Secondo il nuovo Sophos Active Adversary Report 2026, il 67% di tutti gli incidenti informatici analizzati lo scorso anno dai team Sophos Incident Response (IR) e Managed Detection and Response (MDR) sia conseguenza di attacchi basati sulle identità compromesse.
I risultati del report mettono in evidenza come i cybercriminali continuino a sfruttare la disponibilità di credenziali compromesse, tecniche di autenticazione multifattore (MFA) carenti o assenti e sistemi per la gestione delle identità scarsamente protetti — spesso senza nemmeno bisogno di ricorrere a tool o tecniche particolarmente innovativi.
Tra i principali risultati della ricerca si segnalano:
- Un passaggio dallo sfruttamento delle vulnerabilità all’utilizzo di credenziali compromesse, dove gli attacchi a forza bruta (15,6%) sono quasi alla pari con gli exploit (16%) come metodo di accesso iniziale.
- Il tempo di permanenza mediano è sceso a tre giorni: il dato può essere ricondotto sia ai movimenti degli autori degli attacchi sia alla maggior rapidità di reazione dei responsabile della cybersecurity. Ciò è stato particolarmente evidente negli ambienti MDR.
- Gli autori degli attacchi raggiungono Active Directory (AD) in tempi sempre più rapidi. Una volta entrato nell’ambiente di un’azienda, bastano 3 ore e 40 per arrivare al server AD.
- I dati confermano inoltre che gli attacchi ransomware colpiscono al di fuori dal tradizionale orario lavorativo. L’88% dei payload veicolati dal ransomware viene infatti installato di notte o nei giorni festivi, così come il 79% dell’esfiltrazione di dati avviene fuori dagli orari di ufficio.
- L’assenza di telemetria mina le iniziative difensive. I casi di mancanza di log per cause legate alla conservazione dei dati sono raddoppiati rispetto all’anno precedente: un aumento largamente dovuto alle appliance firewall che per default mantengono i dati solo per sette giorni o, in alcuni casi, addirittura per 24 ore.
Crescono gli attacchi basati sull’identità compromesse e permangono le carenze nella MFA
Il report evidenzia una continua crescita negli attacchi che scaturiscono da identità compromesse a causa di furti di credenziali, attacchi brute force (che consistono nel tentare sistematicamente tutte le possibili combinazioni di password, chiavi crittografiche o PIN fino a indovinare quella corretta) e phishing. Pur continuando a sfruttare le vulnerabilità, i malintenzionati utilizzano sempre più spesso account validi per effettuare gli accessi iniziali in modo da scavalcare le tradizionali difese perimetrali. Nel 59% dei casi si assiste anche alla mancanza di MFA, il che facilita l’abuso di credenziali rubate e compromesse per poter entrare negli ambienti delle aziende.
“La scoperta più preoccupante del rapporto è in realtà il risultato di anni di sviluppo: la predominanza degli accessi iniziali basati sullo sfruttamento delle identità. Credenziali compromesse, attacchi a forza bruta, phishing e altre tattiche approfittano di carenze che non possono essere risolte dalla semplice applicazione di patch. Le aziende devono seguire un approccio proattivo alla sicurezza delle identità”, ha dichiarato John Shier, Field CISO e principale autore del report.
Più gruppi di attaccanti, rischi più ampi
I ricercatori Sophos hanno osservato il più alto numero di gruppi di malintenzionati attivi mai registrato nella storia del report, un dato che amplia il panorama complessivo delle minacce e aumenta le difficoltà di attribuzione degli attacchi.
- Akira (GOLD SAHARA) e Qilin (GOLD FEATHER) sono stati i gruppi più attivi nel settore del ransomware, con Akira responsabile del 22% degli incidenti
- Sono stati rilevati 51 gruppi specializzati in ransomware, 27 dei quali già noti e 24 di nuova identificazione
- Solamente quattro brand o tecniche — LockBit, MedusaLocker, Phobos e l’abuso di BitLocker — persistono ininterrottamente dal 2020, il primo anno in cui sono stati raccolti dati per lo studio Active Adversary Report
“L’attività delle forze dell’ordine continua a far sentire i suoi effetti nell’ecosistema del ransomware. Pur osservando ancora attività da parte di LockBit, questo gruppo non può più vantare il predominio e la reputazione di cui godeva una volta. Ciò ha però scatenato una quantità di altri attori che si sono messi in lizza per conquistare il primato, oltre all’emergere di molti altri gruppi. Per chi si deve difendere è importante conoscere i vari gruppi attivi e le loro TTP (tecniche, tattiche e procedure) in modo da proteggersi al meglio”, ha proseguito Shier.
L’impatto reale della AI
Nonostante tutte le previsioni, Sophos non ha trovato riscontri di radicali trasformazioni AI-driven nei comportamenti dei malintenzionati. Anche se la AI generativa ha aumentato la velocità e la qualità delle azioni di phishing e social engineering, tuttavia non ha ancora prodotto tecniche di attacco davvero nuove.
“La AI sta aggiungendo scala e rumore, ma ancora non riesce a sostituirsi agli attaccanti. In futuro la GenAI potrebbe diventare il nuovo acceleratore di questo settore, ma al momento contano ancora i fondamentali: solida protezione delle identità, telemetria affidabile e capacità di reagire rapidamente quando qualcosa va storto”, ha concluso Shier.
Consigli per difendersi
In base ai dati emersi dallo studio 2026 Active Adversary Report, Sophos consiglia alle aziende di:
- Implementare tecniche MFA anti-phishing e convalidarne la configurazione
- Ridurre l’esposizione delle infrastrutture di identità e dei servizi rivolti a Internet
- Applicare tempestivamente patch per le vulnerabilità note, specialmente sui dispositivi edge
- Assicurare il monitoraggio 24/7 mediante MDR o capacità equivalenti
- Conservare e preservare i log di sicurezza per supportare le attività di rilevamento rapido e analisi
Lo studio 2026 Sophos Active Adversary Report ha analizzato 661 casi IR e MDR gestiti tra il 1° novembre 2024 e il 31 ottobre 2025 per conto di aziende presenti in 70 Paesi e attive in 34 settori differenti.
