“La minaccia informatica estremamente variabile richiede una prontezza tecnica della difesa coadiuvata da investimenti mirati e da formazione del personale specialistico IT e non IT”. Parola di CSIRT-ACN.

Le cause principali dei numerosi successi degli attacchi ransomware e information disclosure sono ancora da ricercare fra i ‘soliti sospetti’: scarso orientamento alla prevenzione ed eccessiva propensione a pagare riscatti piuttosto che denunciare.

La Relazione al parlamento 2025 dell’Agenzia per la Cyber sicurezza Nazionale (ACN) ha fotografato un 2024 denso di attività e iniziative tecniche e normative per la resilienza sistemica ai fini della protezione della superficie digitale nazionale e per lo sviluppo tecnologico sicuro e accessibile.

In questa fotografia è compresa anche la valutazione della minaccia digitale basata sulle intense attività dello Cyber Security Incident Response Team (CSIRT) nazionale dell’ACN.

Proprio con questa articolazione dell’Agenzia abbiamo voluto approfondire, non solo lo stato della minaccia sul territorio italiano, ma anche le sue maggiori caratterizzazioni.

Per fornire indicazioni ad una più appropriata, specifica ed efficace difesa e, in caso dovesse accadere un incidente, per potersi interfacciare al meglio con questo team di risposta incidenti, che può molto, ma non può tutto: ogni organizzazione deve fare la sua parte mediante prevenzione, compliancy e proattività.

Analisi della minaccia sul ‘territorio digitale italiano’

Guardando alla Relazione, la minaccia sul territorio e alle organizzazioni italiane è molto cresciuta nel 2024 rispetto al 2023, e questo nonostante i tanti sforzi di difesa e il lavoro dell’Agenzia per innalzare la resilienza a livello nazionale.

Nel 2024 il CSIRT Italia ha gestito 1.979 eventi cyber, ben 165 al mese: di questi sono 573 gli incidenti con impatto confermato. Rispetto al 2023 gli eventi sono aumentati del 40% e gli incidenti quasi del 90%. Tra tutte le minacce il ransomware continua a diffondersi. La stessa ACN nel corso dell’anno ha inviato oltre 53.000 alert per segnalare potenziali compromissioni o fattori di rischio ai soggetti monitorati.

Ma analizzare gli attacchi (per genere di attaccante, per tipo di minaccia, frequenza, tecniche e picchi) può aiutare i team di sicurezza nel migliorare le misure di difesa. L’analisi è illustrata dal team dello CSIRT operazioni, che ci spiega come “il numero di eventi e incidenti sia cresciuto nel 2024, così come negli anni precedenti e come stia già avvenendo nei primi mesi del 2025. La minaccia è estremamente variabile in quanto influenzata da numerosi fattori, da quelli di natura geopolitica, come le guerre in corso, a quelli legati alle vulnerabilità tecniche: la scoperta di uno zero day su un dispositivo largamente impiegato può causare da sola decine di eventi cyber, una singola campagna DDoS da parte di hacktivisti ne può fare centinaia, un data breach può interessare migliaia di vittime e così via”.

Sono due i fattori che influenzano tale crescita. “Il primo è la capacità, sempre in evoluzione, del CSIRT Italia di rinvenire compromissioni, fattori di rischio, vulnerabilità esposte, dati esfiltrati in vendita su siti malevoli, malware e così via. Maggiore capacità vuol dire maggiori numeri; il secondo, non meno importante, è l’evoluzione del quadro normativo: la recente Legge n.90/2024 e il D.lgs 138 dello stesso anno, che ha recepito la Direttiva europea NIS2, hanno fatto sì che migliaia di nuovi soggetti abbiano avuto contezza dell’esistenza di ACN, della possibilità o dell’obbligo di notificare incidenti e di avere supporto, nonché innalzato il livello di attenzione sul tema”.

Le conseguenze dei due fattori sono pressoché immediate, come confermano gli esperti CSIRT: “I due fattori implicano che le organizzazioni abbiano guadagnato e continuino a guadagnare maggiore consapevolezza, capacità di monitoraggio della minaccia anche dal punto di vista tecnico.

Vale a dire, vedono di più e notificano di più o perché obbligati (in minima parte) o volontariamente, perché sono venuti appunto a conoscenza dell’importanza dell’information sharing. Ci aspettiamo un ulteriore incremento quando terminerà il processo transitorio della NIS2, il prossimo anno”.

Focus sulla singola minaccia per saper reagire

DDOS

Non tutte le campagne di attacco sono uguali. Anche se il 2024 ha visto molte casistiche di Distributed Denial of Service (DDOS), non tutte le ‘ciambelle di attacco sono riuscite col buco’! Gli analisti del CSIRT spiegano che “per quanto riguarda i DDoS, non si può parlare di successo delle campagne. Come riportato nella relazione annuale, dei 519 attacchi censiti effettuati da attivisti, solo il 15% ha prodotto disservizi misurabili di carattere temporaneo (tipicamente circa un’ora di irraggiungibilità della risorsa attaccata), mentre nei restanti casi non sono stati rilevati impatti”.

I motivi degli insuccessi sono interessanti. “Da una parte questo è dovuto all’esperienza dei soggetti attaccati i quali, spesso interessati più volte nell’ambito di campagne diverse, adottano misure di mitigazione per tempo; dall’altra è dovuto al fatto che ACN si attiva non appena vengono individuati i target degli attacchi ed invia comunicazioni di allertamento contenente una serie di contromisure specifiche per la mitigazione dell’attacco in corso. Nei casi più complessi supporta direttamente i soggetti attaccati”.

Una azione di proattività di un certo spessore. “Sono 645 le comunicazioni inviate contenenti mitigazioni specifiche per il tipo di DDoS in corso nel 2024, 249 nei primi 5 mesi del 2025″, spiegano al CSIRT. “A partire dall’inizio di tale attività hacktivista, avvenuta a maggio 2022, ACN ha pubblicato una serie di alert e contromisure sul sito web del CSIRT al bisogno (15 tra alert e bollettini di approfondimento) e dedicato una sezione del sito web a questa minaccia contenente modalità per l’identificazione del tipo di attacco; azioni di mitigazione generali e specifiche per i prodotti web più attaccati”.

A tutto ciò si devono aggiungere ulteriori iniziative. “A febbraio 2025 – aggiungono gli analisti – ACN ha pubblicato un documento specifico sulla minaccia DDoS, che descrive le diverse tipologie di attacchi, le tecniche e le tattiche adottate dai cybercriminali, nonché fornisce raccomandazioni e contromisure. Il testo presenta un modello semplificato di riferimento, utile per identificare gli asset più esposti e orientare con maggiore precisione le strategie di mitigazione”.

Information Disclosure

L’analisi si fa più complessa quando si entra nel mondo dell’information disclosure, cioè la divulgazione non autorizzata di informazioni sensibili di una organizzazione (dati aziendali ma anche dati personali).

La ricostruzione dell’esfiltrazione è un processo articolato. Infatti, spiegano gli analisti delle operazioni, “l’information disclosure si ha quando gli operatori del CSIRT Italia, a seguito di segnalazione da soggetti terzi oppure in prima persona, rinvengono dati di imprese e amministrazioni italiane su siti web malevoli, di compravendita di dati o su rivendicazioni di attacchi effettuate da parte di gruppi ransomware. A valle del rinvenimento il CSIRT allerta i soggetti interessati e le autorità di polizia e si attivano per cercare di capire se i dati sono stati esfiltrati da attaccanti oppure erroneamente resi accessibili all’esterno. Di fatto, la quantità di dati oggetto di esfiltrazione o erroneamente accessibile è talmente elevata che all’aumentare delle capacità di rinvenirli aumentano i casi di information disclosure. Ciò in aggiunta all’aumentata consapevolezza dei soggetti impattati e all’aumentata visibilità di ACN anche a seguito delle recenti evoluzioni normative: più consapevolezza implica più capacità di trovare tali dati e più notifiche. Questi fattori stanno portando questa tipologia di minaccia ai vertici delle classifiche”.

Ransomware

Sul versante dei ransomware – malware capaci di agire in modo malevolo per far ottenere un riscatto all’attaccante – si assiste ad una evoluzione, come confermano gli esperti: “Sebbene la minaccia sia numericamente cresciuta ‘solo’ del 20%, nel 2024 è sempre stata trattata con priorità a causa degli impatti dirompenti, specie nei settori critici. Le ragioni per il successo degli attacchi sono da ricercare principalmente negli errori umani, mancanza di misure di sicurezza e di strutture dedicate alla cyber security. Ciò è testimoniato anche dal tipo di ‘target’ che i gruppi riescono a compromettere: nel tempo, il numero di soggetti ‘non critici’ attaccati è in continuo aumento, mentre nel 2024 solo il 5% dei casi ha riguardato soggetti classificati a criticità massima. Ciò è dovuto, come detto, da una parte alla mancanza di capacità di prevenzione (e in questo le nuove leggi e le attività di ACN giocano un ruolo importante, per i soggetti più critici e strutturati), dall’altra al fatto che gli attaccanti sono opportunistici, ovvero, colpiscono soggetti che con maggior probabilità pagano il riscatto”.

A cosa (e come) tenersi pronti

Considerato lo scenario di chi attacca, sul versante della difesa non è raccomandabile dormire sonni tranquilli e anzi è bene prepararsi nel modo corretto.

“Dal punto di vista delle contromisure, occorre essere pronti a qualunque tipo di minaccia, anche se tipicamente soggetti diversi sono interessati da attori malevoli diversi: abbiamo osservato ad esempio che i DDoS da parte di hacktivisti tendono ad interessare in maniera particolare la PA centrale e il settore trasporti e finanziario, mentre il ransomware sembra concentrarsi sul settore manufatturiero, con impatti dirompenti sul settore sanitario. Studiare lo stato della minaccia può aiutare nel prioritizzare gli investimenti”.

Un elemento cardine per tenersi pronti è la predisposizione di un piano di risposta agli incidenti che può essere sviluppato seguendo la dottrina delle pratiche operative del National Institute of Standards & Technology (NIST).

“L’obiettivo principale di un piano di risposta è garantire la prontezza ad agire, limitare l’impatto dell’incidente, ripristinare rapidamente le normali operazioni e ridurre proattivamente il rischio di futuri attacchi. Il piano dovrebbe essere strutturato seguendo principi di gestione degli incidenti, come quelli delineati dalla guida NIST SP800-61 Rev 2, che identifica quattro fasi principali: preparazione, rilevamento e analisi, contenimento eradicazione e risposta di recupero, e aAttività post-incidente. La fase di preparazione è fondamentale per la costruzione di efficaci capacità di risposta agli incidenti”.

Non solo misure tecniche, però. “E’ importante anche investire sulla formazione del personale sia specializzato nella gestione dei sistemi IT ma soprattutto in quello non dedicato all’IT e alla sicurezza: nella relazione 2024 abbiamo riportato come nel 58% dei casi i vettori iniziali di attacco sono le e-mail, ovvero l’impiego di comunicazioni fraudolente per indurre l’utente a divulgare credenziali, eseguire codice malevolo o fornire informazioni sensibili. Il secondo vettore d’attacco per numerosità (14%) lo sfruttamento di vulnerabilità, il terzo (13%) l’utilizzo di account validi, magari precedentemente oggetto di raccolta tramite campagne di phishing e quindi, via e-mail”.

I motivi di una formazione appropriata risiedono in un calo del rischio perché, spiega il team, “un utente sufficientemente formato sarebbe in grado di non cadere in tali raggiri via e-mail e personale IT qualificato adotterebbe una corretta gestione del patching in modo da ridurre il rischio di compromissioni che sfruttano vulnerabilità obsolete”.

In conclusione, gli esperti CSIRT ricordano come “una preparazione efficace contro gli incidenti richiede un impegno costante e un investimento in persone, processi e tecnologia, con un’attenzione particolare alla proattività, alla resilienza e alla capacità di recupero”.

Decisamente, non c’è da improvvisare e sperare nella fortuna.