Oltre 300 aziende italiane potrebbero aver subito – o rischiano di subire se non intervengono rapidamente – un attacco informatico a causa di firewall vulnerabili. Un’indagine condotta da Cynet, società specializzata in cybersecurity, rivela la portata della recente pubblicazione sul Dark Web di dati sensibili sottratti da più di 15.000 dispositivi protetti da soluzioni Fortinet in tutto il mondo.
Tra le informazioni rubate figurano credenziali VPN, configurazioni di rete e certificati di sicurezza, elementi che potrebbero facilitare nuove intrusioni nei sistemi aziendali, con conseguenze ancora più gravi.
Il gruppo Belsen ha rivendicato l’attacco, dichiarando che l’operazione – legata a quanto sembra alla vulnerabilità CVE-2022-40684, sfruttata per violare i firewall – mira a consolidare il proprio nome emergente nella comunità hacker. I dati sono stati raccolti almeno dall’ottobre 2022, ma sono stati resi pubblici solo nel gennaio 2025, aumentando il rischio di utilizzo per attacchi mirati.
333 aziende italiane colpite: il nostro Paese tra i più esposti
L’analisi dei dati sottratti ha identificato 333 aziende italiane tra le vittime della compromissione, collocando l’Italia tra i più colpiti dopo Messico (1.603 aziende), Stati Uniti (679) e Spagna (449).
Il report di Cynet evidenzia una situazione particolarmente preoccupante:
- Il 54% dei firewall colpiti è ancora online e accessibile, esponendoli a nuovi attacchi.
- Il 32% dei firewall vulnerabili ha la console di gestione accessibile via Internet, rendendoli un facile bersaglio per i cybercriminali.
Tra i dispositivi più colpiti figurano i firewall FortiGate 40F e 60F, molto diffusi nelle aziende, ma sono coinvolti anche gateway WLAN, spesso utilizzati per gestire reti Wi-Fi aziendali.
Serve un cambio di approccio, la sicurezza statica non basta più
Questo attacco conferma che le aziende non possono più affidarsi a una sicurezza statica. Gli esperti di Cynet sottolineano l’importanza di un approccio Assume Breach: non si tratta più di domandarsi se un attacco avverrà, ma quando; perciò, è necessario un sistema di difesa dei firewall dinamico e costantemente aggiornato.
Cosa deve fare subito chi ha subito questa violazione (e non solo loro)
- Verificare e aggiornare le configurazioni di rete. Cambiare le credenziali compromesse è solo il primo passo: occorre anche controllare che nel leak non siano state esposte altre informazioni sensibili, come certificati digitali o configurazioni errate della VPN.
- Attivare procedure di risposta agli incidenti (Incident Response). Se un firewall è stato compromesso, bisogna verificare se ci sono stati accessi non autorizzati e risolvere eventuali falle.
- Adottare sistemi di monitoraggio avanzati. Grazie alla sua esperienza nel settore, Cynet consiglia strumenti in grado di raccogliere e analizzare i dati di accesso ai firewall per identificare attività sospette e prevenire nuovi attacchi. Un’adeguata cybersecurity-intelligence è oggi essenziale per proteggere il proprio perimetro digitale.
I maxi-furti di dati sono cibo per le IA: l’opinione di Cynet
“Questi maxi-furti di credenziali non sono semplici violazioni di dati: rappresentano il carburante per attacchi sempre più sofisticati e automatizzati”, commenta Marco Lucchina, Country Manager di Cynet per Italia, Spagna e Portogallo. “L’Intelligenza Artificiale sta rivoluzionando il mondo della cybersecurity: gli hacker sfruttano l’AI per rendere più efficaci tecniche di social engineering, generare exploit automatizzati in tempo reale e perfezionare la classificazione e il commercio dei dati rubati. Per questo, il paradigma della difesa deve cambiare: non si tratta più solo di proteggere i dati, ma di anticipare il rischio”.
Secondo Lucchina, il futuro della cybersecurity è basato su un’integrazione sempre più profonda tra cyber intelligence e capacità predittive: “Non possiamo più limitarci ad analizzare le minacce dopo che si sono manifestate. Dobbiamo sfruttare l’intelligenza artificiale per incrociare i dati di threat intelligence con le vulnerabilità presenti nelle infrastrutture, riuscendo così a prevedere e neutralizzare un attacco prima che avvenga”, conclude il manager. “La Cyber Threat Intelligence è la chiave per un cambiamento di paradigma: raccogliere dati da ogni fonte possibile, analizzarli in tempo reale e trasformarli in azioni di difesa automatizzate. Solo così possiamo bilanciare il vantaggio che gli hacker hanno acquisito con l’uso dell’AI”.
