Dal report di Acn emerge a gennaio 2025 un calo degli eventi rispetto ai mesi precedenti. Invece, il numero di incidenti è rimasto in linea con la media degli ultimi sei mesi.
Ma crescono i casi di esfiltrazione dei dati e Pa centrale, telecomunicazioni e IT sono stati i settori più colpiti.
“Nonostante una riduzione del numero complessivo di eventi, preoccupa infatti l’aumento delle minacce rivolte a settori critici, con la Pubblica Amministrazione e le telecomunicazioni particolarmente esposte”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di CyberSecurity360.
“I dati del CSIRT Italia confermano un’escalation di attacchi sempre più mirati e sofisticati, con un trend in crescita per ransomware e DDoS”, aggiunge Giorgio Triolo, Chief Technology Officer di Axitea.
Indice degli argomenti
Report Acn: i principali vettori di attacco a gennaio 2025
L’incremento degli eventi nel settore della Pubblica amministrazione centrale è dovuto all’aumento degli attacchi DDoS.
Nel mese di gennaio, le attività di hacktivism in Italia hanno presentato una continuità rispetto al passato, con attacchi DDoS rivendicati soprattutto da gruppi filorussi.
Ma la novità di gennaio è stata l’azione diretta anche contro alcuni siti web di strutture sanitarie, sotto attacco, secondo le rivendicazioni, per il supporto militare offerto dall’Italia all’Ucraina.
“Particolarmente preoccupante è infatti l’attivismo dei gruppi filorussi, che hanno esteso le loro azioni anche al settore sanitario, evidenziando la necessità di rafforzare le misure di protezione per infrastrutture critiche e aziende”, aggiunge Giorgio Triolo.
Finora l’ambito sanitario era nel mirino di minacce cyber, soprattutto ransomware, motivate da richieste di riscatto, invece da inizio anno il settore è diventato anche bersaglio di campagne di attacchi con finalità ideologiche di matrice hacktivista.
“L’attività degli hacktivisti, soprattutto di matrice filorussa, ha subito un’intensificazione, prendendo di mira anche strutture sanitarie, un segnale di come le motivazioni geopolitiche stiano influenzando sempre più gli attacchi“, mette in guardia Dario Fadda.
Nello stesso periodo, tra le attività sotto l’ìombrello dell’hacktivism, rientra anche il defacement di vari siti web, appartenenti a realtà aziendali poco protette, rivendicato dal gruppo DXPloit, con lo scopo di veicolare messaggi a supporto dell’Islam.
Ransomware e vettori d’attacco più rilevati: come mitigare il rischio
Per quantità di rivendicazioni ransomware, secondo il report dell’Acn, a gennaio 2025 i gruppi più attivi sono stati Everest e Akira.
“l ransomware continuano a rappresentare una minaccia significativa, con gruppi come Everest e Akira tra i più attivi”, conferma Dario Fadda.
Le campagne malevole via email, lo sfruttamento di vulnerabilità già note e l’uso di credenziali valide, però compromesse, sono stati i principali vettori di attacco.
“Molte delle vulnerabilità sfruttate derivano da sistemi non aggiornati o mal configurati, ribadendo l’importanza di una gestione efficace del ciclo di vita degli asset IT e della tempestiva applicazione delle patch di sicurezza e della necessità di separazione dei ruoli tra chi si occupa di IT e chi gestisce la sicurezza informatica”, mette in risalto Triolo.
Inoltre, sono in aumento le rilevazioni di casi di esfiltrazione dei dati, con informazioni compromesse di organizzazioni, che operano in settori differenti. In alcuni casi, si è verificata la successiva diffusione in rete dei dati oggetti di furto. Cresce di conseguenza il potenziale danno reputazionale e l’impatto in termini di sicurezza delle realtà coinvolte.
L’accesso con credenziali rubate
Infine, aumentano i casi di accesso con credenziali legittime, ottenute in precedenti violazioni o carpite tramite tecniche di credential stuffing.
“L’aumento degli accessi non autorizzati tramite credenziali compromesse mette in luce una carenza nella gestione delle identità digitali: l’adozione dell’autenticazione multi-fattore (MFA) e il potenziamento dei sistemi di monitoraggio sono oggi imprescindibili per mitigare i rischi”, avverte Giorgio Triolo.
Crescono anche le nuove CVE rese pubbliche rispetto a dicembre.
Per mitigare il rischio, “è cruciale rafforzare la sicurezza dei sistemi, specialmente contro le vulnerabilità note, il cui sfruttamento resta uno dei principali vettori di attacco”, avverte Dario Fadda, che conclude: “La crescita delle esfiltrazioni di dati e l’uso di credenziali compromesse dimostrano l’urgenza di adottare strategie di difesa proattive, come il monitoraggio continuo e l’implementazione di misure di autenticazione avanzate“.
“Con il numero di CVE in costante crescita e tecniche di attacco sempre più raffinate, diventa essenziale un approccio proattivo basato sulla threat intelligence e sulla collaborazione tra enti pubblici e privati. Le aziende devono investire in piani di risposta agli incidenti e testare regolarmente la loro resilienza attraverso simulazioni di attacco e penetration testing, trasformando la sicurezza informatica in un pilastro strategico della propria operatività”, conferma Giorgio Triolo.
