È online sul sito dell’Agenzia per la Cybersicurezza Nazionale il nuovo rapporto mensile del Servizio Operazioni e gestione delle crisi cyber; il documento offre dati e indicatori sulle attività operative dell’Agenzia, fornendo un’analisi strutturata della minaccia cyber in Italia attraverso diverse fonti di conoscenza.
Le informazioni raccolte permettono di ottenere un ampio cono di visibilità sulle minacce informatiche che colpiscono il sistema Paese, fornendo un quadro dettagliato del livello di esposizione dei soggetti nazionali. Gli operatori del CSIRT-Italia analizzano e classificano gli eventi cyber attraverso un processo di triage, attivando misure specifiche a seconda della natura e dell’entità degli attacchi.
A gennaio 2025 si è registrata una riduzione degli eventi rispetto ai mesi precedenti, mentre il numero di incidenti è rimasto allineato alla media del semestre.
I settori più colpiti
I settori con il maggior numero di vittime registrate sono stati:
• Pubblica amministrazione centrale
• telecomunicazioni
• tecnologico
L’incremento degli attacchi alla Pubblica Amministrazione Centrale è riconducibile agli attacchi DDoS.
Continuità delle attività di hacktivism
Le azioni di hacktivism hanno mantenuto una continuità rispetto ai mesi precedenti, con attacchi DDoS rivendicati da gruppi filorussi.
Nuove tendenze: attacchi a strutture sanitarie
Un fenomeno emergente è rappresentato dagli attacchi contro siti web di strutture sanitarie, presumibilmente legati al sostegno militare dell’Italia all’Ucraina. Il picco è stato registrato il 10 gennaio, in concomitanza con la visita del Presidente ucraino Zelensky a Roma. L’impatto è rimasto contenuto, mirato a siti secondari con basse difese per amplificare la risonanza mediatica.
Defacement di siti web da parte di DXPloit
Nel medesimo periodo, il gruppo DXPloit ha effettuato defacement su diversi siti web, diffondendo messaggi di propaganda islamista. Gli impatti sono stati limitati a piccole realtà aziendali con scarse misure di sicurezza.
Ransomware: Everest e Akira tra i gruppi più attivi
Nel mese di gennaio, i gruppi Everest e Akira sono stati i più attivi nel panorama ransomware.
Principali vettori di attacco
I metodi di attacco più diffusi sono stati:
• campagne malevole tramite email
• sfruttamento di vulnerabilità note
• utilizzo di credenziali compromesse
Aumento dei casi di esfiltrazione dati
È stato registrato un incremento di esfiltrazioni di dati appartenenti a organizzazioni di diversi settori, con informazioni sensibili diffuse online, aggravando i rischi reputazionali e di sicurezza.
Crescita degli accessi con credenziali compromesse
Parallelamente, è aumentato l’uso di credenziali valide compromesse in precedenti violazioni o ottenute tramite tecniche di credential stuffing.
Incremento delle CVE pubblicate
Il numero di CVE pubblicate a gennaio 2025 ha registrato un incremento rispetto a dicembre 2024, evidenziando una maggiore esposizione a vulnerabilità critiche nel panorama della cybersecurity.
L’Operational summary di gennaio 2025 può essere consultato e scaricato qui.
Fonte: ACN
