
I principali attori delle minacce di agosto: Ransomware, spionaggio e infostealers
Nel corso dell'anno abbiamo osservato attacchi ransomware, esfiltrazione di dati e spionaggio furtivo sponsorizzato dallo stato. Queste sono alcune delle minacce più significative che sono aumentate nell'agosto 2025.
Gruppo ransomware Qilin (alias “Agenda”)
Qilin è un'operazione ransomware-as-a-service (RaaS) che abbiamo profilato a luglio. Questo attore di minacce dell'Europa orientale è diventato uno dei gruppi di ransomware più attivi e dannosi al mondo. Osservato per la prima volta come "Agenda" a metà del 2022, è stato completamente rinominato Qilin entro settembre 2022. Il gruppo lavora con affiliati che distribuiscono il suo ransomware nelle reti delle vittime; in cambio, gli amministratori di Qilin mantengono i siti di fuga di dati e gestiscono le negoziazioni, i pagamenti e gli accordi di condivisione dei profitti. Secondo l'intelligence sulle minacce di FalconFeeds, l'attività di Qilin nel 2025 ha raggiunto il picco a giugno e ha rivendicato 93 vittime durante il mese di agosto. La ricerca di agosto di Comparitech differisce leggermente, attribuendo solo 86 attacchi al gruppo.
Il payload del ransomware Qilin può crittografare sia i sistemi Windows che Linux/VMware ESXi, il che consente a Qilin di prendere di mira una vasta gamma di asset aziendali. Durante l'esecuzione, elimina i backup/le copie shadow, crittografa i file bersaglio e rinomina i file crittografati con un'estensione come .qilin. Il ransomware esfiltra dati sensibili prima della crittografia e il gruppo minaccia di pubblicarli se le richieste di riscatto non vengono soddisfatte.
Qilin continua ad attaccare settori di alto valore come la sanità, l'automotive e la produzione. Il loro sistema RaaS e gli strumenti di attacco sono in evoluzione e il gruppo ha slancio entrando a settembre.
Difese chiave contro attacchi in stile Qilin:
- Segmentare le reti IT e OT per isolare i sistemi di controllo industriale dagli asset esposti a Internet. Considerare l'uso del modello Purdue come guida.
- Monitora schemi insoliti di esfiltrazione dati e grandi trasferimenti in uscita—Qilin spesso ruba dati prima della crittografia.
- Disabilita PowerShell e gli strumenti di scripting quando possibile. Assicurati che le utility di sistema e gli strumenti in uso siano visibili e strettamente controllati.
- Utilizzare honeypot e altre tattiche di difesa per rilevare i movimenti laterali e le attività di staging del ransomware.
gruppo ransomware Akira
Il gruppo Akira RaaS è una delle operazioni ransomware più attive nel corso della sua esistenza, classificandosi costantemente tra i primi 3-5 attori di minacce per il numero di vittime. Ciò che distingue Akira è la combinazione del suo alto ritmo operativo – attaccando centinaia di organizzazioni in un breve lasso di tempo – e le sue elevate richieste di riscatto nell'ordine di decine o addirittura centinaia di milioni di dollari (U.S.). Il marchio di Akira è riconosciuto per il suo sito di leak in stile retrò e l'estensione di file “.akira” lasciata sui file criptati.
Gli attacchi Akira spesso iniziano sfruttando vulnerabilità note in VPN o altre applicazioni pubblicamente accessibili, specialmente se l'autenticazione multi-fattore (MFA) non è applicata. Akira utilizza anche e-mail di phishing con allegati o link dannosi per distribuire loader di malware nelle reti delle vittime. Una volta all'interno di una rete, Akira segue una catena di attacco tipica per la doppia estorsione. A differenza di alcuni gruppi criminali, Akira non fa eccezioni per le istituzioni mediche, le agenzie governative o i distretti scolastici. Il gruppo ha dichiarato 60 vittime ad agosto.
Akira è stata una minaccia significativa per i provider di servizi gestiti nel mese di agosto e continua a migliorare i suoi strumenti e metodi di attacco. Il gruppo rimane significativo entrando a settembre per via del suo utilizzo di exploit e delle opportunità create dai sistemi non aggiornati e non patchati. Akira deteneva circa il 19% della "quota di mercato del ransomware" nel secondo trimestre del 2025.
Difese chiave contro attacchi in stile Akira:
- Esegui il patching e monitora tutti gli appliance VPN, in particolare quei marchi e modelli noti per essere sfruttati da Akira.
- Utilizzare l'autenticazione multifattoriale supportata dall'hardware come chiavi FIDO quando possibile. Questo è particolarmente importante per i login privilegiati e per l'accesso remoto.
- Impedisci la manomissione dei driver abilitando l'integrità della memoria sui sistemi supportati per bloccare le tecniche bring-your-own-vulnerable-driver (BYOVD).
Lazarus Group
Il Lazarus Group, noto anche come APT38, Hidden Cobra e altri alias, si ritiene operi all'interno del governo della Repubblica Popolare Democratica di Corea (DPRK), comunemente conosciuta come Corea del Nord. Il gruppo è noto per l'attacco a Sony Pictures nel 2014 e la campagna ransomware WannaCry nel 2017. Nel corso di oltre un decennio, Lazarus ha preso di mira sistemi bancari, reti governative e scambi di criptovalute in tutto il mondo, utilizzando malware avanzato e tattiche di ingegneria sociale sia per guadagni finanziari che per obiettivi politici. Il gruppo ha rubato più denaro tramite cyberattacchi di qualsiasi altro attore di minaccia nella storia, grazie in parte ai miliardi rubati dall'exchange Bybit e dalla Bangladesh Bank.
Nell'agosto 2025, il gruppo Lazarus ha introdotto PyLangGhost, un trojan di accesso remoto (RAT) basato su Python che gli attaccanti utilizzano in finti colloqui di lavoro o chiamate aziendali. Il malware presenta messaggi di errore ingannevoli che traggono in inganno le vittime inducendole a eseguire script e codice dannoso. Quando ha successo, questi attacchi concedono privilegi di accesso remoto agli attaccanti. Il malware PyLangGhost include moduli per il riconoscimento, le operazioni sui file e diversi altri passaggi nella catena di attacco. Questo nuovo malware è un'ulteriore dimostrazione della sofisticazione tecnica e dell'agilità del gruppo Lazarus.
Lazarus ha cambiato strategia verso attacchi furtivi alla catena di fornitura software e avvelenamento open-source. I loro obiettivi includono sviluppatori, pipeline CI/CD e aziende di criptovaluta.
Difese chiave contro gli attacchi del gruppo Lazarus:
- Usa software composition analysis (SCA) e monitoraggio del file di blocco per rilevare dipendenze open-source manomesse.
- Imporre commit firmati e provenienza degli artefatti nei flussi di lavoro CI/CD per ridurre il rischio di dirottamento delle dipendenze.
- Implementare una protezione degli endpoint specifica per gli sviluppatori che segnali toolchains non autorizzate, tentativi di furto di credenziali e esfiltrazione del codice.
- Monitora la trasmissione dagli ambienti di sviluppo/test, poiché Lazarus utilizza frequentemente strumenti di sviluppo infetti come punti di persistenza furtivi.
Lumma e Redline stealers
Le nostre ultime due minacce sono combinate perché sono molto simili. Lumma e RedLine sono di gran lunga le famiglie di infostealer più attive nel 2025. Il malware infostealer è progettato per infiltrarsi in un sistema, identificare e raccogliere informazioni sensibili sul sistema e trasmettere tali dati a un server controllato da un attaccante. Questo li rende lo strumento ideale per i broker di accesso iniziale (IAB) per rubare e vendere credenziali a gruppi di ransomware e altri attori di minacce.
Secondo Hudson Rock infostealer intelligence, il numero di infezioni da infostealer ad agosto supera le 289.000. Si tratta di un aumento del 13% rispetto al mese precedente. Altre ricerche mostrano che circa un terzo di tutte le vittime di ransomware ha scoperto almeno un'infezione da infostealer entro 16 settimane prima dell'attacco.
La maggior parte degli infostealer è collegata a gruppi di ransomware e agli ecosistemi dei cybercriminali, ma alcuni attori statali hanno recentemente aggiunto gli infostealer al loro arsenale. La ricerca di Hudson Rock ha scoperto "un'ondata globale di compromissioni di account e-mail del Ministero degli Affari Esteri (MAE)" legata a infostealer e credenziali rubate.
La ricerca ha dettagliato queste vittime e l'impatto degli attacchi:
- Arabia Saudita (mofa.gov.sa): Credenziali legate al MFA del Regno, vulnerabili a un uso improprio nella diplomazia del Medio Oriente.
- Corea del Sud (mail.mofa.go.kr): Infezioni che colpiscono i sistemi degli affari esteri di Seoul, rischiando di esporre le negoziazioni dell'Indo-Pacifico.
- Emirati Arabi Uniti (mofa.gov.ae): Violazioni al MFA di Abu Dhabi, un attore chiave nella diplomazia del Golfo.
- Qatar (mofa.gov.qa): Account compromessi a Doha, critici per mediare i conflitti come Gaza.
- Altri: Le rilevazioni coprono le MFA in Europa, Asia, Africa e Americhe, mostrando una minaccia diffusa.
Con questi gruppi di stati nazionali che adottano queste tecniche, gli infostealer vengono elevati da un comune attacco di accesso iniziale a un'arma geopolitica.
Difese chiave contro gli infostealer come Lumma e Redline:
- Imporre isolamento del browser per gli utenti ad alto rischio o quelli che gestiscono i dati più sensibili. Questo impedirà il furto di cookie/sessione.
- Blocca l'accesso all'infrastruttura C2 dei ladri nota e ai domini che terminano in .top, .xyz e .ru, Questi sono utilizzati da entrambe le famiglie, sebbene Lumma si appoggi più su .xyz rispetto a RedLine, e RedLine utilizzerà anche .shop e .club. Questi domini sono popolari perché sono economici e di solito hanno controlli di registrazione poco rigorosi.
- Disabilita il riempimento automatico delle credenziali e la memorizzazione nei browser e impone l'uso di un gestore di password con criteri di autenticazione multifattore (MFA) robusti.
- Distribuisci rilevamento comportamentale per modelli di accesso ai file insoliti come "dati di accesso" e "dati web".
Barracuda può aiutarvi
Lascia che ti aiutiamo a massimizzare la tua protezione e resilienza informatica con la piattaforma di cybersicurezza BarracudaONE basata su IA . La piattaforma protegge le tue e-mail, dati, applicazioni e reti, ed è rafforzata da un servizio XDR gestito 24/7, unificando le tue difese di sicurezza e fornendo rilevamento e risposta alle minacce profondo e intelligente. Gestisci la postura di sicurezza della tua organizzazione con fiducia, sfruttando la protezione avanzata, l'analitica in tempo reale e le capacità di risposta proattiva. Strumenti di reporting robusti forniscono chiare indicazioni azionabili, aiutandoti a monitorare i rischi, misurare il ROI e dimostrare l'impatto operativo. Non perdere l'opportunità di ottenere una demo della piattaforma dai nostri esperti di cybersicurezza.

The Ransomware Insights Report 2025
Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale
Iscriviti al blog di Barracuda.
Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice
Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare