Automazione Plus

Y-Report 2025, VIII edizione: l’Italia è stato il 5° Paese più colpito da Hacktivismo nel 2024ERT

Var Group presenta l’ottava edizione del Y-Report di Yarix, il suo centro di competenza per la cybersecurity, per tracciare lo scenario delle minacce informatiche che hanno colpito l’Italia e il mondo nel corso del 2024.

Nel 2024, il Security Operation Center (SOC) di Yarix, sala di controllo da cui vengono monitorati gli attacchi informatici in tempo reale, ha analizzato complessivamente oltre 485 mila eventi di sicurezza (+56% rispetto al 2023), ovvero attività anomale o sospette nei sistemi. Quasi 1 su 3 di questi eventi (141 mila, +70% sul 2023) è evoluto in incidente, violazione che ha impattato la sicurezza di dati o sistemi. In questo scenario, gli incidenti di gravità critica sono più che triplicati (+269% su base annua), trend favorito dalla presenza di vulnerabilità in componenti chiave dell’infrastruttura, come firewall e altri dispositivi di sicurezza.

I due settori più colpiti sono il Manifatturiero (12,5%), particolarmente esposto a causa della presenza di ambienti produttivi con dispositivi obsoleti e infrastrutture delocalizzate, spesso caratterizzate da una governance limitata, e l’IT (11,8%), per via dell’elevato numero di servizi esposti, soggetti a diverse tipologie di vulnerabilità, e per la natura sensibile dei dati trattati.

Ransomware

Durante il 2024 sono stati mappati 4.721 eventi ransomware a livello mondiale (+5,5% di rivendicazioni rispetto al 2023), in prevalenza contro PMI (54%), condotti da 92 gruppi ransomware. Tra questi, RansomHub si conferma quello più attivo, contribuendo da solo al 9,80% degli attacchi totali.

L’Italia sale di una posizione e diventa il quarto paese più interessato dai ransomware, dopo Stati Uniti, Regno Unito, Canada e prima della Germania. A livello italiano, gli attacchi ransomware hanno colpito aziende nei settori Manifatturiero (32,5%), Consulenza (9%), IT (7,5%), Trasporti (7,5%) e Costruzioni (6,5%), distribuite maggiormente in Lombardia (30,90%), Emilia-Romagna (15,40%) e Veneto (8,80%).

Contesto geopolitico e Hacktivismo

L’Italia è stato il 5° Paese più colpito dai gruppi hacktivisti durante il 2024, sia da collettivi filo-russi con motivazioni principalmente legate alla posizione italiana a supporto del governo di
Kiev nel conflitto Russia-Ucraina, come in occasione del primo incontro del 2024 del G7 da Kiev, che da collettivi appartenenti all’area Asia-Pacifico, volti al sostegno della popolazione palestinese e dunque contrari al sostegno italiano ad Israele. I picchi maggiori sono stati registrati in corrispondenza del primo e quarto trimestre del 2024.

Ai primi posti dei paesi più attaccati l’Ucraina, Israele e la Romania, quest’ultima per il valore strategico e militare nel conflitto tra Russia e Ucraina. Al quarto posto l’India, a causa di dispute territoriali o politiche con i Paesi vicini, per cui è stato identificato un picco di attività da parte di collettivi dell’area Asia-Pacifico.

Il Team di Cyber Intelligence ha registrato 97 gruppi hacktivisti a livello globale, di cui il più attivo è stato il collettivo filorusso NoName057, che ha totalizzato più del 55% degli attacchi per i settori Energia & Utility, Sanità, Banca & Finanza e Trasporti & Logistica.

Attacchi verso obiettivi ucraini, alleati del governo di Kiev e membri della NATO

I collettivi allineati con la Russia hanno concentrato i loro attacchi verso obiettivi ucraini, alleati del governo di Kiev e membri della Nato, giustificando le loro azioni come una risposta al coinvolgimento occidentale nella regione. In altri casi, è stato osservato che gruppi sostenitori del governo di Mosca hanno esteso la loro influenza oltre il conflitto Russia-Ucraina, mostrando sostegno a movimenti interni di alcuni Paesi che hanno causato disagi a livello nazionale (ad esempio la protesta degli agricoltori in Europa) attraverso attacchi DDoS, azioni mirate a sovraccaricare un sito o di un server per renderlo inaccessibile;

Attori pro-arabi e pro-musulmani 

Gli attori pro-arabi e pro-musulmani hanno invece mirato a Paesi che hanno mostrato supporto politico o militare a Israele nel suo conflitto in corso contro Hamas, considerando gli attacchi DDoS come una forma di ritorsione per il sostegno alle azioni militari del governo di Tel-Aviv. In modo simile, gli attori pro-Palestina e quelli legati ad Anonymous hanno indirizzato i loro attacchi verso paesi che consideravano responsabili delle sofferenze dei civili, con particolare attenzione alla situazione di Gaza;

La zona Asia-Pacifico

Gli hacktivisti dell’area Asia-Pacifico sono stati coinvolti in azioni relative a dispute tra India e Paesi confinanti, come Bangladesh e Pakistan, e nella causa umanitaria scaturita dal conflitto tra Israele e Hamas.

Tendenze 2024: intelligenza artificiale nell’attacco e nella difesa

Nel 2024, il team di Incident Response ha gestito 146 compromissioni di sicurezza, (+75,9% rispetto al 2023). Dalle analisi è emerso che l’Intelligenza Artificiale Generativa è stata impiegata per sviluppare script malevoli, istruzioni automatizzate per eseguire azioni dannose su un sistema informatico; ciò ha permesso di velocizzare la creazione di malware, permettendo anche ad attori meno esperti di lanciare attacchi, e contribuito a una crescente sofisticazione degli stessi.

Gli attaccanti sono inoltre sempre più abili a cancellare le loro tracce nei sistemi compromessi, rendendo sempre più complesso ricostruire le loro attività e identificare il punto d’ingresso.
Ma l’AI è uno strumento fondamentale anche per la difesa: a un anno dalla nascita di Egyda, piattaforma di Yarix che integra automazione avanzata, machine learning e intelligenza artificiale all’interno del SOC, il tempo medio di risposta agli eventi è stato ridotto di oltre il 50% grazie a un’elaborazione più rapida e precisa degli alert.

Tra le altre principali tendenze osservate dal team:

Metodologia

Il report offre uno studio dei dati ricevuti e analizzati da parte di Yarix durante il 2024, considerato come periodo di riferimento. Le informazioni provengono da un panel specifico di aziende monitorate dal Security Operation Center e corrispondono alla base clienti di Yarix, che comprende una vasta gamma di settori dell’economia nazionale. Vengono inoltre inclusi i dati relativi alla gestione di incidenti informatici di aziende che non erano precedentemente clienti. Le imprese rappresentate nel panel analizzato hanno in media oltre un migliaio di dipendenti e generano fatturati superiori ai 50 milioni di euro.

I dati sono stati normalizzati statisticamente e resi omogenei al fine di poterli utilizzare come output quantitativo affidabile e in grado di supportare valutazioni qualitative. Tutti i dati raccolti sono stati automaticamente resi anonimi e aggregati per garantire la privacy, eliminando qualsiasi associazione tra le informazioni e le aziende coinvolte.

Cosa è Yarix

Yarix è il brand di competenza per la cybersecurity di Var Group e uno dei più riconosciuti, innovativi e autorevoli player italiani nel settore della sicurezza informatica. Da oltre 20 anni fornisce servizi e soluzioni di cyber security e business continuity a industrie, organizzazioni governative e militari, aziende sanitarie e università. Yarix dispone di uno dei più avanzati Cognitive Security Operation Center in Italia e si avvale di team di persone specializzate in sicurezza difensiva e offensiva, Cyber Threat Intelligence, Incident Response.