ACN, Operational Summary: Report mensile di CSIRT Italia sull’andamento della minaccia cyber

A maggio 2025 sono stati registrati 201 eventi, in aumento del 23% mentre il numero di incidenti (51) è inferiore alla media dei 6 mesi precedenti i settori con il maggior numero di vittime registrate sono stati: servizi finanziari, telecomunicazioni e vendita al dettaglio.

Rilevati 17 attacchi ransomware, con un aumento del 20% rispetto alla media dei 6 mesi precedenti. Tra gli incidenti ransomware di maggiore rilievo si segnala quello rivendicato dal gruppo INC1 ai danni dell’Università di Roma Tre2.

In continuità con quanto osservato a marzo e aprile, si è registrata una attenuazione delle campagne di hacktivism legate al conflitto russo-ucraino. Ciò si è concretizzato in una riduzione sia degli attacchi DDoS sia dei defacement rispetto ai mesi precedenti, nel corso delle attività di monitoraggio condotte dal CSIRT Italia, significativo è stato il rilevamento di una campagna di phishing di 300 messaggi di posta elettronica originati da una casella compromessa ad un operatore del settore energetico. I messaggi invitavano i destinatari a inserire le credenziali in un sito web malevolo predisposto dall’attaccante.

Di rilievo il rinvenimento di credenziali compromesse in vendita (US e PW), in larga parte riconducibili ai clienti di istituti bancari e potenzialmente associate all’accesso ai conti corrente, segnalata dal CSIRT ai soggetti istituzionali preposti.

Nel mese di maggio è stata svolta un’attività di analisi mirata all’individuazione di dispositivi potenzialmente compromessi, utilizzati come infrastruttura per la distribuzione di ransomware, ciò a seguito dell’Operation Endgame: una operazione internazionale coordinata da Europol ed Eurojust, che ha portato all’arresto di 4 soggetti e al sequestro di 100 server e 2.000 domini. L’operazione ha colpito botnet strategiche come IcedID, Smokeloader e Bumblebee impiegate nella fase iniziale della kill chain dei ransomware, l’attività ha permesso di individuare e segnalare 1.977 dispositivi potenzialmente compromessi, esposti su Internet da soggetti italiani.

I vettori di attacco rilevati a maggio 2025 sono stati: campagne malevole veicolate tramite e-mail, sfruttamento di vulnerabilità note e l’utilizzo di credenziali valide precedentemente compromesse, 4.262 le nuove CVE pubblicate, in diminuzione rispetto ad aprile (−37).
Nell’ultimo mese il CSIRT Italia ha inviato 3.440 comunicazioni dirette, effettuate per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni ed imprese italiane. Allegato: Operational Summary maggio 2025

Fonte: Agenzia per la Cybersicurezza nazionale