Pubblica amministrazione, settore della ricerca e università. In Italia sono bersagli preferiti dai criminali informatici e degli attivisti filo-russi. Forse perché facili da abbattere. E quindi i più bisognosi, ancora, di essere messi in sicurezza.
E’ una delle evidenze che si apprende dal nuovo rapporto del CSIRT-Italia (Computer Security Incident Response Team) di novembre. E’ anche un monito preciso all’Italia per migliorare le proprie difese prima possibile.
Il report riporta su base mensile alcuni numeri e indicatori derivanti dalle attività operative dell’Agenzia per la Cybersicurezza Nazionale. Questo sesto Operational Summary rappresenta un punto di riferimento per la comprensione dello scenario cyber italiano, offrendo dati concreti e indicazioni operative per affrontare la crescente pressione esercitata dagli attori malevoli.
Report Csirt-Acn: i dati sugli attacchi all’Italia
Secondo il rapporto CSIRT, novembre 2024 ha visto un incremento significativo del numero di incidenti informatici e delle vittime coinvolte rispetto al mese precedente. Nel dettaglio, sono stati individuati 171 eventi cyber, con un incremento del 14% rispetto a ottobre, e confermati 92 incidenti, segnando una crescita del 26%.
Tali eventi hanno avuto un impatto su 451 soggetti nazionali, di cui 267 appartenenti alla constituency.
Mentre il numero totale di eventi si mantiene in linea con la media del semestre, il tasso di incidenti supera i livelli registrati negli ultimi sei mesi. In particolare, questo aumento è stato determinato dal rilevamento di un ampio data breach che ha coinvolto dati sensibili di centinaia di soggetti e da potenziali compromissioni di account aziendali basati su Microsoft 365.
L’incremento delle vittime evidenzia la necessità di potenziare le difese, con particolare attenzione alla protezione delle identità digitali e delle informazioni aziendali. La vulnerabilità degli ambienti cloud è stata un elemento ricorrente nei report, segnalando una tendenza che richiede soluzioni tecnologiche sempre più sofisticate e una maggiore consapevolezza degli utenti.
Le vittime privilegiate
Il report mette in luce come i principali bersagli delle minacce informatiche siano stati:
- Pubblica Amministrazione Locale
- Pubblica Amministrazione Centrale
- Settore Universitario e della Ricerca
La PA locale, in particolare, è stata teatro di numerosi attacchi di defacement ai danni dei siti web di piccoli comuni, rivendicati dal collettivo hacker Nofawkx-al. Questo gruppo, noto per le sue azioni a sostegno di cause politiche, ha sfruttato vulnerabilità nei sistemi poco aggiornati per veicolare messaggi propagandistici. Oltre ai defacement, il settore universitario e della ricerca ha registrato attacchi significativi.
Parallelamente, il monitoraggio delle minacce ha rilevato un aumento del ransomware e dei DDoS, con 5 rivendicazioni pubbliche di attacchi distribuiti negazione del servizio (DDoS) e 10 episodi ransomware, principalmente attribuiti ai gruppi DragonForce e HuntersInternational. L’impatto di questi attacchi, sebbene spesso limitato nella portata tecnologica, ha sottolineato l’importanza di elevare il livello di protezione anche nei contesti più periferici del sistema pubblico.
A novembre è ripresa l’ondata di attacchi DDoS contro infrastrutture italiane, orchestrati da gruppi hacktivisti filorussi. Dopo una pausa di circa cinque mesi, le offensive si sono concentrate sul settore dei trasporti, causando però impatti limitati sull’operatività dei servizi.
Il quadro internazionale
Lo scenario italiano rientra in una dinamica internazionale più ampia. Gli stessi gruppi, come NoName057(16) e CyberArmyofRussia_Reborn, hanno colpito in parallelo la Svezia, a seguito della sua adesione alla NATO, e la Corea del Sud, per ragioni geopolitiche legate al conflitto ucraino. Le campagne DDoS hanno interessato siti governativi e istituzioni pubbliche, confermando una tendenza globale alla strumentalizzazione delle minacce cibernetiche per fini politici.
Le minacce
Il ransomware si conferma una delle minacce principali per il Paese, con un aumento delle rivendicazioni da parte di gruppi come DragonForce e HuntersInternational. Questi attori malevoli hanno intensificato le loro operazioni, sfruttando vulnerabilità note nei sistemi aziendali e pubblici. In parallelo, l’analisi dei malware più diffusi in Italia ha evidenziato un aumento dei trojan e degli spyware, principali vettori di compromissione. La tendenza semestrale conferma una crescita costante di questi strumenti malevoli.
Contestualmente, si registra un sensibile aumento delle nuove CVE (Common Vulnerabilities and Exposures) pubblicate nel mese, un indicatore chiaro della costante espansione della superficie d’attacco. Il CSIRT ha emesso 321 comunicazioni di allerta relative a 646 servizi a rischio esposti su Internet, fornendo supporto operativo ai soggetti vulnerabili.
Il ruolo dello Csirt e cosa bisogna fare
Il CSIRT-Italia, come articolazione tecnico-operativa dell’Agenzia per la Cybersicurezza Nazionale, continua a svolgere un ruolo cruciale nel coordinamento della risposta agli incidenti cyber.
L’attività del CSIRT si avvale di informazioni provenienti da fonti aperte, commerciali e accordi con enti omologhi a livello internazionale, grazie alla sua adesione al circuito FIRST e Trusted Introducer.
La capacità di individuare tempestivamente le minacce e di condividere informazioni con i soggetti della constituency italiana rappresenta un fattore abilitante per la resilienza complessiva del Paese. Tuttavia, come emerso dal rapporto, resta fondamentale la cooperazione tra settore pubblico e privato, l’utilizzo di tecnologie avanzate e una costante attività di prevenzione e monitoraggio.
Il sesto Operational Summary del CSIRT-Italia offre un quadro chiaro delle sfide che l’Italia deve affrontare nel panorama cibernetico. L’aumento degli incidenti, il ritorno degli attacchi DDoS e la persistenza delle minacce ransomware impongono una risposta coordinata e proattiva.
“Il rafforzamento della cybersicurezza è una priorità strategica per la difesa delle infrastrutture critiche nazionali e per la protezione della vita digitale dei cittadini”, ha sottolineato il Direttore Generale dell’ACN, Bruno Frattasi. “Solo attraverso la condivisione delle informazioni, l’adozione di tecnologie innovative e un dialogo costante tra pubblico e privato potremo fronteggiare le minacce in continua evoluzione.” Il report evidenzia anche l’importanza delle attività operative svolte dal CSIRT Italia, che ha diramato 321 comunicazioni dirette a soggetti a rischio, segnalando un totale di 646 servizi vulnerabili esposti pubblicamente su Internet.”
Il lavoro del CSIRT-Italia si inserisce, dunque, in un percorso più ampio volto a elevare la resilienza digitale del sistema Paese, attraverso azioni concrete, formazione e un costante aggiornamento delle difese tecnologiche. Il rapporto rappresenta un ulteriore tassello nella costruzione di un ecosistema digitale sicuro, dinamico e all’altezza delle sfide globali che ci attendono.
