Sommario
Nel panorama attuale della cybersecurity, l’Europa si confronta con una crescente ondata di frodi digitali, attacchi ransomware e violazioni dei dati che coinvolgono piattaforme tecnologiche e istituzioni pubbliche. Tra aprile e maggio 2025 si registrano cinque episodi distinti, ma emblematici, che delineano con chiarezza il livello di minaccia odierno: il dismantellamento di una truffa internazionale multimilionaria, la smentita di Twilio circa un presunto furto di codici 2FA di Steam, un attacco ransomware a Marks and Spencer, un arresto in Moldavia legato al gruppo DoppelPaymer e l’ascesa del ransomware Qilin, responsabile del maggior numero di attacchi nel mese di aprile.
Europol smantella una truffa da oltre tre milioni di euro
Una rete criminale responsabile di una frode online da oltre tre milioni di euro è stata smantellata grazie a un’operazione condotta dalle autorità tedesche con il supporto di Europol ed Eurojust. L’organizzazione, operativa tra Germania, Albania, Cipro e Israele, aveva creato una piattaforma di investimento fasulla per attrarre e truffare oltre cento vittime, spingendole a versare somme sempre maggiori di denaro sotto la promessa di rendimenti elevati.
La dinamica della truffa seguiva uno schema ormai ben rodato: la vittima veniva attratta da un investimento apparentemente legittimo, effettuava un primo versamento, quindi veniva contattata da finti broker che, con tecniche di manipolazione psicologica e l’ausilio di grafici truccati, la convincevano a investire somme più consistenti. In realtà, nessun fondo veniva realmente investito: i capitali finivano direttamente nelle casse dell’organizzazione.
L’indagine ha preso avvio in Germania dopo la denuncia di una coppia. Le attività investigative hanno rivelato un network ben strutturato, comprendente call center dedicati a impersonare operatori finanziari. Il 6 settembre 2022 è stata condotta una prima operazione, con perquisizioni in Belgio e Lettonia, che ha portato all’arresto di due individui e al sequestro di materiale informatico fondamentale.
Una seconda giornata operativa si è svolta il 13 maggio 2025. In quell’occasione sono state effettuate otto perquisizioni simultanee in Albania, Cipro e Israele, con il sequestro di contanti, dispositivi elettronici e documentazione utile al proseguimento delle indagini. Un sospettato è stato arrestato a Cipro ed è ora in attesa di estradizione verso la Germania.
Durante tutto il procedimento, Europol ha garantito il supporto operativo, schierando esperti in loco e coordinando le operazioni tramite una postazione virtuale di comando. Eurojust ha invece favorito la cooperazione giudiziaria tra i vari stati, semplificando gli scambi legali e procedurali.
Twilio smentisce la fuga di codici di autenticazione di Steam
In seguito a un annuncio su un forum underground da parte del cybercriminale noto come Machine1337, è emersa online la notizia della presunta messa in vendita di un database contenente codici 2FA associati a utenti Steam. L’attore malevolo affermava di possedere oltre 89 milioni di record e ne chiedeva la vendita per una cifra equivalente a circa 4.585 euro.
Un’analisi ha individuato un campione di 3.000 record che comprendeva messaggi SMS, numeri di telefono e codici temporanei, tutti apparentemente riferiti ad accessi Steam. Questo ha sollevato l’ipotesi di una compromissione di Twilio, azienda statunitense che fornisce infrastrutture per l’invio di SMS e autenticazioni a due fattori.
Tuttavia, Twilio ha negato con fermezza qualsiasi violazione. Dopo aver analizzato una porzione dei dati, ha dichiarato di non aver trovato alcuna evidenza di compromissione dei propri sistemi. In una nota ufficiale, l’azienda ha affermato che i dati potrebbero provenire da un fornitore terzo, incaricato di gestire la trasmissione degli SMS tra Twilio e i dispositivi degli utenti.
Nel frattempo, il gruppo indipendente SteamSentinels, specializzato nel monitoraggio di abusi nella piattaforma di Valve, ha suggerito la possibilità di un abuso di chiavi API o l’utilizzo non autorizzato di account amministrativi interni. Le ipotesi restano però prive di conferma concreta, e nessuna prova attualmente collega direttamente Twilio all’origine della fuga di dati.
Per precauzione, gli utenti sono stati invitati ad attivare lo Steam Guard Mobile Authenticator, un meccanismo più sicuro rispetto ai semplici SMS per la protezione degli account.
Marks and Spencer conferma il furto di dati sensibili in seguito a un attacco ransomware
Il 22 aprile 2025, la catena britannica Marks and Spencer (M&S) ha subito un attacco ransomware che ha colpito i propri sistemi, costringendola a sospendere temporaneamente l’elaborazione degli ordini online e le attività digitali dei suoi oltre 1.400 punti vendita.
Gli autori dell’attacco sono stati identificati come affiliati del gruppo DragonForce, che ha utilizzato tecniche di ingegneria sociale avanzata, tipiche del collettivo Scattered Spider, per ottenere l’accesso alla rete interna dell’azienda. Una volta penetrati, i cybercriminali hanno cifrato numerosi server, incluse macchine virtuali VMware ESXi, e successivamente hanno sottratto informazioni personali sensibili appartenenti ai clienti.
In una dichiarazione ufficiale diffusa via social, l’amministratore delegato Stuart Machin ha confermato l’avvenuta violazione dei dati, specificando che tra le informazioni compromesse figurano nome, indirizzo, email, numero di telefono, data di nascita, storico degli ordini e dettagli mascherati delle carte di pagamento. Nonostante l’azienda abbia assicurato che non sono stati trafugati dati bancari completi, tutti i clienti registrati sono stati obbligati al reset della password al successivo accesso.
M&S ha inoltre pubblicato una pagina FAQ dedicata sul proprio sito ufficiale, offrendo aggiornamenti e consigli di sicurezza ai clienti coinvolti. Per il momento, i vantaggi offerti dal programma fedeltà Sparks risultano sospesi, mentre l’azienda continua a monitorare eventuali utilizzi fraudolenti delle informazioni rubate.
Un arresto in Moldavia smantella una cellula del gruppo DoppelPaymer
Il 6 maggio 2025 le autorità della Moldavia, in collaborazione con la polizia olandese, hanno arrestato un cittadino straniero di 45 anni sospettato di aver partecipato attivamente agli attacchi informatici condotti dal gruppo DoppelPaymer contro istituzioni nei Paesi Bassi. Durante la perquisizione domiciliare sono stati sequestrati dispositivi elettronici, contanti per un valore di 84.800 euro, sei carte bancarie e un portafoglio crittografico contenente valute digitali.
L’indagine è legata all’attacco ransomware del 2021 ai danni della NWO (Organizzazione olandese per la ricerca scientifica), che causò danni stimati in 4,5 milioni di euro e portò alla pubblicazione di documenti sensibili sul dark web dopo il rifiuto del pagamento del riscatto.
DoppelPaymer, emerso nel 2019 da una scissione del collettivo Evil Corp, ha adottato tattiche aggressive di estorsione, tra cui la minaccia di cancellazione delle chiavi di decrittazione in caso di mediazione da parte di esperti di sicurezza. Ha colpito bersagli ad alto profilo come Foxconn, Kia Motors, Compal e la Newcastle University, configurandosi come uno dei gruppi più pericolosi della scena ransomware globale.
Secondo un avviso dell’FBI, la strategia di DoppelPaymer prevede una fase preliminare di esfiltrazione dei dati seguita da contatti diretti con le vittime attraverso telefonate di minaccia, nel tentativo di aumentare la pressione per il pagamento del riscatto.
Dalla fine del 2022, il gruppo ha operato sotto nomi diversi, tra cui Grief e Entropy, nel tentativo di eludere le indagini internazionali. Nel marzo 2023 le forze europee hanno emesso mandati di cattura contro altri tre membri chiave dell’organizzazione, evidenziando una strategia progressiva di disgregazione della rete criminale.
Qilin è il gruppo ransomware dominante di aprile 2025
Secondo quanto riportato da Group-IB e Trend Micro, il gruppo Qilin, conosciuto anche come Agenda, ha raggiunto la vetta delle classifiche ransomware ad aprile 2025, con 72 violazioni pubblicamente rivendicate. I settori più colpiti includono sanità, telecomunicazioni, tecnologia e servizi finanziari, con attività distribuite tra Stati Uniti, Paesi Bassi, India, Brasile e Filippine.
Il successo operativo di Qilin è attribuito all’utilizzo di strumenti avanzati come SmokeLoader e un loader .NET altamente offuscato noto come NETXLOADER. Quest’ultimo rappresenta un salto qualitativo nella capacità dei gruppi criminali di bypassare i controlli di sicurezza e caricare payload direttamente in memoria, tramite tecniche come il reflective DLL injection.
NETXLOADER, protetto dal sistema .NET Reactor versione 6, impiega un’architettura obliqua e strutture di controllo offuscate per rendere impossibile l’analisi statica. Una volta attivo, il loader contatta un server di comando per scaricare SmokeLoader, il quale a sua volta rilascia il ransomware Qilin sulla macchina infetta.
L’aumento di attività riscontrato a partire da febbraio 2025, con oltre 45 attacchi al mese, sembra essere collegato alla scomparsa improvvisa del gruppo rivale RansomHub, che ha lasciato un vuoto prontamente riempito da nuovi affiliati Qilin. Questo ha favorito una diffusione massiccia della variante Qilin.B, osservata già nel 2024 da Halcyon come una delle più evolute in termini di cifratura trasversale e disattivazione dei backup.
Qilin attacca infrastrutture virtuali, domini di rete e dispositivi montati, focalizzandosi sull’interruzione sistemica dei servizi delle vittime. Il malware è in grado di colpire anche ambienti VCenter e server ESXi, rendendolo estremamente pericoloso per strutture aziendali e sistemi sanitari.
Le minacce informatiche si rafforzano, ma cresce anche la risposta europea
I cinque casi analizzati rappresentano una fotografia realistica del presente digitale: frodi finanziarie, attacchi ransomware, furti di dati personali e tentativi di discredito di infrastrutture critiche non sono episodi isolati, ma componenti integrate in un contesto globale dove il cybercrime opera su scala industriale.
Tuttavia, il coordinamento tra autorità giudiziarie internazionali, agenzie di sicurezza cibernetica e forze dell’ordine europee si sta dimostrando sempre più efficace. Gli arresti, gli smantellamenti e le smentite tecnicamente fondate, come nel caso Twilio–Steam, dimostrano che le istituzioni non solo sono consapevoli della minaccia, ma sono anche capaci di contrastarla in modo strutturato e incisivo.
