Quando Mario Draghi formò un governo di unità nazionale nel febbraio 2021, le priorità per l’Italia consistevano nel limitare la diffusione della pandemia COVID-19 e sviluppare un piano di ripresa e resilienza (PNRR) con i fondi dell’Unione Europea (UE). Inoltre, dall’inizio dell’invasione russa dell’Ucraina nel febbraio 2022, il governo Draghi ha giocato un ruolo centrale nell’assicurare all’Italia un ruolo di primo piano nel fronte occidentale di supporto a Kiev.
Tuttavia, a seguito di controversie interne tra i partiti al governo, l’ex Presidente della Banca Centrale Europea è stato costretto a dimettersi, inducendo il Presidente della Repubblica Sergio Mattarella a sciogliere il Parlamento il 22 luglio 2022 e a proclamare le elezioni per il 25 settembre dello stesso anno.
Questo weekend, i cittadini italiani voteranno per eleggere i nuovi membri del Parlamento. In base agli attuali sondaggi, la candidata di Fratelli d’Italia, Giorgia Meloni, è il candidato più probabile a formare il prossimo governo e a diventare il primo primo ministro italiano donna; tuttavia, al momento, nessun risultato è certo. Chiunque formerà il prossimo governo dovrà affrontare alcuni gravi problemi nazionali e internazionali.
L’impennata dei prezzi del gas, l’inflazione economica e l’aumento della povertà sono solo alcuni dei problemi più urgenti che l’Italia si trova ad affrontare. Poiché le riforme strutturali previste per il PNRR sono state sospese, il prossimo governo dovrà agire rapidamente per evitare di perdere miliardi di euro sotto forma di fondi di recupero dell’UE.
Data l’importanza di questo voto, questo blog darà uno sguardo al panorama italiano delle minacce informatiche, considerando come questo momento delicato si rifletterà sulla sicurezza del Paese e delle proprie aziende. Vediamo insieme cosa succede.
Recenti campagne informatiche contro l’Italia
Nelle ultime settimane, le notizie relative alle minacce informatiche in Italia si sono concentrate su una recente campagna che ha preso di mira le organizzazioni italiane che operano nel settore energetico. Questi attacchi sono avvenuti sotto forma di ransomware, ma solo uno di essi è stato rivendicato da un noto gruppo di ransomware, ALPHV (alias BlackCat).
La frequenza di tali attacchi contro le organizzazioni italiane del settore energetico costituisce una tendenza senza precedenti, dato che per tutto il resto del 2022 non sono stati rilevati altri attacchi ransomware contro aziende italiane in questo settore. Tuttavia, dal 29 agosto 2022, tre diverse organizzazioni, ovvero il Gestore dei Servizi Energetici (GSE), il colosso petrolifero italiano Eni e l’azienda energetica Canarbino, sarebbero state prese di mira in attacchi ransomware.
Gli attacchi ransomware sono tipicamente opportunistici. Tuttavia, il fatto che il settore energetico italiano sia stato preso di mira in modo ripetuto e insolito indica che questa campagna è stata probabilmente coordinata a livello centrale da un’entità sconosciuta. È quindi realisticamente possibile che questi attacchi siano stati incoraggiati da uno Stato interessato a danneggiare un settore critico in Italia, dato che questo Paese rappresenta la terza economia dell’UE e il quinto fornitore di truppe della NATO.
Inoltre, i gruppi di ransomware possono dare priorità alle loro vittime prendendo di mira organizzazioni che operano in Paesi che attraversano periodi di relativa instabilità. Questo potrebbe spiegare l’aver preso di mira l’Italia, un Paese che ha visto crollare il proprio governo durante l’estate e che è in attesa di votare nei prossimi giorni. Durante il periodo elettorale, i Paesi raramente danno priorità alla risposta agli attacchi informatici, poiché sono spesso occupati da questioni più urgenti, offrendo così agli aggressori maggiori possibilità di successo.
Chi altro ha preso di mira l’Italia nel 2022?
Negli ultimi 12 mesi, le organizzazioni italiane sono state prese di mira da un gran numero di gruppi di hacker con motivazioni, capacità e risorse diverse. Vediamo nel dettaglio alcuni di questi attacchi, per capire meglio come gli attori delle minacce potrebbero prendere di mira l’Italia nei prossimi giorni, mentre i cittadini saranno impegnati a votare i loro candidati politici preferiti.
Nell’ultimo anno, i gruppi di ransomware hanno annunciato per ben 124 volte vittime italiane sui loro siti di fuga di dati nel dark web; il numero di organizzazioni colpite è probabilmente maggiore, poiché non tutte le vittime vengono nominate pubblicamente da questi gruppi. Le organizzazioni colpite appartenevano a vari settori, tra cui organizzazioni che operano nei servizi finanziari, nel settore manifatturiero e in quello governativo. Data l’attività di cui abbiamo parlato in precedenza contro i settori energetici italiani, è probabile che i gruppi di ransomware continueranno a prendere di mira le organizzazioni che operano in Italia nel breve termine (entro tre mesi).
Gli attori delle minacce a scopo finanziario non sono stati gli unici a prendere di mira l’Italia. Con l’inizio della guerra Russia-Ucraina del 2022, abbiamo osservato una significativa recrudescenza dell’attività hacktivista, con gruppi che si sono fatti avanti per sostenere entrambe le parti del conflitto. Essendo uno Stato membro della NATO e dell’UE, l’Italia è stata più volte presa di mira da gruppi di hacktivisti filorussi, come KillNet. Nel maggio 2022, l’attività dannosa contro le aziende pubbliche e private italiane è stata così intensa che il Computer Security Incident Response Team (CSIRT) italiano è stato costretto a rilasciare un avviso per mettere in guardia contro queste campagne di attacchi DDoS (Distributed Denial of Attacks) e offrire raccomandazioni. È realisticamente possibile che gruppi di hacktivisti tentino di attaccare organizzazioni pubbliche e private durante il volo con attacchi DDoS e di defacement.
Data l’importanza delle prossime elezioni, è probabile che anche i gruppi di hacker sponsorizzati dagli Stati stiano monitorando la situazione, nel tentativo di influenzare l’esito del voto. Nell’ultimo anno, l’Italia sarebbe stata presa di mira da diversi gruppi di minacce avanzate persistenti (Advanced Persistent Threat, o APT) durante campagne di disinformazione e spionaggio informatico. Queste campagne sono difficili da mitigare per i team di sicurezza e possono passare inosservate per molti mesi, a seconda della sofisticazione degli attaccanti. È quindi probabile che i gruppi APT stiano già conducendo offensive furtive contro le organizzazioni italiane in vista del voto, ma che tali operazioni non siano ancora state individuate e rese pubbliche.
In breve, molti hacker con motivazioni e capacità diverse potrebbero essere interessati a colpire l’Italia nelle prossime settimane. Se la vostra azienda opera in questo Paese, assicuratevi di avere questo evento nel calendario in modo che il vostro team di sicurezza possa operare di conseguenza. Le strategie di mitigazione possono variare notevolmente in base al vostro modello di minaccia, quindi assicuratevi di aggiornarlo il più frequentemente possibile e di adattare la vostra strategia di difesa su di esso.
È possibile ottenere una visione completa dei dati che abbiamo utilizzato per creare questo blog con una prova gratuita di 7 giorni di SearchLight qui. È inoltre possibile ottenere una demo personalizzata di SearchLight per ottenere visibilità delle minacce e delle potenziali esposizioni della vostra organizzazione, compreso l’accesso a una libreria di informazioni sulle minacce completa di associazioni MITRE e mitigazioni di Photon Research.