Report Barracuda: il 90% degli incidenti ransomware sfrutta i firewall

• Il 90% degli incidenti ransomware sfrutta i firewall e l’attacco più veloce osservato ha impiegato solo tre ore per passare dalla violazione dei sistemi alla crittografia dei dati.
• La vulnerabilità CVE più diffusa risale al 2013 e l’11% delle vulnerabilità rilevate ha un exploit noto.
• I risultati si basano sul dataset di Barracuda Managed XDR, che comprende oltre due trilioni di eventi IT raccolti nel corso del 2025, quasi 600.000 avvisi di sicurezza e oltre 300.000 endpoint, firewall, risorse cloud e server protetti.

I risultati, basati su migliaia di incidenti di sicurezza realmente accaduti, mostrano come gli aggressori si servano di strumenti IT legittimi, come i software di accesso remoto, e di dispositivi non protetti. Inoltre, rivelano i rischi legati alla crittografia obsoleta e ai sistemi di sicurezza degli endpoint disabilitati, oltre a mettere in luce i segnali di allarme derivanti da accessi insoliti o da comportamenti anomali da parte degli account con più privilegi.

• Il 90% degli incidenti ransomware ha sfruttato i firewall attraverso una vulnerabilità software catalogata (CVE) o un account vulnerabile. Gli aggressori possono utilizzarli per ottenere l’accesso e il controllo della rete e aggirarne la protezione, nascondendo il traffico e le attività dannose.

• Il caso di ransomware più rapido osservato ha coinvolto il ransomware Akira e ha richiesto appena tre ore dalla violazione alla crittografia dei dati. Tempi così ridotti possono lasciare ai team di sicurezza pochissime possibilità di rilevamento e risposta.

• Una vulnerabilità rilevata su dieci presentava un exploit noto. Gli aggressori stanno attivamente sfruttando i bug del software, spesso all’interno della supply chain. Di conseguenza, è bene non sottovalutare l’importanza di identificare e applicare le patch ai software non aggiornati.

• La vulnerabilità più diffusa risale al 2013. CVE-2013-2566 indica un difetto in un algoritmo di crittografia obsoleto che può trovarsi nei sistemi legacy, come ad esempio vecchi server o dispositivi e applicazioni embedded.

• Il 96% degli incidenti che hanno utilizzato il movimento laterale si è concluso con il rilascio di un ransomware. Il movimento laterale segna il momento in cui gli aggressori nascosti su un endpoint non protetto escono allo scoperto e rappresenta il più grande segnale di allarme di un attacco ransomware in corso.

• Il 66% degli incidenti ha coinvolto la supply chain o una terza parte (in aumento rispetto al 45% del 2024), poiché gli aggressori sfruttano i punti deboli del software di terzi per violare le difese e ampliare la propria portata di attacco.

“Le organizzazioni e i loro team di sicurezza, specialmente se i ‘team’ sono composti da un unico professionista IT, si trovano ad affrontare una sfida immensa. Con risorse limitate e strumenti di sicurezza frammentati, devono proteggere identità, risorse e dati da un panorama di minacce in continua evoluzione e da attacchi che possono svolgersi nel giro di poche ore”, dichiara Merium Khalid, Director SOC Offensive Security di Barracuda Networks. “Ciò che rende vulnerabili gli obiettivi passa facilmente inosservato: un singolo dispositivo non autorizzato, un account che non è stato disattivato quando un dipendente ha lasciato l’azienda, un’applicazione inattiva che non è stata aggiornata o una funzione di sicurezza configurata in modo errato. Ai cyber aggressori basta trovare uno solo di questi elementi per riuscire nel proprio intento. Una soluzione di sicurezza integrata, basata sull’intelligenza artificiale e autonoma, insieme alla gestione e al supporto di esperti, può davvero fare la differenza”.

I risultati descritti nel report si basano sull’ampio dataset di Barracuda Managed XDR, che comprende oltre due trilioni di eventi IT raccolti nel corso del 2025, quasi 600.000 avvisi di sicurezza e oltre 300.000 endpoint protetti, firewall, server e risorse cloud.