Sommario
Una serie di operazioni e rivelazioni hanno delineato un quadro allarmante della cybersicurezza globale. Dall’imponente operazione “Secure” di INTERPOL contro gli infostealer fino a violazioni significative come quella che ha coinvolto il Dipartimento dei Trasporti del Texas (TxDOT), i segnali sono chiari: l’infrastruttura digitale globale è sempre più bersaglio di attacchi avanzati e coordinati.
Operazione globale contro infostealer: arresti e sequestri in 26 Paesi
Un’operazione su scala internazionale, coordinata da Interpol, ha portato alla disattivazione di oltre 20.000 indirizzi IP e domini malevoli impiegati per diffondere infostealer, una pericolosa categoria di malware finalizzata al furto di informazioni sensibili. Denominata Operation Secure, l’iniziativa si è svolta tra gennaio e aprile 2025 coinvolgendo le forze dell’ordine di 26 Paesi dell’area Asia-Pacifico e con il supporto di aziende come Group-IB, Kaspersky e Trend Micro.
Durante l’operazione, sono stati sequestrati 41 server, raccolti più di 100 GB di dati e arrestate 32 persone. Particolarmente rilevanti i risultati ottenuti in Vietnam, dove le autorità hanno arrestato 18 sospetti e recuperato numerose SIM, contanti e documenti utilizzati per aprire account aziendali fittizi, segnalando un’organizzazione con intenti chiaramente criminali.
Cosa sono gli infostealer
Gli infostealer rappresentano oggi uno degli strumenti principali utilizzati dai criminali informatici per compromettere sistemi e infrastrutture digitali. Si tratta di malware progettati per rubare credenziali, cookie, dati di carte di credito e portafogli di criptovaluta. Una volta esfiltrati, questi dati vengono spesso messi in vendita nel dark web o utilizzati per attacchi più estesi, come distribuzioni di ransomware, violazioni di dati aziendali e truffe via e-mail (BEC).
Tra gli esempi di impiego strategico di questi tool figura l’individuazione, da parte della polizia di Hong Kong, di 117 server di comando e controllo operativi in 89 provider diversi, utilizzati per phishing, truffe e campagne fraudolente online.
Intelligence e azione congiunta
La chiave dell’operazione è stata la cooperazione internazionale e lo scambio di informazioni di intelligence, elemento evidenziato anche da Neal Jetton, Direttore Cybercrime di Interpol: «L’azione coordinata è l’unica via per colpire alla radice la criminalità informatica globale. Operation Secure ne è la dimostrazione concreta».
Oltre alla disattivazione delle infrastrutture, più di 216.000 vittime e potenziali vittime sono state informate delle attività malevole che le avevano coinvolte, consentendo loro di prendere contromisure rapide come cambio password, blocco di account o disconnessione forzata da sessioni non autorizzate.
TxDOT: compromesso un account, esfiltrati 300.000 rapporti sugli incidenti stradali
Sempre nell’ambito della sicurezza informatica, si segnala anche un grave incidente verificatosi negli Stati Uniti. Il Dipartimento dei Trasporti del Texas (TxDOT) ha confermato un massiccio accesso non autorizzato al suo sistema Crash Records Information System (CRIS). L’attacco, rilevato il 12 maggio 2025, è stato attribuito alla compromissione di un singolo account, che ha consentito il download illecito di quasi 300.000 rapporti di incidenti stradali.
I documenti compromessi contenevano informazioni personali di vario tipo: nome, indirizzo, numero di patente, targa, polizza assicurativa e altri dettagli riservati. Sebbene la normativa non imponesse una notifica obbligatoria, TxDOT ha comunque deciso di inviare lettere ai soggetti coinvolti e ha attivato un numero verde per fornire assistenza.
Vettore, impatto e contromisure
Sebbene TxDOT non abbia specificato il tipo di vettore utilizzato nell’attacco, è plausibile che si tratti di un’esfiltrazione legata a credenziali rubate tramite phishing o infostealer. Un punto di contatto preoccupante, che rafforza il legame tra i due casi analizzati. La sensibilità dei dati coinvolti potrebbe portare ad abusi come furti di identità, frodi assicurative e accessi a sistemi federali attraverso l’uso improprio delle informazioni raccolte.
TxDOT ha annunciato nuove misure di sicurezza per l’accesso agli account, senza però specificare nel dettaglio l’adozione di autenticazione a due fattori o altri sistemi di protezione avanzata. Intanto, l’inchiesta rimane in corso, con il coinvolgimento delle autorità statali e federali per individuare l’origine e l’eventuale estensione dell’incidente.
Il ruolo degli infostealer nel crimine digitale contemporaneo
L’incremento di malware infostealer scritti in linguaggi moderni e difficili da analizzare, come Rust o Go, unito alla commercio professionale delle credenziali rubate, dimostra quanto il cybercrime si stia strutturando in reti sempre più efficienti e industrializzate. Un infostealer può essere venduto come servizio (Stealer-as-a-Service) ed è aggiornato costantemente per eludere antivirus e controlli, spesso dotato di capacità come cattura dello schermo, hijack della clipboard e persistence post-reboot.
Dal punto di vista tecnico, molti di questi tool utilizzano meccanismi come:
- caricamento in memoria (fileless) per evitare il rilevamento statico
- encryption di dati in esfiltrazione
- comunicazioni con C2 server via webhook o reverse proxy
La mitigazione richiede l’adozione sistemica di EDR, threat hunting continuo, controllo delle credenziali compromesse, e formazione attiva del personale.
