Vai al contenuto
Inizia
Open search

Sophos Press

Sophos Active Adversary Report 2026: un anno segnato dagli attacchi basati sulle identità e dalla proliferazione dei gruppi cybercriminali

Due terzi degli incidenti informatici sono conseguenza di vulnerabilità relative alla gestione delle identità; i malintenzionati si muovono più rapidamente e colpiscono al fuori dagli orari di lavoro

MILANO, IT

Sophos, leader mondiale e innovatore nelle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, presenta il nuovo Sophos Active Adversary Report 2026 dal quale si evince come il 67% di tutti gli incidenti informatici analizzati lo scorso anno dai team Sophos Incident Response (IR) e Managed Detection and Response (MDR) sia conseguenza di attacchi basati sulle identità.

I risultati del report mettono in evidenza come i cybercriminali continuino a sfruttare la disponibilità di credenziali compromesse, tecniche di autenticazione multifattore (MFA) carenti o assenti e sistemi per la gestione delle identità scarsamente protetti — spesso senza nemmeno bisogno di ricorrere a tool o tecniche particolarmente innovativi.

Tra i principali risultati della ricerca si segnalano:

  • Un passaggio dallo sfruttamento delle vulnerabilità all'utilizzo di credenziali compromesse, dove gli attacchi a forza bruta (15,6%) sono quasi alla pari con gli exploit (16%) come metodo di accesso iniziale.
  • Il tempo di permanenza mediano è sceso a tre giorni: il dato può essere ricondotto sia ai movimenti degli autori degli attacchi sia alla maggior rapidità di reazione dei responsabile della cybersecurity. Ciò è stato particolarmente evidente negli ambienti MDR.
  • Gli autori degli attacchi raggiungono Active Directory (AD) in tempi sempre più rapidi. Una volta entrato nell'ambiente di un'azienda, bastano 3 ore e 40 per arrivare al server AD.
  • I dati confermano inoltre che gli attacchi ransomware colpiscono al di fuori dal tradizionale orario lavorativo. L'88% dei payload veicolati dal ransomware viene infatti installato di notte o nei giorni festivi, così come il 79% dell'esfiltrazione di dati avviene fuori dagli orari di ufficio.
  • L'assenza di telemetria mina le iniziative difensive. I casi di mancanza di log per cause legate alla conservazione dei dati sono raddoppiati rispetto all'anno precedente: un aumento largamente dovuto alle appliance firewall che per default mantengono i dati solo per sette giorni o, in alcuni casi, addirittura per 24 ore.

Crescono gli attacchi basati sull'identità e permangono le carenze nella MFA

Il report evidenzia una continua crescita negli attacchi che scaturiscono da identità compromesse a causa di furti di credenziali, attacchi brute force (che consistono nel tentare sistematicamente tutte le possibili combinazioni di password, chiavi crittografiche o PIN fino a indovinare quella corretta) e phishing. Pur continuando a sfruttare le vulnerabilità, i malintenzionati utilizzano sempre più spesso account validi per effettuare gli accessi iniziali in modo da scavalcare le tradizionali difese perimetrali. Nel 59% dei casi si assiste anche alla mancanza di MFA, il che facilita l'abuso di credenziali rubate e compromesse per poter entrare negli ambienti delle aziende.

“La scoperta più preoccupante del rapporto è in realtà il risultato di anni di sviluppo: la predominanza degli accessi iniziali basati sullo sfruttamento delle identità. Credenziali compromesse, attacchi a forza bruta, phishing e altre tattiche approfittano di carenze che non possono essere risolte dalla semplice applicazione di patch. Le aziende devono seguire un approccio proattivo alla sicurezza delle identità”, ha dichiarato John Shier, Field CISO e principale autore del report.

Più gruppi di attaccanti, rischi più ampi

I ricercatori Sophos hanno osservato il più alto numero di gruppi di malintenzionati attivi mai registrato nella storia del report, un dato che amplia il panorama complessivo delle minacce e aumenta le difficoltà di attribuzione degli attacchi.

  • Akira (GOLD SAHARA) e Qilin (GOLD FEATHER) sono stati i gruppi più attivi nel settore del ransomware, con Akira responsabile del 22% degli incidenti
  • Sono stati rilevati 51 gruppi specializzati in ransomware, 27 dei quali già noti e 24 di nuova identificazione
  • Solamente quattro brand o tecniche — LockBit, MedusaLocker, Phobos e l'abuso di BitLocker — persistono ininterrottamente dal 2020, il primo anno in cui sono stati raccolti dati per lo studio Active Adversary Report

“L'attività delle forze dell'ordine continua a far sentire i suoi effetti nell'ecosistema del ransomware. Pur osservando ancora attività da parte di LockBit, questo gruppo non può più vantare il predominio e la reputazione di cui godeva una volta. Ciò ha però scatenato una quantità di altri attori che si sono messi in lizza per conquistare il primato, oltre all'emergere di molti altri gruppi. Per chi si deve difendere è importante conoscere i vari gruppi attivi e le loro TTP (tecniche, tattiche e procedure) in modo da proteggersi al meglio”, ha proseguito Shier.

L'impatto reale della AI

Nonostante tutte le previsioni, Sophos non ha trovato riscontri di radicali trasformazioni AI-driven nei comportamenti dei malintenzionati. Anche se la AI generativa ha aumentato la velocità e la qualità delle azioni di phishing e social engineering, tuttavia non ha ancora prodotto tecniche di attacco davvero nuove.

“La AI sta aggiungendo scala e rumore, ma ancora non riesce a sostituirsi agli attaccanti. In futuro la GenAI potrebbe diventare il nuovo acceleratore di questo settore, ma al momento contano ancora i fondamentali: solida protezione delle identità, telemetria affidabile e capacità di reagire rapidamente quando qualcosa va storto”, ha concluso Shier.

Consigli per difendersi

In base ai dati emersi dallo studio 2026 Active Adversary Report, Sophos consiglia alle aziende di:

  • Implementare tecniche MFA anti-phishing e convalidarne la configurazione
  • Ridurre l'esposizione delle infrastrutture di identità e dei servizi rivolti a Internet
  • Applicare tempestivamente patch per le vulnerabilità note, specialmente sui dispositivi edge
  • Assicurare il monitoraggio 24/7 mediante MDR o capacità equivalenti
  • Conservare e preservare i log di sicurezza per supportare le attività di rilevamento rapido e analisi

Lo studio 2026 Sophos Active Adversary Report ha analizzato 661 casi IR e MDR gestiti tra il 1' novembre 2024 e il 31 ottobre 2025 per conto di aziende presenti in 70 Paesi e attive in 34 settori differenti.

Il report completo può essere consultato qui:
https://www.sophos.com/en-us/blog/2026-sophos-active-adversary-report

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.

Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.

La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività. Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.