzione. I team del SOC di Barracuda hanno recentemente neutralizzato un attacco di Qilin partito dalla compromissione di un endpoint vulnerabile. Una volta eseguito il malware, l’offensiva è progredita rapidamente, manifestandosi attraverso modifiche di file su larga scala e attività di esecuzione sospette. Il team di Barracuda è prontamente intervenuto isolando la rete per contenere l’attacco e impedirne la propagazione.
Le carenze difensive che espongono al rischio ransomware
In questo caso, la probabilità di subire un incidente ransomware è strettamente legata alla mancanza di una visibilità completa sulla rete IT, elemento indispensabile per individuare movimenti laterali o manomissioni dei file, specialmente se connessi alle azioni degli utenti. Oltre all’assenza di controlli di autenticazione robusti come quelli a più fattori, pesano anche elementi quali l’eccessivo numero di dipendenti con privilegi di accesso elevati e la presenza di endpoint non protetti o scarsamente monitorati. Il rischio è ulteriormente aggravato dalla carenza di programmi di consapevolizzazione periodici per il personale, aspetto fondamentale per imparare a riconoscere le ultime tecniche di phishing e di social engineering, e da processi di backup e recovery troppo deboli per garantire il ripristino dei dati in caso di attacco.
L’ascesa degli attacchi in stile ClickFix: quando l’ingegneria sociale elude le difese
Gli esperti del SOC di Barracuda Managed XDR stanno registrando un aumento degli attacchi ispirati alla tecnica ClickFix, che porta gli utenti a infettare i propri dispositivi nella convinzione di risolvere un problema tecnico. La vittima viene infatti indotta a cliccare su qualcosa o a copiare e incollare del testo in una casella, quando in realtà ciò comporta l’esecuzione di un comando o di un file dannoso.
Più precisamente, gli attacchi ClickFix fanno leva sulla fiducia e sull’eventuale stato di agitazione degli utenti utilizzando elementi e un linguaggio familiari, come pop-up e richieste che simulano la necessità di un intervento tecnico. È proprio questo aspetto che rende le miinacce più difficili da individuare per i sistemi di sicurezza automatizzati, in quanto è l’utente stesso a inserire manualmente il codice malevolo.
Strategie di difesa e prevenzione
Per proteggere efficacemente la propria azienda, è fondamentale investire innanzitutto in programmi di formazione dei dipendenti che li sensibilizzino a consultare innanzitutto il dipartimento IT prima di eseguire alcune azioni, come cliccare su link sospetti o copiare e incollare comandi per “risolvere” problemi tecnici. Sul piano operativo, è consigliabile limitare rigorosamente l’accesso a strumenti critici come PowerShell, script o interfacce a riga di comando. Infine, l’adozione di soluzioni di sicurezza avanzate capaci di monitorare i comportamenti anomali dei processi, con particolare attenzione alle anomalie di tipo “parent-child”, permette di correlare le azioni degli utenti con l’attività degli endpoint, verificando tempestivamente eventuali esecuzioni malevole.
