Dall’operational summary dell’Acn di maggio emerge ancora una crescita a doppia cifra dei ransomware.

“Il report di maggio 2025 dell’Agenzia per la Cybersicurezza Nazionale evidenzia una recrudescenza dell’attività ransomware in Italia, con un incremento del 20% rispetto alla media semestrale”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.

“Il report Acn fotografa una realtà che ormai non dovrebbe più sorprendere nessuno”, mette in evidenza Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0, “attacchi in aumento, difese in affanno, e aziende che scoprono la cybersicurezza solo quando smettono di lavorare”.

Ecco il report mensile nei dettagli.

Operational summary di Acn: a maggio

Maggio 2025 si è chiuso registrando 201 eventi, con un incremento del 23% rispetto al mese precedente. Invece il numero di incidenti (51) è leggermente sotto la media del semestre precedente.
I settori che contano più vittime in termini numerici sono stati: telecomunicazioni, servizi finanziari e vendita al dettaglio.

Nel mese scorso Acn ha rilevato 17 attacchi ransomware. Fra quelli più significativi emerge quello che il gruppo INC1 ha rivendicato ai danni dell’Università di Roma Tre.

“Il dato più allarmante è la persistenza di gruppi strutturati come INC e Nova, capaci di colpire anche istituzioni accademiche” come quella citata, secondo Dario Fadda: “Dall’osservatorio Ransomfeed si può verificare che dei 17 attacchi evidenziati in questo report, 12 per il mese di maggio sono quelli che i criminali hanno rivendicato pubblicamente”.

In calo le campagne di hacktivism

Come già sottolineato nei due mesi precedenti, scendono le campagne di hacktivism connesse al conflitto russo-ucraino.

Dalle attività di monitoraggio del CSIRT Italia emerge un crollo anche degli attacchi DDoS e dei defacement rispetto al passato.

Invece ha rilevato una campagna di phishing di oltre 300 messaggi di posta elettronica, attraverso una casella compromessa a un operatore del settore energia. I messaggi cercavano di trarre in inganno i destinatari, invitandoli ad immettere le proprie credenziali in un sito web malevolo, creato ad arte dall’attaccante.

“Un altro mese, un altro report che ci ricorda come il ransomware sia diventato il piano industriale di chi non ce l’ha”, mette in guardia Sandro Sana: “E noi? Ancora a discutere se serve davvero un backup offline. 1.977 dispositivi compromessi, ma la vera notizia è che ce ne sono ancora migliaia esposti. La superficie d’attacco italiana? Un colabrodo con la Pec”.

Come mitigare il rischio

La regola aurea è la consapevolezza. Infatti è necessario mantenere i sistemi, i software e le app aggiornati, effettuare download solo da marketplace ufficiali e non cadere vittime di phishing.

“Ancora più rilevante, però, è il legame tra i ransomware e le infrastrutture criminali smantellate durante l’Operation Endgame: la compromissione di quasi 2.000 asset in Italia dimostra quanto i botnet restino un nodo critico nella catena d’attacco. Questo conferma l’urgenza di rafforzare il monitoraggio proattivo e l’adozione tempestiva di patch, soprattutto nei settori più esposti come finanza, telecomunicazioni ed energia”, conclude Dario Fadda.

Inoltre occorre che gli utenti non riusino mai le stesse password e si avvalgano di password manager che generino credenziali uniche e complesse per ogni servizio.

“Finché la cyber security resterà una voce di spesa e non di strategia, continueremo a rincorrere i breach col secchio in mano, mentre l’incendio divampa”, avverte Sandro Sana.