Nel primo quadrimestre dell’anno, rispetto allo stesso periodo dell’anno scorso, l’Acn, nell’operational summary di aprile 2025, ha contato 9915 eventi cyber (+26%), 205 incidenti (-24%).
Ma questi numeri non devono trarre in inganno. Infatti “lo scenario è preoccupante. A fronte di un apparente calo del numero degli incidenti, si osservano aumenti significativi degli attacchi DDoS (+107%) e ransomware (+34%)”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Ecco cosa emerge dal report mensile dell’Agenzia per la cybersicurezza nazionale.
Indice degli argomenti
ACN, l’operational summary di aprile 2025
Sono 345 gli attacchi DDoS nei primi quattro mesi del 2025 rispetto a 2024. “Interessante è una temporanea flessione di operazioni attribuite in passato ad attori classificati come ‘hacktivisti‘, principalmente interessati al conflitto russo-ucraino. Ma ritengo questa flessione temporanea e poco significativa”, avverte Paganini. Quelle campagne avevano l’Italia come bersaglio dal dicembre 2024 al febbraio scorso.
Sono scesi di circa il 90% gli attacchi DDoS e dell’80% gli attacchi di defacement rispetto al mese di marzo. Nel mese di aprile sono stati registrati 24 attacchi ransomware.
Due sono gli episodi più allarmanti: in un caso, hanno compromesso un fornitore di servizi digitali, con effetti diretti su pubbliche amministrazioni locali; l’altro attacco ha coinvolto un laboratorio diagnostico di una struttura ospedaliera, con impatti sulla business continuity dei servizi sanitari.
Le nuove CVE pubblicate stanno aumentando. Attraverso la vulnerabilità CVE-2024-31324 su prodotti Sap, attori malevoli avrebbero potuto installare una web shell. Invece una campagna di sfruttamento delle vulnerabilità CVE- 2022-42475, CVE-2023-27997 e CVE-2024-21762 ha riguardato le soluzioni Fortinet.
“Apprezzabile come sempre il lavoro del CSIRT Italia nell’individuare tempestivamente sistemi di organizzazioni nazionali affetti da vulnerabilità note nelle soluzioni SAP e Fortinet. Un’azione cruciale per prevenire accessi illeciti e rafforzare la sicurezza nazionale”, avverte Paganini.
Segnalazioni CSIRT: i settori più colpiti
Ad aprile, il CSIRT Italia ha spedito 3.733 comunicazioni dirette. Pubblica amministrazione centrale, telecomunicazioni e trasporti sono i settori con più vittime.
“Possiamo confermare che si sono intensificate le operazioni di cyber spionaggio condotte da gruppi APT riconducibili all’intelligence militare russa, come APT28. Le evidenze sono state prodotte da diverse agenzie internazionali preposte alla cibernetica dei loro paesi come la francese ANSSI e la statunitense CISA”, mette in guardia Paganini: “In queste ore per esempio apprendiamo di attacchi condotti dal gruppo APT28 contro organizzazioni occidentali nel settore della logistica e nel comparto tecnologico. Mentre in aprile, la Francia ha accusato l’APT28 di attacchi che hanno preso di mira o compromesso una dozzina di enti governativi francesi e altre entità“.
Inoltre, CSIRT Italia ha segnalato vari soggetti istituzionali a causa di una scorretta impostazione dei meccanismi di autenticazione della posta elettronica (Dmarc, Dkim e Spf), erroneamente configurati.
“L’analisi degli attacchi condotta dall’Acn dimostra quanto pericolosi restino vettori come email e vulnerabilità note, tendenza impossibile da invertire”, sottolinea Paganini.
Il modello Known Exploited Vulnerabilities Catalog di Cisa
Campagne malevole via email, uso di credenziali valide già compromesse e sfruttamento di vulnerabilità note sono i vettori di attacco più fotografati ad aprile.
“Mi piacerebbe che anche da noi si adottasse un modello come il ‘Known Exploited Vulnerabilities Catalog’ in uso dall’agenzia americana Cisa”, conclude Pagani: “Il catalogo elenca vulnerabilità attivamente sfruttate, aiutando a prioritizzare patch critiche. È aggiornato regolarmente e usato globalmente per rafforzare la difesa informatica contro minacce reali e concrete. Inoltre stabilisce requisiti e tempistiche stringenti per le attività di patch management per le agenzie governative americane che usano sistemi affette dalle vulnerabilità incluse nell’elenco. Attività di vigilanza e competenza sono essenziali per la sicurezza del nostro Paese”.
