Cyberminacce in crescita: maggio nero per la sicurezza digitale in Italia

Tempo di lettura stimato:3 Minuti, 10 Secondi

Panorama cyber di maggio 2025: escalation delle minacce e nuove vulnerabilità

Il report mensile dell’Agenzia per la Cybersicurezza Nazionale (premere qui per leggere) evidenzia un maggio 2025 particolarmente critico per il tessuto digitale italiano. L’incremento del 23% degli eventi cyber registrati (201 rispetto ad aprile) rappresenta un campanello d’allarme significativo, soprattutto per l’elevata concentrazione nei settori finanziario, delle telecomunicazioni e della vendita al dettaglio.

Crescita dei ransomware: l’Università di Roma Tre tra le vittime

Tra i dati più allarmanti, spiccano i 17 attacchi ransomware identificati, in aumento del 20% rispetto alla media semestrale. Di rilievo l’incursione del gruppo INC1 contro l’infrastruttura dell’Università di Roma Tre, con potenziali compromissioni alla riservatezza dei dati accademici e amministrativi. Un attacco che mette a nudo la vulnerabilità del settore universitario, storicamente esposto a cyberaggressioni sofisticate ma sottoprotetto sul piano infrastrutturale.

Sofisticazione degli attacchi: phishing, credenziali in vendita e botnet

Il phishing mirato ha coinvolto oltre 300 messaggi malevoli partiti da una casella compromessa di un operatore del comparto energetico, a conferma di una strategia criminale sempre più ingegnerizzata e mirata. Parallelamente, è stato segnalato il commercio illecito di credenziali bancarie, potenzialmente in grado di consentire accessi fraudolenti a conti correnti personali.

In tale contesto si inserisce l’Operation Endgame, coordinata da Europol ed Eurojust, che ha colpito botnet strategiche (IcedID, Smokeloader, Bumblebee) attraverso il sequestro di oltre 100 server e 2.000 domini. Un’operazione che, se da un lato rappresenta un successo operativo, dall’altro conferma l’ampiezza dell’infrastruttura criminale a disposizione degli attaccanti.

Vulnerabilità sistemiche: i prodotti sotto attacco

Nel mese di riferimento sono state pubblicate 4.262 nuove vulnerabilità (CVE), 14 delle quali già oggetto di sfruttamento attivo. Particolarmente gravi le seguenti criticità:

Mozilla (Firefox): due vulnerabilità 0-day con impatto sistemico stimato superiore a 83/100.
Microsoft: debolezza nella gestione dei dMSA in Windows Server 2025, ancora priva di patch correttiva.
Samsung MagicINFO: exploit attivo in rete capace di compromettere il server tramite upload arbitrari.
Fortinet: bypass dell’autenticazione per chi dispone di credenziali amministrative.
Asus: backdoor persistente nei router, con rischio di controllo permanente da remoto.

La superficie di attacco si è ulteriormente ampliata con l’identificazione di asset potenzialmente compromessi pari a 2.171 (+1.745 rispetto ad aprile), e 532 asset vulnerabili (+243).

Tattiche d’attacco e nuovi vettori

Il documento evidenzia una convergenza nei vettori più comuni:

campagne malevole veicolate da e-mail;
sfruttamento di vulnerabilità note (in particolare con PoC pubblici);
uso di credenziali compromesse con accessi non autorizzati.

L’Exploit Prediction Scoring System (EPSS) ha individuato tre vulnerabilità con elevata probabilità di sfruttamento immediato:

Apache Tomcat (CVE-2025-24813) – EPSS 0.93
Langflow (CVE-2025-3248) – EPSS 0.96
Kubernetes Ingress-NGINX (CVE-2025-1974) – EPSS 0.87

Monitoraggio proattivo e comunicazioni operative

Il CSIRT Italia ha emesso 3.440 comunicazioni dirette e 51 alert pubblici. Le attività di monitoraggio hanno riguardato anche prodotti come:

ConnectWise ScreenConnect (Code Injection);
SysAid (Bypass autenticazione e RCE);
Craft CMS (Remote File Upload tramite deserializzazione Yii);
Samsung MagicINFO (upload arbitrario di file malevoli in Tomcat).

L’azione tempestiva dell’Agenzia ha permesso la segnalazione e il contenimento di dispositivi esposti appartenenti a soggetti italiani, con l’obiettivo di arginare tempestivamente compromissioni gravi.

Necessità di resilienza digitale strutturale

Il quadro delineato nel report ACN di maggio 2025 non è solo statisticamente allarmante, ma richiama alla necessità impellente di rafforzare i presidi cyber in modo sistemico. La crescente interconnessione tra settori critici e la natura evolutiva delle minacce impongono un approccio anticipatorio e multilivello, in cui la gestione del rischio non sia più un’opzione, ma un obbligo operativo e giuridico.

The post Cyberminacce in crescita: maggio nero per la sicurezza digitale in Italia first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.