Infostealer, la minaccia invisibile che apre la strada agli attacchi cyber. Primo report Acn

Tratto da www.acn.gov.it – 11 febbraio 2026

Negli ultimi anni, gli infostealer si sono affermati come uno dei principali strumenti utilizzati dalla criminalità informatica per la sottrazione di credenziali digitali e altre informazioni sensibili. Famiglie come LummaC2, RedLine Stealer e DcRat figurano tra le più attive nell’esfiltrazione di dati riconducibili a soggetti italiani e rappresentano spesso il vettore di compromissione iniziale di attacchi informatici più articolati. Tali strumenti si inseriscono in un ecosistema criminale strutturato e altamente specializzato, nel quale diversi attori operano su specifiche fasi della catena di attacco – dalla diffusione del malware alla monetizzazione dei dati sottratti – con l’obiettivo di massimizzare l’efficienza e la scalabilità delle operazioni malevole. Nei fatti, la sottrazione di una singola credenziale può rappresentare il primo passo di una catena di eventi che conduce a compromissioni su larga scala.

L’ACN presenta il primo report dedicato esclusivamente a questa tipologia di malware – PDF. Un’analisi approfondita della minaccia infostealer, software malevoli progettati per raccogliere ed esfiltrate informazioni sensibili dai dispositivi compromessi. Illustrando l’evoluzione di questa categoria di malware, il report analizza le principali strategie di attacco utilizzate dagli infostealer attraverso il modello della Cyber Kill Chain e l’ecosistema criminale che ruota attorno a questa minaccia nonché fornisce, attraverso un caso studio reale gestito dal CSIRT Italia, un esempio di come gli infostealer costituiscano spesso il punto di partenza per attacchi più complessi, inclusi ransomware.

Il report si conclude con raccomandazioni strutturate per diversi livelli di maturità cibernetica, rivolte sia a individui che a organizzazioni, fornendo misure preventive concrete per innalzare la resilienza contro questa minaccia in continua evoluzione.

Analisi sullo stato della minaccia

Sanità nel mirino: in forte aumento gli incidenti informatici nelle strutture italiane

Tratto da www.acn.gov.it – 09/05/2025

L’Agenzia per la cybersicurezza nazionale propone misure urgenti per proteggere il settore

Il settore sanitario italiano sta registrando un sensibile aumento di attacchi informatici. Dal gennaio 2023, si contano in media 3,5 attacchi informatici al mese contro strutture sanitarie, metà dei quali sfociano in incidenti gravi che compromettono la disponibilità e la riservatezza dei servizi, mettendo a rischio la privacy dei pazienti.

Secondo l’Agenzia per la Cybersicurezza Nazionale, le cause di questi attacchi sono spesso pratiche di sicurezza inadeguate o ignorate, derivanti da scarsa formazione del personale e dalla gestione decentralizzata dei sistemi informatici, senza politiche di sicurezza centralizzate. L’agenzia europea ENISA conferma che il settore sanitario è particolarmente vulnerabile a causa della sensibilità dei dati trattati e dell’interesse crescente dei cybercriminali.

Nel periodo 2023-2024, il numero di eventi cyber nel settore sanitario è aumentato drasticamente, con un incremento del 111%, passando da 27 eventi nel 2023 a 57 nel 2024. Le minacce più frequenti includono ransomware, attacchi malware e compromissioni tramite credenziali valide. Gli attacchi ransomware, in particolare, hanno avuto un impatto significativo, rappresentando il 36% degli eventi nel 2023.

A luglio 2024, un attacco alla supply chain ha colpito un fornitore di servizi IT, causando gravi danni a più enti sanitari interconnessi. Questo episodio ha messo in evidenza la vulnerabilità sistemica del settore, che è sempre più esposto a minacce sofisticate.

Per contrastare queste vulnerabilità, l’ACN suggerisce raccomandazioni mirate, tra cui la necessità di implementare pratiche di sicurezza robuste e una governance centralizzata della cybersecurity. Un approccio programmatico, basato sulla gestione del rischio e sulla separazione dei ruoli, è essenziale per rafforzare la sicurezza dei sistemi sanitari e prevenire gli incidenti informatici.

Il CSIRT Italia, il team di risposta agli incidenti cibernetici, è un punto di riferimento fondamentale nel supportare le strutture sanitarie colpite, analizzando gli eventi cyber e fornendo assistenza per il ripristino delle operazioni e per il miglioramento della sicurezza. In determinati casi anche operando direttamente presso le strutture vittime di tali attacchi.

Inoltre, l’analisi delle vulnerabilità nei dispositivi e nei servizi del settore ha evidenziato l’importanza di monitorare costantemente la “superficie di attacco esposta”, ovvero le configurazioni errate e le vulnerabilità dei dispositivi collegati a Internet. Soluzioni tempestive e mirate, come l’aggiornamento del software e la corretta configurazione dei sistemi, sono cruciali per ridurre i rischi.

Le raccomandazioni dell’ACN puntano su un miglioramento delle pratiche di sicurezza, con una particolare attenzione alla formazione del personale e all’adozione di tecnologie avanzate per contrastare le minacce informatiche che continuano ad aumentare nel settore sanitario.

Stante la speciale criticità del settore sanitario e, in particolare, delle aziende sanitarie locali alle quali afferiscono strutture ospedaliere, presidi e servizi sanitari essenziali per i territori di riferimento, sono stati organizzati un ciclo di incontri formativi – alla presenza dei Presidenti di Regione e di tutti i dirigenti delle ASL – volti a diffondere la consapevolezza del rischio cyber e ad illustrare, altresì, i contenuti del documento “La minaccia cibernetica al settore sanitario. Analisi e raccomandazioni”, redatto da questa Agenzia.

Il settore sanitario, peraltro, è stato anch’esso destinatario, ai fini del rafforzamento della postura di cybersicurezza di Regioni e Province Autonome, di risorse PNRR e nazionali per circa 150 milioni di euro, erogati da ACN sulla base di progetti di implementazione presentati dagli enti.

Scarica il report – La minaccia cibernetica al settore sanitario. Analisi e raccomandazioni – PDF

Soggetti NIS: obbligo di registrazione sul portale servizi ACN

Tratto da www.acn.gov.it

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS) di derivazione europea.

Il recepimento della direttiva con il decreto legislativo del 4 settembre 2024, n. 138, mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea.

L’Agenzia per la cybersicurezza nazionale è l’Autorità competente NIS.

Dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, e le Pubbliche amministrazioni a cui si applica la nuova normativa devono registrarsi sul portale servizi ACN.

In seguito, si avvierà, ad aprile 2025, un percorso condiviso di rafforzamento della sicurezza informatica.

Per ulteriori informazioni sul decreto NIS, sull’ambito di applicazione e sull’obbligo di registrazione sul portale servizi ACN: NIS – Network Information Security e FAQ

Cose da fare per mantenere la propria azienda sicura

Tratto da www.lineaedp.it – 28/10/2024

Autore: Redazione BITMAT

Alcuni consigli per contrastare al meglio gli attacchi informatici

La sicurezza di un’azienda è una priorità assoluta per garantire la continuità operativa, proteggere i dati sensibili e mantenere la fiducia di clienti e partner. Negli ultimi anni, in Italia, gli attacchi informatici a danni delle aziende sono aumentati, costringendole ad adottare un approccio integrato che comprenda sia la sicurezza fisica sia quella informatica.

Vediamo alcune delle migliori pratiche per mantenere la tua azienda sicura.

Implementare sistemi di sicurezza fisica

Il primo passo per garantire la sicurezza aziendale è proteggere gli spazi fisici. Questo significa dotare l’azienda di sistemi di allarme, telecamere di videosorveglianza, accessi controllati tramite badge o impronte digitali, e sistemi di illuminazione adeguati. Un sistema di sorveglianza efficace non solo scoraggia i potenziali intrusi, ma permette anche di monitorare e registrare le attività sospette. Assicurarsi che le entrate principali siano protette da dispositivi di sicurezza può ridurre significativamente i rischi di intrusioni fisiche.

Formare i dipendenti sulla sicurezza

I dipendenti sono spesso la prima linea di difesa contro molte minacce alla sicurezza, sia fisiche che informatiche. È fondamentale formare regolarmente il personale su come riconoscere e gestire i rischi. I dipendenti devono sapere come comportarsi in caso di emergenze fisiche (come incendi o evacuazioni) e comprendere l’importanza della sicurezza informatica, come la gestione corretta delle password, il riconoscimento delle email di phishing, e la protezione dei dati sensibili. Organizzare corsi di aggiornamento e simulazioni può migliorare la consapevolezza e ridurre gli errori umani che spesso sono la causa di violazioni di sicurezza.

Proteggere i dati e i sistemi informatici

La sicurezza informatica è oggi uno dei temi più critici per le aziende. Proteggere i dati aziendali sensibili (come informazioni finanziarie, dati dei clienti, e segreti commerciali) è vitale per evitare danni economici e reputazionali. Per questo, l’implementazione di misure come firewall, antivirus, e crittografia dei dati è essenziale. Inoltre, l’aggiornamento regolare dei software riduce il rischio di vulnerabilità sfruttabili dagli hacker. È buona prassi anche adottare una politica di backup periodici, così da poter ripristinare i dati in caso di attacchi o malfunzionamenti. Le aziende dovrebbero, inoltre, adottare politiche di gestione sicura delle password, richiedendo l’uso di password complesse, che combinino lettere, numeri e simboli, e imponendo la modifica periodica delle stesse. L’adozione di un sistema di autenticazione a due fattori (2FA) aggiunge un ulteriore livello di protezione, riducendo la probabilità che un malintenzionato possa accedere ai sistemi aziendali anche in caso di compromissione delle credenziali.

Monitorare costantemente le attività

Un aspetto spesso trascurato della sicurezza è il monitoraggio continuo delle attività all’interno dell’azienda. Questo include l’analisi del traffico di rete, il monitoraggio dei login e delle operazioni sui sistemi, ma anche delle spese da parte dei dipendenti per l’azienda. Avere una carta di credito virtuale per la tua impresa può aiutare a gestire meglio gli acquisti e il tuo budget, senza la paura che essa venga smarrita o rubata.

Inoltre, esistono soluzioni software che possono aiutare a rilevare comportamenti sospetti o violazioni dei protocolli di sicurezza per il traffico di rete. Un monitoraggio proattivo permette di individuare e gestire tempestivamente eventuali minacce prima che possano causare danni.

Creare un piano di risposta agli incidenti

Nonostante tutte le misure di prevenzione, le aziende devono essere preparate a fronteggiare incidenti di sicurezza. Avere un piano di risposta agli incidenti ben definito consente di agire rapidamente e in modo efficace nel caso di violazioni o emergenze. Questo piano dovrebbe includere le procedure per la segnalazione degli incidenti, l’identificazione delle cause, il ripristino delle operazioni e la comunicazione con le parti interessate, inclusi clienti e autorità.

Decreto NIS: qualche chiarimento da ACN

Tratto da www.lineaedp.it – 17/10/2024

Autore: Redazione LineaEDP

Si è tanto parlato della Direttiva NIS2 che prevede nuovi obblighi per innalzare la sicurezza del Paese e ieri, 16 ottobre 2024 è entrata ufficialmente in vigore. Il decreto NIS, recante la nuova normativa italiana sulla Network and Information Security (NIS), mira a rafforzare la sicurezza e la resilienza cibernetica di imprese e pubbliche amministrazioni. L’Agenzia per la cybersicurezza nazionale (ACN) è confermata quale Autorità competente e punto di contatto unico per la sua applicazione, delineando un percorso graduale e sostenibile per consentire alle organizzazioni pubbliche e private di adempiere ai nuovi obblighi di legge.

Le novità introdotte dal decreto NIS

Il decreto NIS introduce maggiori obblighi in materia di misure di sicurezza e notifica degli incidenti e rafforza i poteri di supervisione dell’Agenzia, in qualità di Autorità nazionale competente, nonché quelli degli organi preposti alla risposta agli incidenti e alla gestione delle crisi informatiche.

Aumentano inoltre i campi di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinti tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano.

Sono previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.

Il percorso di attuazione

L’adeguamento al decreto NIS prevede un percorso sostenibile con la graduale implementazione degli obblighi di legge. Per i soggetti interessati il primo passo è quello di registrarsi al portale di ACN. Per farlo c’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025.

Gli obblighi di notifica di incidente e delle misure di sicurezza verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali con le determine del Direttore Generale di ACN, che saranno adottate entro il primo quadrimestre del 2025.

È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS, previsto per aprile 2025.

Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale.

Per facilitare la comprensione delle novità del decreto NIS, l’ACN ha già pubblicato un video e alcune pagine informative sul proprio sito web istituzionale con questo slogan: “Proteggiamo i sistemi informatici per proteggere il Paese”.