Giugno 2025 ha mostrato con chiarezza quanto lo scenario cyber italiano resti in costante mutazione, oscillando tra minacce diffuse e una risposta strutturata, ma ancora affaticata dall’aumento degli eventi. 433 casi registrati in un solo mese – +115% rispetto a maggio – sono numeri che non parlano solo di attacchi, ma di una pressione operativa continua sul CSIRT Italia e su tutta l’architettura difensiva nazionale. Le cause vanno cercate principalmente nella recrudescenza dell’hacktivism, in particolare quello riconducibile a collettivi filo-russi. Non si è trattato solo di defacement su siti di piccole imprese manifatturiere, ma di una vera e propria campagna DDoS, avviata il 3 giugno e proseguita per 13 giorni consecutivi, con 275 attacchi registrati. Sebbene gli effetti siano stati contenuti – disservizi temporanei nel 13% dei casi – il messaggio è chiaro: le infrastrutture pubbliche e private italiane sono bersagli costanti e in alcuni casi troppo esposte.
Particolarmente inquietante è l’episodio che riguarda i sistemi SCADA. Gli attaccanti, utilizzando motori come Shodan, sono riusciti a individuare e accedere ad alcune interfacce di controllo industriale mal protette, pubblicando screenshot a scopo dimostrativo. I target, per fortuna, erano soggetti non critici, come piccoli impianti fotovoltaici, ma la dinamica sottolinea ancora una volta come l’errore di configurazione possa essere, da solo, la breccia in una diga apparentemente solida.
In un panorama simile, il phishing continua a fare da cavallo di Troia. La compromissione di un account email nel settore aerospaziale ha dato origine a una campagna mirata, capace di veicolare link malevoli per il furto di credenziali. Parallelamente, altre campagne hanno colpito ambiti molto diversi – energetico, costruzioni, sanità, finanza – utilizzando bot Telegram per esfiltrare le credenziali in tempo reale. È il segnale che anche attori meno sofisticati hanno ormai a disposizione strumenti automatizzati ed efficaci per monetizzare dati sensibili.
La parte più tecnica del report si concentra giustamente sulle vulnerabilità. 3.795 nuove CVE pubblicate solo a giugno – un calo rispetto a maggio, ma comunque un numero impressionante – di cui oltre 500 con PoC disponibile. Quelle di maggiore impatto sistemico coinvolgono, ancora una volta, nomi noti: Citrix, Microsoft, Roundcube, Grafana, PostgreSQL. In particolare, la famigerata “CitrixBleed 2” (CVE-2025-5777), una Out-of-Bounds Read che permette accesso in memoria senza autenticazione, rappresenta un rischio sistemico se l’apparato è esposto come Gateway. Lo scenario peggiora se affianchiamo la CVE-2025-5349 (Improper Access Control) e la CVE-2025-6543 (Buffer Overflow), che potrebbero consentire escalation e DoS. Gli alert pubblicati dal CSIRT sono tempestivi e tecnicamente molto precisi, ma la vera criticità è a valle: quanti amministratori applicano patch in tempi compatibili con la minaccia?
I numeri di compromissione sono un altro campanello d’allarme. La vendita di credenziali bancarie, l’uso di malware con indicatori tracciati in MISP, le 12 rivendicazioni ransomware (con Qilin e Akira in prima fila) e le ben 183 DDoS pubblicamente rivendicati completano un quadro fatto di pressione continua. In questo scenario, le comunicazioni dirette del CSIRT sono aumentate sensibilmente: ben 6.428 notifiche inviate a soggetti potenzialmente vulnerabili, +3.000 rispetto a maggio. È la prova tangibile che il sistema di monitoraggio proattivo funziona. Ma serve collaborazione. Serve consapevolezza. Serve formazione.
A chi lavora nel settore o semplicemente vuole capire la direzione che sta prendendo il mondo digitale italiano, consiglio di leggere tra le righe: la cyberdifesa nazionale non è più solo un tema da addetti ai lavori. È una questione di cultura organizzativa. È una responsabilità condivisa tra pubblico, privato e cittadini. E i report mensili del CSIRT Italia sono lo specchio – imparziale e spietato – di come ci stiamo difendendo.
Commenti
Posta un commento