ACN, a giugno aumentano le attività malevole: ecco il tallone di Achille delle piccole imprese

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilasciato il report di giugno che “fotografa un netto aumento delle attività malevole”, secondo Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.

Ecco cosa emerge dal nuovo Operational summary di ACN.

Operational summary di ACN: a giugno incremento a tripla cifra degli eventi

L’ACN ha archiviato il mese giugno 2025, registrando 433 eventi. Si tratta di un’impennata del 115% rispetto al mese scorso. Anche il numero di incidenti (90) supera la media del semestre precedente.

“Il dato non deve sorprendere e ci fornisce un’idea dello sforzo compiuto dalle nostre istituzioni per mitigare le minacce”, commenta Paganini.

A trainare la crescita è stata soprattutto una campagna di cyber attacchi che si è verificata nelle prime settimane di giugno. “Infatti, il rapporto segna il ritorno di una massiccia campagna DDoS filo-russa durata ben 13 giorni“, conferma Paganini.

Nel mese scorso abbia così assistito a una recrudescenza delle attività legati all’hacktivism, perpetrate da collettivi pro Russia, culminate in alcuni defacement di siti internet di piccole aziende del manifatturiero e in una campagna di attacchi DDoS, che dal 3 giugno è durata per ben 13 giorni consecutivi, totalizzando ben 275 attacchi.

L’elevato numero di attacchi e la durata però non sono corrisposto a impatti rilevanti o prolungati. Infatti, soltanto nel 13% casi si sono verificati disservizi transienti e con impatti modesti, a dispetto delle roboanti rivendicazioni.

Credenziali in vendita, attacchi phishing e ransomware

A giugno, inoltre, l’Operational summery dell’ACN ha rilevato 14 attacchi ransomware, in calo del 22% rispetto alla media del semestre scorso.

Le campagne phishing hanno invece compromesso account email attribuibili a soggetti non critici attivi in vari settori. La particolarità delle attività ha visto il furto delle credenziali attraverso esfiltrazione attraverso bot Telegram, impostato per l’invio automatico agli attaccanti dei dati raccolti.

“Preoccupa l’uso di Telegram per esfiltrare credenziali rubate via phishing”, sottolinea Paganini.

Inoltre, anche a giugno, il CSIRT ha avvertito i soggetti istituzionali della scoperta di credenziali compromesse in vendita, spesso appartenenti a clienti di istituti bancari e legate alla possibilità di accedere ai conti corrente.

Sistemi Scada: come mitigare il rischio

Gli attaccanti hanno anche rivendicato compromissioni di alcuni sistemi Scada, dopo aver individuato, tramite motori di ricerca, piattaforme con esposizione online prive di adeguate misure di sicurezza.

“Elemento di preoccupazione che emerge dal rapporto sono infatti gli attacchi a sistemi Scada non critici, esposti senza adeguate protezioni”, mette in guardia Paganini: “I sistemi OT sono il vero tallone di Achille di molti settori critici perché spesso datati e non adeguatamente protetti”.

Infatti, gli aggressori sono riusciti a effettuare l’autenticazione in sistemi di controllo industriale e pubblicare degli screenshot delle interfacce interne, a scopo dimostrativo.

I sistemi coinvolti sono appartenenti a soggetti non critici, come impianti fotovoltaici di piccola taglia o strutture ricettive, prontamente allertati dal CSIRT Italia.

“Alla luce dei conflitti in corso, e delle capacità note dei nation-state actor coinvolti, è lecito attendersi nei prossimi mesi un sensibile aumento degli attacchi a sistemi ICS-Scada, per questo motivo è importante sensibilizzare tutte quelle organizzazioni che ne fanno uso”, evidenzia Paganini.

“In calo, invece, i ransomware (-22%), ma ritengo sia una breve tregua, mentre diversi gruppi si stanno riorganizzando nell’ecosistema criminale”, aggiunge ancora l’analista.

L’Australian Cyber Security Centre ha rilasciato il “Principles of operational technology cyber security”, dedicato alle infrastrutture critiche per assicurarne la continuità.

Il documento australiano è in linea con la direttiva NIS 2 e CER, a dimostrazione che la strada giusta consiste nel seguire le raccomandazioni delle direttive europee.

Infine, i vettori di attacco più popolari nello scorso mese sono state campagne malevole via email, exploit di falle note e l’utilizzo di credenziali valide già compromesse.

“Continuano a circolare credenziali bancarie compromesse. Si confermano le email, le vulnerabilità note e le credenziali valide come vettori di attacco privilegiati”, conferma Paganini.

Mantenere i sistemi aggiornati e applicare le patch appena rilasciate rimane l’arma di difesa migliore per mitigare i rischi insieme a tenere alta la guardia contro attacchi sempre più sofisticati.

Si attestano a 3.795 le nuove CVE rese pubbliche, in declino rispetto al mese precedente (−467).

“Notevole l’impegno del CSIRT: oltre 6.400 notifiche inviate a enti e aziende, un dato che ci fornisce una misura dello sforzo profuso”, conclude Paganini.