Il nuovo Annual Threat Report 2025 di Sophos lancia un allarme preciso: i dispositivi di rete periferici – firewall, router e VPN – rappresentano il punto debole più sfruttato dai cybercriminali. Con una crescita dell’esposizione dovuta a dispositivi obsoleti e scarsamente aggiornati, l’anno 2024 ha visto un’impennata di attacchi contro le PMI, spesso impreparate a fronteggiare minacce così evolute e mirate.
I dispositivi edge come porta d’ingresso
Nel 2024 quasi un attacco su tre si è concretizzato attraverso dispositivi edge. Firewall, router e soprattutto VPN non aggiornate si sono rivelati l’anello debole della catena. Sophos definisce questi apparati “detriti digitali”: dispositivi a fine vita, connessi a Internet, dimenticati nei processi di aggiornamento e quindi estremamente vulnerabili. Secondo Sean Gallagher, Principal Threat Researcher di Sophos, sono proprio questi dispositivi trascurati a garantire ai cybercriminali l’accesso più efficace alle reti aziendali.
Le VPN sotto assedio
Le VPN aziendali sono risultate il punto di compromissione più diffuso, coinvolte in oltre il 25% degli attacchi totali, compresi quelli che hanno portato a ransomware o esfiltrazione di dati. Sempre più spesso gli attaccanti riescono a sfruttare configurazioni deboli o vulnerabilità note senza ricorrere a malware personalizzato. Un approccio che consente maggiore discrezione e rapidità di esecuzione, rendendo più difficile l’intervento tempestivo dei team di sicurezza.
Ransomware ancora protagonista
Il ransomware si conferma la minaccia principale: ha colpito più del 90% delle aziende di medie dimensioni e circa il 70% delle piccole imprese analizzate. Si tratta di percentuali elevate che dimostrano come le campagne malevole siano sempre più su misura per colpire anche realtà non strutturate, spesso senza sistemi di difesa adeguati.
L’autenticazione a due fattori non basta più
Il report evidenzia come anche le autenticazioni multifattoriali (MFA) non offrano più le stesse garanzie di una volta. Gli attaccanti sfruttano tecniche come l’adversary-in-the-middle, ovvero l’intercettazione dei token di autenticazione tramite siti di phishing che replicano i portali ufficiali. Una modalità che consente il furto delle credenziali pur in presenza di MFA, rendendo necessarie contromisure più robuste.
Remote access: il paradosso degli strumenti legittimi
Più di un terzo delle compromissioni è avvenuto tramite strumenti commerciali per il remote access, come quelli usati legittimamente per assistenza tecnica o telelavoro. I cybercriminali ne sfruttano l’uso diffuso e la configurazione talvolta permissiva per operare indisturbati dall’interno della rete bersaglio, mimetizzandosi tra i processi leciti.
Social engineering in evoluzione
Le tecniche di ingegneria sociale si evolvono: oltre all’e-mail phishing tradizionale, si fa largo il quishing (QR code malevoli) e il vishing (chiamate vocali fraudolente). Il report documenta veri e propri assalti con migliaia di email spam inviate in brevissimo tempo per confondere le difese e aumentare le probabilità di successo.
Conclusione
L’Annual Threat Report 2025 conferma che la sicurezza informatica aziendale non può più fare affidamento solo su firewall e MFA. L’aggiornamento continuo, il monitoraggio dei dispositivi obsoleti e l’adozione di soluzioni di detection avanzate come quelle offerte da Sophos MDR diventano fondamentali per contenere l’esposizione e reagire con efficacia. In un contesto dove anche strumenti legittimi possono trasformarsi in veicoli d’attacco, è la visibilità su tutta la superficie di rete – edge incluso – a fare la differenza.
