Cisco Talos, cresce il phishing nel primo trimestre 2026
Pubblica Amministrazione e Sanità i più colpiti
Anche il ransomware è in lieve aumento, ma per fortuna resta a livelli contenuti
Milano, 27 aprile 2026 – Il phishing si conferma, anche nel primo trimestre del 2026, come il principale vettore di accesso iniziale per i criminali informatici. Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha risposto a una campagna di phishing che ha colpito soprattutto la pubblica amministrazione. Nei numerosi attacchi i criminali hanno utilizzato una piattaforma per la creazione di applicazioni web denominata Softr, realizzando una pagina fraudolenta destinata a sottrarre credenziali: si tratta del primo caso documentato da Cisco Talos in cui viene osservato l’utilizzo di uno strumento basato su intelligenza artificiale in una campagna di phishing.
Più in generale, gruppi cybercriminali e realtà legate a Stati nazionali stanno già utilizzando modelli linguistici avanzati per generare contenuti ingannevoli e supportare attività malevole. Anche servizi DDoS “as-a-service” integrano tecniche di intelligenza artificiale per rendere gli attacchi più efficaci ed evasivi.
Il report evidenzia come l’adozione dell’AI stia abbassando le barriere tecniche per i criminali informatici, rendendo più semplice e veloce la creazione di campagne di phishing. Grazie a funzionalità automatizzate e template preconfigurati, è possibile generare pagine fraudolente e raccogliere credenziali senza competenze di programmazione, accelerando la scala e la velocità degli attacchi.
Il collettivo Cremisi colpisce per la prima volta
Cisco Talos ha gestito il primo incidente attribuito a Crimson Collective, un gruppo di estorsione informatica emerso nel settembre 2025. L’attacco ha sfruttato account legittimi per ottenere l’accesso iniziale, una delle tecniche più diffuse del trimestre, insieme allo sfruttamento di vulnerabilità, presente nel 25% dei casi analizzati. L’intrusione è partita dalla pubblicazione accidentale di un token GitHub su un sito pubblico, che ha lasciato l’organizzazione esposta per mesi. Gli attaccanti hanno poi utilizzato strumenti legittimi per cercare credenziali in repository pubblici e privati, fino a ottenere accesso allo storage cloud Azure della vittima. L’episodio evidenzia una tendenza crescente: l’abuso di strumenti e servizi legittimi per rendere gli attacchi più difficili da rilevare.
Tendenze ransomware
Dal canto suo il ransomware, pur mostrando un lieve aumento, resta per fortuna su livelli contenuti. Gli incidenti in fase pre-ransomware hanno rappresentato il 18% delle attività gestite nel trimestre e, grazie a interventi tempestivi, non si sono verificati casi di cifratura dei dati. Il dato è in crescita rispetto al trimestre precedente (13% tra ransomware e pre-ransomware), ma resta nettamente inferiore alla prima metà del 2025, quando questi attacchi avevano raggiunto circa il 50% dei casi.
L’attribuzione in questa fase iniziale rimane complessa, ma alcune attività sono riconducibili ai gruppi Rhysida e Money Message. Inoltre, anche se non si osservano picchi significativi di attività da parte delle principali piattaforme ransomware-as-a-service come Qilin o Akira, i loro siti di pubblicazione dei dati continuano a essere aggiornati con regolarità.
Targeting
La Pubblica Amministrazione e il Settore Sanitario si confermano tra i settori più colpiti. Già nel terzo trimestre 2025 la PA era emersa come il settore più coinvolto negli incidenti gestiti, posizione mantenuta anche nei trimestri successivi.
Le organizzazioni pubbliche restano bersagli privilegiati: spesso operano con risorse limitate e infrastrutture meno aggiornate, e di contro devono gestire grandi volumi di dati sensibili, e soprattutto non possono sostenere interruzioni prolungate dei servizi. Questa combinazione le rende obiettivi attrattivi sia per gruppi criminali motivati dal profitto sia per attori legati ad attività di spionaggio.
Accesso iniziale
Il phishing torna a essere il principale vettore di accesso iniziale, rappresentando oltre un terzo dei casi in cui è stato possibile identificarne l’origine. Dopo aver guidato gli attacchi nella prima metà del 2025, era stato temporaneamente superato dallo sfruttamento di applicazioni esposte su internet.
Le raccomandazioni di Cisco Talos
Per gestire le principali debolezze di sicurezza, è necessario intervenire su più fronti.
In primo luogo, l’autenticazione multifattore (MFA) e i controlli di accesso devono essere implementati e configurati correttamente: nel 35% degli incidenti analizzati questo trimestre, le criticità hanno riguardato MFA assente, incompleta o aggirata, soprattutto nei servizi di accesso remoto.
Un altro elemento chiave è la gestione tempestiva delle patch: infrastrutture vulnerabili o esposte sono state coinvolte nel 25% dei casi, spesso a causa dello sfruttamento di falle note o di servizi di amministrazione accessibili da Internet.
Infine, la visibilità resta essenziale: nel 18% degli incidenti, una visibilità insufficiente ha ostacolato le attività di analisi e risposta. L’adozione di sistemi di logging centralizzato, come le piattaforme SIEM, può migliorare la rilevazione e l’investigazione degli attacchi.
A proposito di Cisco
Cisco (NASDAQ: CSCO) è il leader tecnologico mondiale che connette tutto in modo sicuro per rendere tutto possibile. Il nostro obiettivo è quello di creare un futuro inclusivo per tutti, aiutando i nostri clienti a reimmaginare le loro applicazioni, ad alimentare il lavoro ibrido, a proteggere le loro aziende, a trasformare le loro infrastrutture e a raggiungere i loro obiettivi di sostenibilità. Scopri di più sulla sezione italiana di EMEA Network e seguici su Twitter @Cisco. Digitaliani: l'impegno Cisco per la Digitalizzazione del Paese.
Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in altri Paesi. Un elenco dei marchi Cisco è disponibile all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati appartengono ai rispettivi proprietari. L'uso del termine partner non implica un rapporto di partnership tra Cisco e altre aziende.
Ufficio Stampa Cisco: Marianna Ferrigno - pressit@external.cisco.com
Prima Pagina Comunicazione – Francesco Petruzzi – francesco@primapagina.it