Case history

Contesto

Una primaria azienda italiana del settore Energy & Utilities, con oltre 10.000 dipendenti e
classificata come soggetto essenziale ai sensi della Direttiva NIS2, è stata recentemente
bersaglio di una campagna di phishing avanzata progettata per sottrarre credenziali
aziendali e ottenere accesso ai sistemi interni.
Organizzazioni di queste dimensioni rappresentano un obiettivo particolarmente interessante
per i cybercriminali: l’elevato numero di utenti, la complessità delle infrastrutture IT e il valore
delle informazioni gestite aumentano infatti la superficie di attacco.

L’incidente

L’episodio è iniziato quando un dipendente ha ricevuto una mail sospetta e
l’ha prontamente segnalata tramite il sistema interno di sicurezza aziendale.
L’analisi preliminare ha evidenziato che il messaggio faceva parte di una
campagna di phishing strutturata, riconducibile a un gruppo di attacco
noto a livello internazionale e già osservato in operazioni simili.
Ulteriori verifiche hanno mostrato che la stessa comunicazione fraudolenta
era stata inviata anche ad altri utenti dell’organizzazione, segno di una campagna
mirata e non di un episodio isolato.

Verifiche

Le analisi condotte nelle fasi iniziali hanno permesso di individuare
un elemento critico: due utenti avevano cliccato sul link contenuto
nella mail ed inserito le proprie credenziali aziendali nella pagina fraudolenta.

In questo momento l’attaccante avrebbe potuto tentare l’accesso ai sistemi
aziendali utilizzando le credenziali sottratte.
 Le verifiche sui log hanno però evidenziato
che non erano ancora stati effettuati accessi con tali credenziali, aprendo una finestra
di intervento decisiva per contenere il rischio.

Intervento

A seguito della segnalazione e delle prime verifiche, il team di sicurezza è
intervenuto immediatamente per contenere la minaccia e prevenire qualsiasi tentativo
di accesso non autorizzato.
Le principali azioni intraprese sono state:

• Reset immediato delle password degli utenti coinvolti
• Revoca delle sessioni attive associate agli account interessati
• Analisi approfondita dei log per individuare eventuali accessi anomali
• Verifica completa dell’infrastruttura tramite strumenti avanzati di protezione e monitoraggio (XDR ed EDR)
• Blocco centralizzato della campagna phishing, impedendo ulteriori tentativi di diffusione all’interno dell’organizzazione

Tempistiche e risultato

L’intero processo di analisi e contenimento è stato completato in circa un’ora
dalla prima segnalazione. La rapidità dell’intervento ha permesso di neutralizzare
la minaccia prima che l’attaccante potesse utilizzare le credenziali sottratte.
Le verifiche successive hanno confermato che non si sono verificati:

• accessi non autorizzati ai sistemi aziendali
• movimenti laterali all’interno della rete
• esfiltrazione di dati
• impatti operativi sui sistemi o sui servizi aziendali

L’evento è stato quindi classificato come tentativo di attacco sventato.

Conformità normativa

In quanto soggetto essenziale ai sensi della normativa NIS2, l’evento è stato
gestito nel rispetto delle procedure di sicurezza e degli obblighi di comunicazione previsti.

L’incidente è stato segnalato al CSIRT nazionale e
agli enti governativi competenti, garantendo la tracciabilità dell’evento
e la piena conformità alle normative vigenti.

Valore per l’organizzazione

L’episodio ha evidenziato l’efficacia del modello di sicurezza adottato dall’azienda, basato su tre elementi fondamentali:

• coinvolgimento attivo degli utenti, che rappresentano la prima linea di difesa contro le minacce informatiche
• monitoraggio continuo delle attività e delle minacce, attraverso strumenti avanzati di detection e analisi
• capacità di risposta rapida e coordinata, in grado di contenere un attacco prima che produca effetti concreti

La combinazione tra consapevolezza degli utenti, tecnologie di sicurezza e processi di risposta strutturati ha permesso di trasformare un potenziale incidente critico in un evento gestito senza impatti operativi e senza compromissione dei sistemi aziendali