Barracuda full logo

SOC Threat Radar — Luglio 2025

Argomenti:
10 lug 2025
|
Eric Russo

Nell'ultimo mese, le soluzioni di sicurezza di Barracuda Managed XDR, l'intelligence sulle minacce e gli analisti SOC hanno identificato sviluppi di cui le organizzazioni dovrebbero essere consapevoli, tra cui:

  • Un aumento del 35% nelle rilevazioni di infostealer
  • Un aumento del 56% delle minacce rivolte ai server Linux
  • Un aumento del 13% nei tentativi di accesso sospetti per le console AWS

Un aumento del 35% degli attacchi infostealer

Cosa c'è dietro questo?

Gli analisti delle minacce SOC e la XDR Endpoint Security hanno rilevato un aumento significativo del malware infostealer che prende di mira le organizzazioni. Gli infostealer sono una minaccia diversificata e diffusa. Recentemente, Interpol ha smantellato 20.000 IP che risultavano collegati a 69 varianti di infostealer.

Qual è il rischio?

Gli infostealer svolgono un ruolo centrale, tra l'altro, negli attacchi di furto di credenziali, session (cookie) hijacking, cyber spionaggio e data exfiltration, e vengono anche utilizzati come parte di botnet più ampie per consentire agli attaccanti di controllare le macchine infette e raccogliere dati.

Gli infostealer vengono distribuiti tramite i comuni vettori di attacco, tra cui:

  1. Phishing e-mail che incoraggiano gli utenti a fare clic su link o scaricare allegati che installano ed eseguono il malware.
  2. Siti web dannosi dove l'infostealer viene scaricato automaticamente ai visitatori ignari (noti come download 'drive-by').
  3. Gli exploit software che prendono di mira bug non corretti nelle applicazioni o nei sistemi operativi per installare infostealer senza il consenso dell'utente.
  4. Software in bundle dove gli infostealer sono incorporati con altri software, come applicazioni craccate o pirata.

A cosa dovrei prestare attenzione?

Segni che suggeriscono che la tua organizzazione potrebbe essere vittima di un attacco infostealer includono:

  • Cambiamenti improvvisi o insoliti nel comportamento dell'account, come accessi o transazioni non autorizzati.
  • Un picco di chiamate al Help Desk che segnalano credenziali perse o blocchi dell'account.
  • Un rallentamento delle prestazioni del sistema mentre il malware consuma potenza di calcolo.
  • La comparsa inaspettata di pop-up o annunci, che potrebbe indicare la presenza di malware nel sistema.

Azioni da intraprendere

  • La miglior difesa contro il malware infostealer è una robusta soluzione di sicurezza endpoint come Barracuda Managed XDR Endpoint Security che può rilevare e bloccare il malware in tempo reale.
  • Imporre l'uso dell'autenticazione multifattoriale (MFA) per rendere più difficile agli attaccanti violare gli account anche se le credenziali sono compromesse.
  • Implementa training per la sensibilizzazione sulla sicurezza per i dipendenti sulle ultime tattiche di phishing e navigazione sicura.
  • Implementa una sicurezza e-mail avanzata per rilevare e bloccare i tentativi di phishing prima che raggiungano gli utenti.
  • Mantenere i sistemi e il software aggiorn con le ultime patch di sicurezza.
  • Impedire ai dipendenti di scaricare e installare versioni pirata delle applicazioni nei loro account di lavoro.

Un aumento del 56% delle minacce rivolte ai server Linux

Cosa c'è dietro questo?

Gli analisti SOC e la sicurezza del server XDR hanno osservato un aumento nel numero di rilevamenti di attacchi contro server Linux. I sistemi Linux sono vulnerabili agli attacchi. I recenti rapporti suggeriscono che il numero di vulnerabilità nei sistemi Linux è aumentato di 3.300 nel 2025 — con un aumento del 130% negli attacchi negli ultimi 12 mesi, e due nuove vulnerabilità critiche annunciate a giugno 2025.

Qual è il rischio?

Molte organizzazioni si affidano ai sistemi Linux per i loro server, l'infrastruttura cloud e i dispositivi IoT, e la combinazione di ciò e le molteplici vulnerabilità di sicurezza di Linux li rende obiettivi attraenti per attacchi come:

  • Attacchi malware, inclusi ransomware, rootkit e backdoor che danno agli attaccanti il controllo completo del sistema infetto, nonché un accesso persistente per l'esfiltrazione non autorizzata dei dati o per installare ulteriori payload dannosi, e la capacità di ritornare in qualsiasi momento.
  • Attacchi Distributed Denial of Service (DDoS) che tentano di sovraccaricare i server Linux con traffico, causando inattività operativa e interruzioni.
  • Lo sfruttamento di bug non corretti nel software o nei servizi Linux che consentono agli attaccanti di ottenere accesso non autorizzato e elevare i loro privilegi.
  • Il dirottamento della potenza di calcolo del server per minare criptovalute senza il consenso del proprietario, portando a prestazioni degradate e costi operativi aumentati.

A cosa dovrei prestare attenzione?

I segnali che suggeriscono che la tua organizzazione potrebbe avere un sistema Linux compromesso includono:

  • Picchi insoliti o inaspettati nel traffico o connessioni a indirizzi IP sconosciuti possono indicare un attacco DDoS o un altro tentativo di accesso non autorizzato.
  • Cambiamenti improvvisi nel comportamento dell'account, come tentativi di accesso falliti frequenti o orari di accesso insoliti, poiché questi possono indicare tentativi di accesso brute-force.
  • Un rallentamento delle prestazioni del sistema mentre il malware consuma potenza di calcolo.
  • Modifiche inaspettate alla configurazione o ad altri file di sistema critici.

Azioni da intraprendere

  • Mantieni i sistemi, inclusi i sistemi operativi, e il software aggiornati con le ultime patch di sicurezza.
  • Implementa firewall per limitare l'accesso ai servizi critici e monitora il traffico in entrata e in uscita per attività sospette.
  • Imponi politiche di password e autenticazione forti e prendi in considerazione l'utilizzo dell'autenticazione basata su chiave per l'accesso SSH (un protocollo crittografico per il login remoto sicuro) per ridurre il rischio di attacchi brute-force.
  • Implementare un piano di backup e ripristino robusto per limitare l'impatto operativo e ripristinare rapidamente i servizi a seguito di un incidente.
  • Implementare una soluzione di rilevamento e risposta estesa (XDR) — idealmente coprendo endpoint, server e reti — poiché questa include sistemi di rilevamento delle intrusioni (IDS) che monitorano l'attività e avvisano gli amministratori di potenziali minacce in tempo reale.

Un aumento del 13% nei tentativi di accesso sospetti per le console AWS

Cosa c'è dietro questo?

Gli analisti SOC e XDR Cloud Security hanno rilevato un aumento dei tentativi non autorizzati e potenzialmente dannosi di accedere alla Amazon Web Services (AWS) Management Console.

Qual è il rischio?

Sebbene l'aumento delle rilevazioni sia relativamente basso, è importante che gli utenti AWS siano consapevoli dei potenziali rischi di una violazione riuscita, che possono includere:

  • Attacchi di forza bruta e furto di credenziali, fornendo agli attaccanti accesso non autorizzato agli account AWS e portando a potenziali violazioni dei dati o interruzioni del servizio.
  • Attacchi di phishing che sfruttano l'ingegneria sociale per ingannare gli utenti a condividere le loro credenziali AWS, permettendo agli attaccanti di accedere come se fossero utenti legittimi.
  • Attacchi di furto di account una volta ottenuto l'accesso. Questi attacchi possono essere estremamente dannosi, consentendo agli hacker di manipolare risorse, rubare dati sensibili o lanciare ulteriori attacchi dall'account compromesso.

A cosa dovrei prestare attenzione?

I segnali che suggeriscono che la tua organizzazione potrebbe essere un bersaglio di un attacco di accesso AWS includono:

  • Accessi o tentativi di accesso da località o indirizzi IP che sono insoliti per quell'account: questo è un chiaro segnale di allarme per un tentativo di accesso non autorizzato.
  • Un numero elevato di tentativi di accesso non riusciti poiché ciò potrebbe indicare un attacco brute-force.
  • Altre anomalie dell'account, come improvvisi cambiamenti nell'uso delle risorse o una modifica della configurazione, possono anche significare che un account è stato compromesso.

Azioni da intraprendere

  • Imponi l'uso di password robuste e dell'autenticazione a più fattori (MFA) per rendere più difficile per gli attaccanti violare gli account anche se le credenziali sono compromesse.
  • Implementare il training per la sensibilizzazione sulla sicurezza per i dipendenti sulle ultime tattiche di phishing e navigazione sicura.
  • Controlla e correggi continuamente le configurazioni errate nelle impostazioni dei servizi cloud.
  • Implementa la segmentazione della rete e limita le autorizzazioni di accesso dei dipendenti per limitare l'accesso alle aree sensibili della rete.
  • Distribuire una soluzione di sicurezza cloud XDR che controllerà regolarmente le attività di accesso insolite e segnalerà eventuali eventi sospetti.

Come Barracuda Managed XDR può aiutare la tua organizzazione

Barracuda Managed XDR offre protezione avanzata contro le minacce identificate in questo rapporto, combinando tecnologia all'avanguardia con la supervisione esperta del SOC. Con informazioni sulle minacce in tempo reale, risposte automatiche, un team SOC attivo 24/7/365 e XDR Managed Vulnerability Security che identifica le lacune e le carenze di sicurezza, Barracuda Managed XDR garantisce una protezione completa e proattiva su rete, cloud, email, server ed endpoint, offrendoti la sicurezza di restare avanti rispetto alle minacce in evoluzione.

Per ulteriori informazioni su come possiamo aiutarti, ti invitiamo a contattare Barracuda Managed XDR.

Prenota una demo di Managed XDR
Eric Russo

Eric Russo è Direttore della Sicurezza Difensiva SOC presso Barracuda.

Post correlati:
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Perché gli attaccanti ransomware continuano a tornare per averne di più
Perché gli attaccanti ransomware continuano a tornare per averne di più
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.