Le casistiche IR e MDR mostrano come ai cybercriminali siano sufficienti solamente tre giorni per riuscire a esfiltrare i dati

Per il secondo anno consecutivo la causa principale restano le credenziali compromesse

MILAN, IT — Aprile 3, 2025 —

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi lo studio 2025 Sophos Active Adversary Report che analizza nel dettaglio i comportamenti e le tecniche degli autori dei cyberattacchi così come emergono da oltre 400 casistiche MDR (Managed Detection Response) e IR (Incident Response) affrontate nel corso del 2024. Il report ha rilevato come la percentuale di aziende colpite da cyberattacchi che non disponevano di autenticazione multifattore (MFA) è pressoché triplicata dal 2022 al 2024 passando dal 22% al 63%: un dato a cui si affianca per il secondo anno consecutivo la preponderanza (41%) dei casi di credenziali compromesse quale causa primaria dei cyberattacchi.

L'abuso di credenziali compromesse appare più evidente nel punto di accesso iniziale più frequentemente sfruttato: i servizi remoti esterni. Nel 71% dei casi i cybercriminali sono infatti riusciti a violare le reti delle loro vittime attraverso servizi remoti esterni inclusi i dispositivi edge, come firewall e VPN. Nel 79% di questi casi gli autori degli attacchi hanno potuto disporre dei servizi remoti esterni grazie all'impiego di credenziali compromesse.

Capire la velocità degli attacchi

Nell'analisi delle indagini MDR e IR, il team Sophos X-Ops ha esaminato in particolare le casistiche di ransomware, esfiltrazione di dati ed estorsione per misurare la velocità con cui i cybercriminali si sono mossi attraverso le varie fasi degli attacchi. In queste tre tipologie di casistica, il tempo medio trascorso fra l'inizio dell'attacco e l'esfiltrazione è stato di sole 72,98 ore (3,04 giorni), con un intervallo mediano di 2,7 ore tra l'esfiltrazione e il rilevamento dell'attacco.

“La sicurezza passiva non è più sufficiente. Anche se la prevenzione è essenziale, una risposta rapida è fondamentale. Le aziende devono monitorare attivamente le loro reti e agire rapidamente in base ai dati telemetrici osservati. Gli attacchi coordinati sferrati da avversari motivati richiedono una difesa altrettanto coordinata. Per molte aziende questo significa combinare conoscenze interne specifiche con capacità di rilevamento e risposta guidate da esperti. Il nostro studio conferma come le aziende dotate di monitoraggio proattivo riescano a rilevare gli attacchi in tempi più brevi e conseguire risultati migliori”, ha dichiarato John Shier, field CISO.

Altri dati emersi dallo studio 2025 Sophos Active Adversary Report:

  • I cybercriminali riescono ad assumere il controllo di un sistema in sole 11 ore:l'intervallo mediano tra l'azione di attacco iniziale e il primo tentativo (spesso riuscito) di violazione di Active Directory (AD), indiscutibilmente uno degli asset più importanti di qualsiasi rete Windows, è di sole 11 ore. In caso di successo gli attaccanti possono assumere molto più facilmente il controllo dell'intera azienda.
  • I principali gruppi ransomware presenti nelle casistiche Sophos:Akira è il gruppo dedito al ransomware più frequentemente incontrato nel 2024, seguito da Fog e LockBit (nonostante il takedown di LockBit eseguito dalle forze dell'ordine nel corso dell'anno).
  • Il tempo di permanenza è sceso a soli 2 giorni, grazie soprattutto alle attività MDR: nel 2024 il tempo di permanenza o dwell time – quello che intercorre fra l'inizio di un attacco e il suo rilevamento – è sceso da 4 a 2 giorni, soprattutto per l'aggiunta delle casistiche MDR al dataset esaminato dallo studio.
  • Tempo di permanenza nelle casistiche IR:stabile a 4 giorni per gli attacchi ransomware e 11,5 giorni per tutte le altre casistiche.
  • Tempo di permanenza nelle casistiche MDR: pari a soli 3 giorni per le casistiche ransomware e solo 1 giorno per le altre, a indicare come i team MDR siano in grado di rilevare e affrontare più rapidamente gli attacchi.
  • I gruppi ransomware fanno gli straordinari:nel 2024, l'84% del codice binario ransomware è stato rilasciato al di fuori del normale orario d'ufficio delle vittime.
  • Prosegue il predominio di RDP:l'abuso di Remote Desktop Protocol è stato rilevato nell'84% delle casistiche MDR/IR, rendendolo il tool Microsoft sfruttato più frequentemente per i cyberattacchi.

È possibile consultare It Takes Two: The 2025 Sophos Active Adversary Report su Sophos.com.

Informazioni su Sophos

Sophos è un leader globale e innovatore di soluzioni di sicurezza avanzate per sconfiggere gli attacchi informatici. L'azienda ha acquisito Secureworks il Febbraio 2025, unendo due pionieri che hanno ridefinito l'industria della cybersicurezza con i loro servizi, tecnologie e prodotti innovativi e ottimizzati grazie all'intelligenza artificiale nativa. Sophos è ora il più grande fornitore di servizi di Managed Detection and Response (MDR), a supporto di oltre 28.000 organizzazioni. Oltre a MDR e ad altri servizi, il portfoglio completo di Sophos comprende soluzioni leader di mercato per endpoint, network, email e cloud security che interagiscono attraverso la piattaforma Sophos Central e innalzano le barriere di sicurezza. Secureworks fornisce l'innovativa Taegis XDR/MDR, anch’essa leader di mercato, l’ identity threat detection and response (ITDR), le capacità SIEM di nuova generazione, il managed risk e un ampio set di Advisory Services. Sophos vende tutte queste soluzioni attraverso partner rivenditori, Managed Service Provider (MSP) e Managed Security Service Provider (MSSP) in tutto il mondo, difendendo oltre 600.000 organizzazioni da phishing, ransomware, furto di dati, altri crimini informatici quotidiani e state-sponsored. Le soluzioni sono alimentate dall'intelligence sulle minacce acquisita storicamente e in tempo reale di Sophos X-Ops e dal Counter Threat Unit (CTU) appena aggiunto. Sophos ha sede a Oxford, Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.