Sommario
Il panorama delle minacce informatiche nel settore retail ha vissuto nel giugno 2025 una nuova escalation, con una serie di attacchi ransomware che hanno coinvolto alcune tra le principali catene di distribuzione e piattaforme di commercio al dettaglio in Nord America ed Europa. In prima linea tra i responsabili emerge il gruppo di cybercriminali Scattered Spider, già noto per le sue campagne sofisticate e la capacità di colpire supply chain, servizi IT e infrastrutture di pagamento.
Scattered Spider: identità, tattiche e vettori di attacco
Il gruppo Scattered Spider, attivo da diversi anni nel panorama del cybercrime, è conosciuto per l’uso intensivo di tecniche di social engineering, phishing mirato e sfruttamento di vulnerabilità zero-day su piattaforme cloud e software di gestione del retail. Il gruppo si è specializzato nell’ottenere l’accesso iniziale tramite credential stuffing, sfruttando credenziali compromesse o ottenute tramite attacchi precedenti, per poi muoversi lateralmente nelle reti aziendali fino a raggiungere asset critici come server di pagamento, database clienti e piattaforme di e-commerce.
Gli attacchi osservati a giugno 2025 hanno avuto modalità ricorrenti: dopo l’intrusione, gli aggressori hanno esfiltrato dati sensibili (incluse informazioni di pagamento, inventari e dati personali dei clienti), criptato i sistemi centrali con ransomware e richiesto riscatti multimilionari in criptovalute, spesso minacciando la pubblicazione dei dati rubati in caso di mancato pagamento. In alcuni casi, i criminali hanno dimostrato anche capacità di disattivare backup cloud e compromettere sistemi di autenticazione a due fattori, rallentando notevolmente le operazioni di ripristino.
Impatto sugli operatori del retail e sulle supply chain
Le conseguenze di questa nuova ondata ransomware sono state immediate e profonde: interruzioni prolungate dei servizi, blocco delle vendite online e nei punti fisici, danni reputazionali e costi elevatissimi per la gestione dell’incidente e la successiva bonifica delle infrastrutture. Secondo il Cyber Monitoring Centre, le aziende colpite hanno dovuto attivare rapidamente le procedure di business continuity e disaster recovery, lavorando a stretto contatto con forze dell’ordine, società di incident response e provider di cybersecurity.
Molte catene del settore hanno visto crescere il numero di transazioni negate, con impatti anche su partner logistici e fornitori. I clienti finali hanno registrato ritardi nelle consegne, blocco dei resi e impossibilità di accedere ai servizi digitali. Sul piano normativo, gli incidenti hanno innescato indagini per eventuali violazioni GDPR e obblighi di notifica verso le autorità di vigilanza sulla privacy.
Risposta del settore: strategie di mitigazione e prevenzione
In risposta a questa escalation, il Cyber Monitoring Centre raccomanda un rafforzamento delle strategie di prevenzione: aggiornamento costante dei sistemi, segmentazione della rete, implementazione di soluzioni EDR/XDR, test di phishing regolari e formazione degli operatori sui rischi del social engineering. Fondamentale anche il rafforzamento della gestione delle credenziali, con l’adozione diffusa di MFA robusti, e il monitoraggio proattivo degli accessi alle infrastrutture cloud.
Le organizzazioni sono inoltre invitate a predisporre piani di risposta agli incidenti specifici per il ransomware, assicurando la disponibilità di backup offline e di procedure di ripristino tempestive. La collaborazione tra aziende, associazioni di categoria, CERT e forze di polizia rimane essenziale per tracciare l’evoluzione delle minacce e condividere intelligence sugli indicatori di compromissione.
Gli attacchi ransomware di Scattered Spider nel retail dimostrano come la criminalità informatica si evolva adottando strategie mirate e adattive. Solo una difesa multilivello, formazione continua e una gestione rigorosa delle identità digitali possono ridurre i rischi e limitare l’impatto di campagne sofisticate che minacciano la stabilità dell’intero settore.
