L’Agenzia per la Cybersicurezza Nazionale (ACN) ha diffuso il nuovo Operational Summary, il rapporto che fotografa lo stato della minaccia cyber in Italia. Il documento, curato dal Servizio Operazioni e Gestione delle Crisi Cyber, raccoglie dati, indicatori e analisi sugli eventi cibernetici rilevati nel mese di marzo 2025, con l’obiettivo di fornire un quadro chiaro e tempestivo sull’evoluzione del panorama delle minacce.
Tra i principali spunti emersi dal report, spicca una diminuzione del numero di eventi mentre il numero di incidenti è rimasto sostanzialmente nella media rispetto ai sei mesi precedenti. I tre settori più colpiti sono stati: Pubblica amministrazione locale, Pubblica amministrazione centrale e il comparto tecnologico.
L’incremento degli incidenti nel settore della Pubblica Amministrazione locale è il risultato di una violazione dei sistemi di un fornitore di servizi web. L’incidente ha determinato la compromissione di ventisei siti istituzionali di piccoli comuni, con l’obiettivo, da parte degli attaccanti, di utilizzarli per la creazione di pagine di phishing.
Di seguito gli ulteriori principali punti emersi nel mese:
- Il mese di marzo ha visto una riduzione del 60% degli attacchi DDoS rispetto a febbraio. Tuttavia, i 76 attacchi registrati sono stati indirizzati quasi esclusivamente contro siti della Pubblica Amministrazione, sia a livello locale che centrale. Queste offensive sono spesso alimentate da gruppi coordinati sui social, che rilanciano obiettivi e rivendicazioni in modo sinergico, amplificando l’impatto mediatico.
- Nel mese di marzo 2025 sono stati rilevati 28 attacchi ransomware, alcuni anche in danno di soggetti all’interno della Constituency. I gruppi più attivi per numero di rivendicazioni sono stati RansomHub e Lockbit30.
- Nel corso del mese sono state rilevate e segnalate esposizioni non autorizzate di dati relativi a piattaforme di streaming, servizi di e-commerce e amministrazioni pubbliche.
- I vettori di attacco maggiormente rilevati a marzo 2025 sono stati: campagne malevole veicolate tramite e-mail, utilizzo di credenziali valide precedentemente compromesse e sfruttamento di vulnerabilità note.
- Il numero delle nuove CVE pubblicate è in sensibile aumento rispetto a febbraio.
- Nel mese di marzo 2025, il CSIRT Italia ha inviato 3.877 comunicazioni dirette, effettuate per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni e imprese italiane;
- A marzo 2025 è stato rilevato un incremento del numero di asset potenzialmente compromessi a seguito di un’attività di analisi condotta dal CSIRT Italia, finalizzata all’individuazione di dispositivi di videosorveglianza compromessi e parte della botnet DDoS denominata Eleven11bot.
Per approfondire nel dettaglio tutti i dati e le analisi, consulta il report completo di ACN Operational summary
