Il Sophos Active Adversary Report 2026 fotografa un anno in cui gli attacchi informatici hanno avuto come fulcro le identità digitali. Secondo l’analisi condotta dai team Incident Response (IR) e Managed Detection and Response (MDR) di Sophos, il 67% degli incidenti esaminati tra novembre 2024 e ottobre 2025 è riconducibile ad attacchi basati sulle identità. Il dato conferma un cambiamento strutturale nel panorama delle minacce: i cybercriminali puntano sempre meno su vulnerabilità tecniche complesse e sempre più su credenziali compromesse, configurazioni MFA inadeguate e sistemi di gestione delle identità poco protetti.
Dalle vulnerabilità agli account validi
Il report evidenzia un equilibrio tra exploit di vulnerabilità e utilizzo di credenziali sottratte. Gli attacchi brute force rappresentano il 15,6% dei vettori di accesso iniziale, mentre gli exploit si attestano al 16%. Nel 59% dei casi analizzati manca un sistema MFA efficace. Questa assenza facilita l’abuso di credenziali rubate e consente agli attaccanti di superare le difese perimetrali con account legittimi. John Shier, Field CISO di Sophos e autore principale del report, sottolinea che la predominanza degli accessi basati sulle identità non può essere risolta con semplici patch. Serve un approccio strutturale alla protezione delle identità digitali.
Tempi di attacco più rapidi e AD nel mirino
Il tempo di permanenza mediano degli attaccanti è sceso a tre giorni. Il dato riflette sia la rapidità operativa dei gruppi criminali sia una maggiore capacità di risposta da parte dei team di sicurezza, soprattutto negli ambienti MDR. Una volta ottenuto l’accesso iniziale, gli attaccanti raggiungono Active Directory (AD) in media in 3 ore e 40 minuti. Questo intervallo ridotto evidenzia l’importanza di monitoraggio continuo e segmentazione delle infrastrutture critiche.
Ransomware fuori orario
Il report conferma che gli attacchi ransomware colpiscono prevalentemente al di fuori degli orari lavorativi. L’88% dei payload ransomware viene installato di notte o nei giorni festivi. Il 79% dell’esfiltrazione dei dati avviene anch’esso fuori dall’orario d’ufficio. La scelta temporale mira a ridurre le probabilità di rilevamento immediato e a massimizzare l’impatto sull’organizzazione.
Carenza di telemetria e log insufficienti
Un altro elemento critico riguarda la mancanza di log adeguati. I casi di assenza di telemetria legata alla conservazione dei dati sono raddoppiati rispetto all’anno precedente. Molte appliance firewall mantengono i log per impostazione predefinita solo per sette giorni, in alcuni casi per 24 ore. Questa limitazione compromette la capacità di analisi forense e di risposta tempestiva.
Più gruppi criminali, maggiore frammentazione
I ricercatori hanno rilevato il numero più elevato di gruppi attivi nella storia del report. Sono stati identificati 51 gruppi ransomware, di cui 27 già noti e 24 di nuova individuazione.
Tra i gruppi più attivi figurano Akira (GOLD SAHARA), responsabile del 22% degli incidenti ransomware, e Qilin (GOLD FEATHER). Dal 2020 solo quattro brand o tecniche risultano presenti in modo continuativo: LockBit, MedusaLocker, Phobos e l’abuso di BitLocker. Secondo Sophos, le azioni delle forze dell’ordine hanno indebolito alcuni gruppi storici, ma la conseguenza è stata una frammentazione del panorama criminale con nuovi attori pronti a competere.
L’impatto reale dell’intelligenza artificiale
Nonostante le previsioni, Sophos non rileva trasformazioni radicali legate all’uso della AI generativa negli attacchi. La tecnologia ha aumentato la qualità e la scala delle campagne di phishing e social engineering, ma non ha introdotto tecniche realmente innovative.
La difesa, secondo il report, continua a basarsi su elementi fondamentali: protezione robusta delle identità, telemetria affidabile e capacità di risposta rapida.
Le raccomandazioni per le aziende
Alla luce dei dati raccolti su 661 casi gestiti in 70 Paesi e 34 settori, Sophos indica alcune priorità operative. È necessario implementare MFA anti-phishing e verificarne la configurazione. Occorre ridurre l’esposizione delle infrastrutture di identità e dei servizi esposti su Internet. Le patch per vulnerabilità note, in particolare sui dispositivi edge, devono essere applicate senza ritardi. Il monitoraggio continuo 24 ore su 24 tramite MDR o capacità equivalenti rappresenta un requisito strategico. Infine, la conservazione estesa dei log di sicurezza risulta essenziale per garantire rilevamento e analisi efficaci.
