Guide tecniche

ENISA Threat Landscape 2025: cosa rivela davvero il report

Analisi del report ENISA Threat Landscape 2025: ransomware, TTP, supply chain, social engineering e nuove strategie di detection per i team cyber security.

Unione Europea

8 Maggio 2026

Indice dei contenuti

  • Il ruolo dell’ENISA nel panorama della cyber security
  • Il panorama delle minacce nel 2025
  • La convergenza tra gruppi criminali
  • Il riutilizzo degli strumenti offensivi
  • TTP: perché contano più degli indicatori
  • L’evoluzione del ransomware
  • Social engineering e attacchi all’identità
  • Supply chain software e attacchi indiretti
  • Implicazioni operative per i team tecnici

Ogni anno il rapporto ENISA Threat Landscape rappresenta uno dei documenti più importanti per comprendere lo stato reale delle minacce informatiche a livello globale. Pubblicato dall’Agenzia dell’Unione Europea per la cybersicurezza, questo report analizza attacchi, vulnerabilità e strategie utilizzate dagli attori malevoli, offrendo una panoramica dettagliata delle tendenze emergenti.

Per chi lavora nel settore della sicurezza informatica, questo tipo di analisi rientra a pieno titolo nelle attività di Threat Intelligence, ovvero il processo di raccolta, analisi e interpretazione delle informazioni sulle minacce per migliorare la capacità di prevenzione e risposta agli attacchi informatici.

Nel ENISA Threat Landscape 2025, tuttavia, emerge un cambiamento significativo rispetto agli anni precedenti. Non si tratta solo di nuove tecniche o nuovi malware, ma di una trasformazione più profonda: la convergenza tra gruppi criminali, il riutilizzo sistematico di strumenti offensivi e l’adozione di tattiche sempre più standardizzate.

Per i team tecnici di cyber security, questo significa che la difesa non può più basarsi solo su indicatori di compromissione o su singole firme di attacco. È necessario comprendere i TTP (Tactics, Techniques and Procedures) utilizzati dagli attori malevoli, analizzare le dinamiche della criminalità informatica e sviluppare strategie di detection basate sul comportamento.

Questo articolo propone una lettura critica del report, concentrandosi sugli aspetti più rilevanti per chi lavora quotidianamente nella sicurezza informatica: SOC analyst, threat hunter, incident responder e security architect.

Il ruolo dell’ENISA nel panorama della cyber security

L’ENISA (European Union Agency for Cyber Security) è uno degli organismi più autorevoli in Europa nel campo della sicurezza informatica. Il suo compito principale è supportare gli Stati membri, le istituzioni europee e il settore privato nella gestione delle minacce digitali e nello sviluppo di strategie di resilienza.

Tra le sue pubblicazioni più influenti troviamo proprio il Threat Landscape, un rapporto annuale che raccoglie dati provenienti da:

  • incident response team nazionali
  • aziende di cyber security
  • organismi di intelligence
  • comunità accademica
  • analisi open source

A differenza di molti report commerciali, il documento dell’ENISA non ha finalità di marketing. Il suo obiettivo è fornire una visione sistemica delle minacce, individuando trend che possono influenzare le politiche di sicurezza a livello europeo.

Per questo motivo il Threat Landscape è spesso utilizzato come riferimento anche da framework normativi e linee guida tecniche, comprese quelle legate alla direttiva NIS2 e alle strategie europee di cyber resilienza.

Il panorama delle minacce nel 2025

Uno degli elementi più interessanti del ENISA Threat Landscape 2025 è la continuità di alcune minacce storiche combinata con una crescente professionalizzazione degli attori malevoli.

Le categorie di attacco più rilevanti rimangono:

  • ransomware
  • malware avanzato
  • attacchi alla supply chain software
  • social engineering
  • data breach e data theft
  • attacchi alla disponibilità dei servizi

La differenza rispetto al passato non sta tanto nella natura delle minacce, quanto nel modo in cui vengono organizzate e distribuite.

I gruppi criminali operano sempre più come vere e proprie aziende digitali. Strutturano i propri servizi, sviluppano tool condivisi e creano ecosistemi di collaborazione che rendono gli attacchi più efficienti e scalabili.

Questo fenomeno viene spesso definito crime-as-a-service, e rappresenta uno dei fattori principali dell’aumento degli incidenti informatici negli ultimi anni.

La convergenza tra gruppi criminali

Uno dei punti chiave evidenziati dal report è la crescente convergenza tra gruppi di cybercriminali.

In passato molte organizzazioni criminali sviluppavano strumenti proprietari. Oggi invece assistiamo a un fenomeno diverso: il riutilizzo sistematico di tool, infrastrutture e tecniche tra gruppi apparentemente distinti.

Questo significa che un malware o una tecnica di intrusione può essere utilizzata da attori completamente diversi tra loro.

Le ragioni di questa convergenza sono diverse:

  • Mercati del dark web sempre più strutturati
  • Disponibilità di toolkit pronti all’uso
  • Collaborazioni temporanee tra gruppi criminali
  • Scambio di exploit e accessi compromessi

In pratica, la criminalità informatica sta evolvendo verso un modello simile a quello dell’economia digitale.

Esistono fornitori di accessi compromessi, sviluppatori di malware, operatori di ransomware e broker che rivendono i dati rubati.

Un esempio semplificato di questa catena può essere rappresentato così:

Initial Access Broker → Malware Developer → Ransomware Operator → Data Broker

Questo modello riduce le barriere di ingresso nel cybercrime e aumenta la velocità con cui nuovi attori possono lanciare attacchi sofisticati.

Il riutilizzo degli strumenti offensivi

Un’altra tendenza importante evidenziata dall’ENISA è il riuso degli strumenti offensivi.

Molti gruppi criminali utilizzano toolkit pubblicamente disponibili oppure framework offensivi sviluppati inizialmente per scopi di penetration testing.

Tra gli strumenti più frequentemente osservati negli incidenti troviamo:

  • Cobalt Strike
  • Metasploit
  • Mimikatz
  • Empire
  • Sliver

Questi strumenti non sono di per sé malware. Sono piattaforme legittime utilizzate dai professionisti della sicurezza per simulare attacchi e testare la resilienza delle infrastrutture.

Il problema nasce quando vengono utilizzati da attori malevoli.

Dal punto di vista difensivo, questo rende molto più difficile distinguere tra attività legittime e attività ostili.

Esempio
Un comando PowerShell può essere utilizzato sia da un amministratore di sistema sia da un attaccante che cerca di muoversi lateralmente nella rete.

TTP: perché contano più degli indicatori

Nel report ENISA emerge chiaramente un concetto fondamentale per la difesa moderna: la necessità di concentrarsi sui TTP (Tactics, Techniques and Procedures).

Gli indicatori di compromissione come hash di file o indirizzi IP sono utili, ma hanno una durata limitata.

Gli attaccanti possono cambiare facilmente:

  • server di comando e controllo
  • hash dei malware
  • domini utilizzati negli attacchi

Le tecniche invece tendono a cambiare molto più lentamente.

Per questo motivo molti SOC stanno adottando approcci basati sul framework MITRE ATT&CK, che classifica le tecniche utilizzate dagli attori malevoli durante le varie fasi di un attacco.

Un esempio di tecnica molto diffusa è il credential dumping, utilizzato per estrarre credenziali dalla memoria del sistema.

Un comando tipico utilizzato durante queste operazioni potrebbe essere:

Invoke-Mimikatz -Command “privilege::debug sekurlsa::logonpasswords”

La capacità di individuare questo tipo di comportamento è molto più utile rispetto al blocco di un singolo hash di malware.

L’evoluzione del ransomware

Il ransomware rimane una delle minacce principali anche nel 2025, ma la sua evoluzione è significativa.

Le operazioni moderne non si limitano più alla cifratura dei dati.

Molti gruppi adottano strategie di double extortion o triple extortion, che includono:

  • esfiltrazione dei dati
  • minaccia di pubblicazione
  • attacchi ai partner o ai clienti della vittima

Questo aumenta enormemente la pressione sulle organizzazioni colpite.

Un attacco ransomware moderno segue spesso uno schema simile:

Initial access

↓

Privilege escalation

↓

Lateral movement

↓

Data exfiltration

↓

Encryption

↓

Extortion

Questo processo può richiedere settimane di presenza silenziosa all’interno della rete.

Per questo motivo la detection precoce è fondamentale.

Social engineering e attacchi all’identità

Un altro tema centrale nel report è l’importanza crescente degli attacchi basati sull’identità.

Molti incidenti non iniziano con exploit sofisticati, ma con tecniche di social engineering.

Tra le più comuni troviamo:

  • phishing
  • spear phishing
  • business email compromise
  • vishing

Questi attacchi sfruttano debolezze umane piuttosto che vulnerabilità tecniche.

Esempio
Spear phishing può essere rappresentato da una mail che simula una comunicazione interna aziendale e induce l’utente a inserire le proprie credenziali in una pagina falsa.

Dal punto di vista tecnico, questo significa che la sicurezza non può essere garantita solo da firewall o antivirus.

Diventa fondamentale integrare:

  • formazione degli utenti
  • autenticazione multifattore
  • sistemi di rilevamento comportamentale

Supply chain software e attacchi indiretti

Negli ultimi anni gli attacchi alla supply chain software hanno dimostrato quanto sia fragile l’ecosistema digitale.

Quando un attaccante compromette un fornitore software, può potenzialmente colpire migliaia di organizzazioni contemporaneamente.

Il caso SolarWinds ha mostrato come sia possibile inserire codice malevolo direttamente nel processo di build di un software.

In uno scenario semplificato:

Developer environment compromise

↓

Malicious code injected in build pipeline

↓

Signed update distributed

↓

Customers install compromised software

Questo tipo di attacco è particolarmente difficile da rilevare perché sfrutta canali di aggiornamento considerati affidabili.

Implicazioni operative per i team tecnici

La lettura del ENISA Threat Landscape 2025 suggerisce alcune implicazioni operative molto concrete per chi lavora nella sicurezza informatica.

Prima di tutto, è necessario spostare l’attenzione dalla prevenzione alla rilevazione precoce.

Gli attaccanti riescono quasi sempre a ottenere un punto di accesso iniziale. La differenza sta nella capacità di individuare rapidamente l’intrusione.

In secondo luogo, diventa fondamentale adottare strategie di sicurezza basate sul comportamento.

Questo significa analizzare:

  • anomalie nei log
  • attività sospette sugli account
  • movimenti laterali nella rete
  • esfiltrazioni di dati

Infine, i team di sicurezza devono sviluppare una maggiore integrazione tra threat intelligence, detection engineering e incident response.

Solo combinando queste discipline è possibile affrontare attori sempre più organizzati.

Conclusione

Il ENISA Threat Landscape 2025 conferma che il panorama delle minacce informatiche è entrato in una fase di maturità.

Gli attacchi non sono più episodi isolati, ma parte di un ecosistema criminale strutturato, in cui strumenti, infrastrutture e competenze vengono condivisi tra gruppi diversi.

Per i team tecnici questo significa che la difesa deve evolvere.

Non basta più bloccare singoli malware o patchare vulnerabilità note. È necessario comprendere il comportamento degli attaccanti, analizzare i loro TTP e costruire sistemi di rilevamento capaci di individuare attività sospette prima che si trasformino in incidenti gravi.

La sicurezza informatica, oggi più che mai, non è solo una questione di tecnologia. È una disciplina strategica che richiede analisi continua, collaborazione tra organizzazioni e una profonda comprensione del funzionamento delle minacce.

Il Threat Landscape dell’ENISA non offre solo una fotografia del presente. Offre anche una direzione per il futuro della difesa digitale.

Domande e risposte

  1. Cos’è l’ENISA Threat Landscape?
    È un rapporto annuale pubblicato dall’Agenzia europea per la cybersicurezza che analizza le principali minacce informatiche globali.
  2. Perché il report ENISA è importante?
    Perché fornisce una visione indipendente e sistemica delle minacce, basata su dati raccolti da numerose fonti.
  3. Quali sono le principali minacce identificate nel 2025?
    Ransomware, attacchi alla supply chain, social engineering, data breach e malware avanzato.
  4. Cosa sono i TTP nella cyber security?
    Sono le tattiche, tecniche e procedure utilizzate dagli attaccanti durante un’intrusione.
  5. Perché gli indicatori di compromissione non bastano più?
    Perché gli attaccanti possono modificarli facilmente, mentre le tecniche restano più stabili nel tempo.
  6. Cos’è la convergenza tra gruppi criminali?
    È la condivisione di strumenti e infrastrutture tra diversi gruppi di cybercriminali.
  7. Come evolvono gli attacchi ransomware?
    Sempre più spesso includono furto di dati e ricatti multipli oltre alla cifratura.
  8. Cosa sono gli attacchi alla supply chain?
    Sono attacchi che colpiscono fornitori software per compromettere molte organizzazioni contemporaneamente.
  9. Qual è il ruolo del social engineering negli attacchi moderni?
    Molti attacchi iniziano con tecniche di manipolazione degli utenti.
  10. Cosa dovrebbero fare i team di sicurezza?
    Adottare detection basata sui comportamenti, migliorare la threat intelligence e rafforzare la risposta agli incidenti.
1
To top