Il rapporto CSIRT di novembre: aumentano vittime e incidenti

È stato pubblicato oggi il nuovo rapporto mensile del CSIRT-Italia. Il documento riporta su base mensile alcuni numeri e indicatori derivanti dalle attività operative dell’Agenzia per la Cybersicurezza Nazionale, utili per caratterizzare lo stato della minaccia cyber in Italia.

Il rapporto è il risultato di un lavoro di valorizzazione e analisi di diverse fonti di conoscenza, Queste informazioni dotano l’Agenzia di un ampio cono di visibilità sullo stato della minaccia cyber a danno del sistema Paese e forniscono, dal punto di vista qualitativo, un quadro strutturato delle minacce e del livello di esposizione dei soggetti nazionali.

Tutte le informazioni vengono studiate e valorizzate dagli operatori del CSIRT Italia, i quali
nella fase di triage le analizzano e classificano come eventi cyber; per ognuno di questi vengono
esperite una serie di attività a seconda del soggetto impattato e del tipo di evento, come:

• approfondire le informazioni, valutando il rischio d’impatto sistemico di vulnerabilità e incidenti;
• se necessario inviare richieste di informazioni ai soggetti;
• fornire supporto da remoto o in loco ai soggetti impattati;
• inviare comunicazioni ai soggetti impattati oppure a tutti i soggetti potenzialmente
impattati;
• pubblicare alert o bollettini.

All’interno dell’Operational summary di novembre, il sesto della serie pubblica, si segnalano in particolare i seguenti elementi di conoscenza:

• Aumento delle vittime: a novembre 2024 si è registrato un aumento del numero di eventi e di incidenti rispetto al mese di ottobre; tuttavia, il numero di eventi è nella media rispetto al semestre precedente,
mentre il numero di incidenti è superiore alla media; si è registrato altresì un incremento del numero di vittime, dovuto principalmente al rilevamento di un data breach contenente dati afferenti a centinaia di soggetti e al rilevamento di potenziali compromissioni di diversi account Microsoft 365;

• I settori più colpiti: Pubblica amministrazione locale, Pubblica amministrazione centrale e Università e ricerca. L’aumento nel settore Pubblica Amministrazione locale è stato determinato principalmente dagli
attacchi di tipo defacement condotti ai danni dei siti web di diversi piccoli comuni, rivendicati dal collettivo hacker Nofawkx-al. Il gruppo è noto per aver condotto, in passato, una serie di attacchi per veicolare messaggi a sostegno di cause politiche come quella legata all’indipendenza del Kosovo;

• Attacchi DDoS: nel mese di novembre sono ripresi gli attacchi DDoS nei confronti dei soggetti italiani condotti da gruppi hacktivisti filorussi, dopo un’interruzione di circa cinque mesi. Questi attacchi hanno colpito diverse società del settore dei trasporti con impatti limitati. Nello stesso periodo anche la Svezia ha subito un’intensificazione dei DDoS, ad opera dei medesimi gruppi, avviati a seguito della sua adesione alla NATO avvenuta a marzo. Di rilievo anche quanto accaduto nella Corea del Sud, oggetto di una serie di attacchi DDoS da parte di NoName057(16) innescati dalle dichiarazioni del Ministro degli Esteri e del Presidente della Repubblica di Corea riguardanti la possibilità di fornire armamenti all’Ucraina. Le offensive hanno colpito siti governativi, enti finanziari e istituzioni pubbliche, determinando impatti sull’operatività dei servizi. I gruppi più attivi a livello globale per numero di rivendicazioni sono stati NoName057(16) e CyberArmyofRussia_Reborn;

• Il Ransomware: gruppi più attivi per numero di rivendicazioni Ransomware sono stati DragonForce e
HuntersInternational;

• Il numero delle nuove CVE pubblicate è in sensibile aumento rispetto a ottobre.

Sono state diramate un totale di 321 comunicazioni verso i soggetti della constituency che
esponevano pubblicamente su Internet complessivamente 646 servizi a rischio. 

Il CSIRT Italia, articolazione tecnico-operativa dell’Agenzia, hub nazionale delle notifiche obbligatorie e volontarie di incidenti previste per legge nel realizzare tutte le sue attività utilizzano anche informazioni provenienti da fonti aperte e commerciali nonché da altre articolazioni omologhe nazionali ed internazionali, che le condividono di iniziativa o in base ad accordi di collaborazione. CSIRT Italia è parte del circuito FIRST e Trusted Introducer