Negli ultimi giorni, una serie di attacchi informatici mirati ha colpito piattaforme finanziarie, istituzioni educative, siti WordPress e il settore blockchain, esponendo dati sensibili di milioni di utenti. Le violazioni più gravi riguardano la campagna malware DollyWay che ha compromesso oltre 20.000 siti WordPress, il furto di 6,1 milioni di dollari in criptovalute da WEMIX, il data breach della Pennsylvania Education Association e l’attacco informatico che ha coinvolto Western Alliance Bank e California Cryobank.
DollyWay: il malware che ha infettato oltre 20.000 siti WordPress
Un’operazione malware conosciuta come DollyWay è stata individuata dai ricercatori di GoDaddy, confermando che oltre 20.000 siti WordPress sono stati compromessi con l’obiettivo di reindirizzare gli utenti verso pagine truffaldine.
Attivo dal 2016, questo attacco si è evoluto nel tempo, utilizzando tecniche avanzate per reinfezioni automatiche e monetizzazione tramite reti di affiliazione come VexTrio e LosPollos. Il malware sfrutta vulnerabilità note in plugin e temi di WordPress, iniettando codice malevolo per raccogliere informazioni sui visitatori e indirizzarli verso siti di phishing o contenuti fraudolenti.
Uno degli aspetti più preoccupanti è la persistenza del malware, che si autoripristina ad ogni caricamento della pagina. I cybercriminali nascondono codice PHP nei plugin e creano account amministrativi fantasma, rendendo difficile la rimozione dell’infezione.
La presenza di un Traffic Direction System (TDS) consente agli attaccanti di filtrare il traffico in base al dispositivo e alla provenienza degli utenti, aumentando la probabilità di successo delle truffe online.
Pennsylvania Education Association: mezzo milione di dati sensibili compromessi
Un attacco ransomware ha colpito la Pennsylvania State Education Association (PSEA), il più grande sindacato dell’istruzione dello stato, mettendo a rischio oltre 500.000 individui.
Il gruppo Rhysida ransomware ha rivendicato l’attacco, chiedendo un riscatto di 20 Bitcoin (circa 1,1 milioni di euro) per non divulgare i dati rubati. Tra le informazioni compromesse ci sono numeri di previdenza sociale, dati bancari, carte di credito e dati sanitari, aumentando il rischio di frodi finanziarie e furti d’identità.
Rhysida è noto per aver colpito in passato istituzioni governative e sanitarie, tra cui la British Library e il sistema sanitario del Cile. Il ransomware utilizza tecniche avanzate per criptare i dati e minacciare le vittime con la pubblicazione delle informazioni se il riscatto non viene pagato.
Western Alliance Bank: violata da Clop ransomware, 22.000 clienti a rischio
Un altro attacco significativo ha colpito Western Alliance Bank, una delle principali banche degli Stati Uniti, con una fuga di dati che ha coinvolto 21.899 clienti.
L’attacco è stato possibile grazie a una vulnerabilità zero-day in un software di trasferimento dati di terze parti, che ha permesso agli hacker di rubare informazioni bancarie, numeri di previdenza sociale e dati finanziari sensibili.
Il gruppo Clop ransomware ha rivendicato l’attacco, utilizzando una tecnica simile a quella impiegata contro il sistema MOVEit Transfer e GoAnywhere MFT, servizi che erano già stati sfruttati per sottrarre milioni di dati da aziende in tutto il mondo.
Western Alliance ha dichiarato di non avere prove che i dati rubati siano stati utilizzati per frodi, ma ha comunque offerto monitoraggio gratuito del credito ai clienti colpiti per prevenire potenziali attacchi futuri.
California Cryobank: attacco informatico al più grande istituto di donazione di sperma negli USA
Un altro attacco ha colpito la California Cryobank, una delle più grandi banche del seme negli Stati Uniti. Gli hacker hanno avuto accesso ai sistemi dell’istituto tra il 20 e il 22 aprile 2024, sottraendo informazioni bancarie, numeri di previdenza sociale e dati sanitari sensibili.
Questo incidente è particolarmente delicato, poiché la Cryobank archivia informazioni estremamente private, tra cui i dettagli dei donatori e dei riceventi. Non è ancora chiaro se i dati dei donatori anonimi siano stati compromessi, ma la possibilità di una fuga di tali informazioni rappresenterebbe un problema etico e legale significativo.
L’azienda ha promesso di rafforzare le misure di sicurezza e ha offerto monitoraggio del credito gratuito per un anno ai clienti colpiti. Tuttavia, il rischio di abuso dei dati rimane elevato, con possibili conseguenze su identità e privacy delle persone coinvolte.
Furto da 6,1 milioni di dollari in criptovalute su WEMIX
Il mondo delle criptovalute è stato scosso da un attacco alla piattaforma blockchain di gaming WEMIX, che ha subito un furto di 8,6 milioni di token WEMIX, per un valore di circa 6,1 milioni di dollari.
Gli hacker hanno infiltrato la piattaforma rubando le chiavi di autenticazione della rete NFT “NILE”, sfruttando un errore di configurazione nel repository di sviluppo. Dopo due mesi di pianificazione, i cybercriminali hanno effettuato 15 prelievi non autorizzati, vendendo rapidamente i token per nascondere le tracce del furto.
WEMIX ha dichiarato di aver bloccato la piattaforma per migrarla a un’infrastruttura più sicura e sta collaborando con la polizia coreana per identificare i responsabili. Nel frattempo, la Digital Asset Exchange Alliance (DAXA) ha sospeso i depositi di WEMIX, classificandolo come un asset ad alto rischio.
La crescente minaccia della cybersecurity nel 2025
Questi attacchi dimostrano come le minacce informatiche stiano evolvendo rapidamente, prendendo di mira istituzioni educative, banche, aziende sanitarie e piattaforme digitali. Le tattiche utilizzate dai cybercriminali si stanno perfezionando, con una maggiore enfasi su attacchi alla supply chain, ransomware e vulnerabilità zero-day.
Le aziende e le istituzioni devono rafforzare le difese informatiche, adottando misure preventive come autenticazione a più fattori, segmentazione della rete e monitoraggio avanzato del traffico per ridurre il rischio di attacchi futuri.