Il Global Threat Landscape Report 2026 di Fortinet descrive un panorama cyber sempre più "industrializzato"
Autore: Redazione ImpresaCity
La criminalità informatica sta evolvendo verso modelli sempre più organizzati, automatizzati e orientati alla velocità di esecuzione: è questo, in sintesi, il quadro delineato dal 2026 Global Threat Landscape Report dei FortiGuard Labs di Fortinet. Il rapporto, basato sui dati di telemetria raccolti durante il 2025, evidenzia una trasformazione del cybercrime da insieme di campagne isolate a ecosistema strutturato, in cui gruppi criminali, broker di accesso, operatori di botnet e strumenti AI cooperano lungo tutto il ciclo di vita dell’attacco.
Uno dei cambiamenti principali esaminati da Fortinet riguarda la riduzione del tempo necessario per sfruttare vulnerabilità critiche. Fortinet parla di un “time-to-exploit” compreso tra 24 e 48 ore per molte vulnerabilità ad alta gravità, contro una media di circa 4,7 giorni riportata negli anni precedenti. Questo significa che gli aggressori riescono a trasformare rapidamente le informazioni pubbliche sulle vulnerabilità in strumenti di attacco operativi. Anche grazie all'AI, adottata per automatizzare attività di ricognizione, weaponization e orchestrazione offensiva. Secondo Fortinet, gruppi cybercriminali stanno utilizzando piattaforme AI offensive - come WormGPT e FraudGPT - disponibili come servizio nel dark web.
Il report cita inoltre piattaforme come HexStrike AI e BruteForceAI: strumenti che integrano modelli linguistici e capacità automatizzate per supportare attività di penetration testing offensivo, analisi di superfici di attacco e attacchi brute force ottimizzati. Secondo Fortinet, questi strumenti abbassano le competenze tecniche necessarie per eseguire operazioni cyber avanzate, consentendo anche ad attori meno esperti di utilizzare tecniche offensive sofisticate. A proposito di attacchi brute force, Fortinet evidenzia un cambiamento nelle tecniche collegate: gli attacchi si fanno più effcienti grazie - appunto - all’uso dell'AI ma anche a tecniche di selezione mirata dei target.
La crescente industrializzazione del cybercrime emerge anche dai numeri relativi al ransomware. L’intelligence di FortiRecon ha identificato 7.831 vittime confermate di ransomware nel corso del 2025, contro circa 1.600 riportate nel report precedente. I settori maggiormente colpiti risultano essere manifatturiero, servizi alle imprese e retail, mentre sul piano geografico gli Stati Uniti rimangono il Paese più bersagliato, seguiti da Canada e Germania. Fortinet sottolinea come la disponibilità crescente di toolkit criminali as-a-Service stia contribuendo alla diffusione degli attacchi ransomware. L’accesso a piattaforme offensive preconfigurate consente infatti di ridurre tempi, costi e competenze necessarie per avviare campagne di attacco.
Un altro tema centrale riguarda la gestione delle identità digitali nel cloud. Secondo i dati raccolti da FortiCNAPP, la maggior parte degli incidenti cloud confermati nel 2025 sarebbe stata causata non tanto dallo sfruttamento diretto delle infrastrutture, quanto dall’utilizzo improprio di credenziali rubate o esposte. In particolare, organizzazioni sanitarie, strutture mediche e aziende retail vengono indicate come obiettivi privilegiati a causa della complessità dei loro ambienti cloud, dell’elevato numero di utenti e dell’adozione di sistemi federati di autenticazione.
L’evoluzione degli attacchi contro le identità digitali viene confermata anche dall’aumento dei dataset rubati e condivisi nel dark web. Il report osserva una crescita significativa della diffusione di log provenienti da malware di tipo infostealer. Secondo Fortinet, nel 2025 i log degli stealer rappresentavano oltre il 67% dei dataset pubblicizzati nei circuiti cybercriminali.
Gli infostealer vengono considerati uno degli strumenti più efficaci per accelerare la compromissione degli account, perché raccolgono non solo password, ma anche cookie di sessione, dati del browser, token di autenticazione e altre informazioni contestuali utili agli attaccanti. Questo consente agli aggressori di bypassare molte difese tradizionali basate esclusivamente sulle credenziali. Tra i malware "credential stealer" più diffusi nel panorama osservato da Fortinet figurano RedLine, Lumma e Vidar. RedLine rappresenterebbe oltre il 50% delle infezioni osservate dalla telemetria di FortiRecon, seguito da Lumma con circa il 28% e Vidar con oltre il 13%.