Sommario
L’ultima settimana ha visto una significativa intensificazione delle campagne malevole contro enti pubblici, aziende internazionali e operatori di telecomunicazioni. In Italia, il CERT-AGID ha monitorato 79 operazioni di phishing e distribuzione malware, con attacchi mirati sia al contesto nazionale che internazionale. Sul fronte delle infrastrutture critiche, il gigante IT Ingram Micro è stato colpito da un blackout globale dei sistemi, alimentando i timori di un cyberattacco su larga scala. Parallelamente, la multinazionale spagnola Telefónica è stata nuovamente presa di mira: un hacker affiliato al gruppo Hellcat ha pubblicato una parte di un archivio da oltre 100 GB di dati presumibilmente esfiltrati dalla compagnia, sollevando dubbi sulla sicurezza delle reti e sulle conseguenze per clienti e dipendenti.
Evoluzione delle campagne malevole e delle tecniche di attacco
L’analisi settimanale del CERT-AGID evidenzia la varietà e la crescente sofisticazione delle minacce in Italia. I temi ricorrenti nelle campagne di phishing includono multe, finti avvisi di spedizione da parte di brand noti come DHL e BRT, richieste di pagamento e finte notifiche bancarie, oltre a comunicazioni fraudolente relative a PagoPA e INPS. Particolarmente rilevante la diffusione di malware tramite email e PEC compromesse: tra i nomi principali compaiono FormBook, Remcos, VipKeylogger, AsyncRat, MintsLoader, BingoMod, Copybara, AgentTesla, LummaStealer, XWorm, Grandoreiro, QuasarRAT, SnakeKeylogger, Amadey. Il CERT-AGID segnala inoltre una campagna italiana che utilizza PEC compromesse per veicolare script malevoli e una nuova ondata di smishing ai danni degli utenti INPS, finalizzata al furto di dati personali e documenti sensibili.
Sul fronte del phishing, 19 brand sono stati sfruttati per indurre gli utenti a fornire credenziali e dati riservati, con particolare attenzione a PagoPA, GLS, DHL, ING, Aruba e alle campagne di furto tramite webmail non brandizzate. I file più utilizzati per la diffusione dei malware restano gli archivi compressi (ZIP, RAR, ARJ, LZH), immagini ISO e file script.
Ingram Micro: blackout globale e ipotesi di cyberattacco
Il caso di Ingram Micro ha scosso il settore IT globale. Da giovedì scorso, la società ha registrato un’interruzione estesa dei sistemi interni e delle piattaforme web, bloccando la possibilità di evadere ordini e gestire le operazioni quotidiane. I dipendenti stessi risultano esclusi dai sistemi, mentre i clienti non ricevono spiegazioni ufficiali sulle cause. Diverse fonti hanno ipotizzato un attacco ransomware, ma l’azienda non ha rilasciato dichiarazioni definitive. L’estensione e la durata del blocco, insieme alla disconnessione dei sistemi interni, suggeriscono una possibile compromissione grave, tipica dei recenti attacchi a infrastrutture cloud e on-premise.
Telefónica: nuove fughe di dati e minaccia persistente del gruppo Hellcat
Sul fronte delle telecomunicazioni, il gruppo Hellcat ha dichiarato di aver sottratto 106 GB di dati a Telefónica, inclusi documenti interni, email, ordini d’acquisto, dati di clienti e dipendenti di diversi paesi europei e sudamericani. Per dimostrare la veridicità dell’attacco, l’hacker “Rey” ha pubblicato un archivio da 2,6 GB con oltre 20.000 file, minacciando il rilascio integrale dei dati qualora la società non risponda alle richieste. Telefónica, dal canto suo, non ha riconosciuto ufficialmente la violazione, sostenendo che si tratti di informazioni obsolete e già note. Tuttavia, la presenza di dati appartenenti a dipendenti attivi getta ombre sulla reale entità dell’incidente e sulle contromisure adottate dall’azienda dopo precedenti attacchi ai server Jira.
Tecniche di attacco, impatto settoriale e scenari di rischio
Le campagne malevole analizzate nella settimana si caratterizzano per l’elevato livello di automazione e la capacità di sfruttare vulnerabilità ancora poco conosciute, soprattutto nel contesto della gestione documentale, dei sistemi di ticketing e delle piattaforme di collaborazione aziendale. I gruppi criminali non puntano più solo al ransomware, ma anche all’esfiltrazione di grandi quantità di dati sensibili con obiettivi che spaziano dalla monetizzazione tramite ricatto fino allo spionaggio industriale e all’interruzione operativa.
Nel caso Telefónica, la compromissione sarebbe avvenuta sfruttando una configurazione errata dei server Jira, con sessioni di esfiltrazione durate fino a dodici ore prima che l’accesso venisse revocato. L’analisi dei file dimostra la presenza di dati legati a fatturazioni, comunicazioni interne e informazioni di dipendenti attivi, mettendo in luce la necessità di audit regolari sulle piattaforme di sviluppo e ticketing. La diffusione di sample e file tree pubblici espone inoltre clienti, partner e utenti finali a possibili attacchi di phishing mirati e furti di identità.
L’episodio Ingram Micro evidenzia invece la fragilità delle supply chain digitali e la vulnerabilità delle grandi infrastrutture IT. La perdita di accesso ai sistemi interni e la prolungata assenza di comunicazioni ufficiali generano incertezza nel mercato e mettono a rischio la continuità operativa di migliaia di aziende clienti. L’ipotesi di un ransomware conferma come le strategie di attacco siano sempre più mirate a creare massima pressione sulle vittime, sfruttando la visibilità globale delle piattaforme compromesse.
Per il contesto italiano, la varietà dei malware circolanti e l’uso di tecniche di social engineering adattate ai trend del momento richiedono alle organizzazioni di rafforzare i processi di formazione, l’aggiornamento delle soluzioni di sicurezza e l’implementazione di strumenti di monitoraggio proattivo su reti, endpoint e applicativi cloud. La collaborazione tra enti pubblici, CERT nazionali e fornitori privati rappresenta il principale presidio per mitigare l’impatto delle nuove campagne malevole e ridurre il rischio di esfiltrazione di dati critici o blocco dei servizi essenziali.
