Sommario
Ransomware gang sfruttano vulnerabilità Microsoft SharePoint per attacchi globali, mentre aziende come Einhaus Group collassano dopo cyberattacchi e il Regno Unito introduce milioni di age checks quotidiani sotto l’Online Safety Act. Microsoft e Google collegano questi assalti a gruppi statali cinesi come Linen Typhoon, Violet Typhoon e Storm-2603, che sfruttano catene di vulnerabilità zero-day note come ToolShell per compromettere almeno 148 organizzazioni nel mondo. Il ransomware 4L4MD4R, basato su codice open-source, infetta server e richiede riscatti in Bitcoin. In parallelo, l’Online Safety Act nel Regno Unito genera cinque milioni di verifiche età al giorno, sollevando preoccupazioni per la privacy degli utenti.
Attacchi ransomware a Microsoft SharePoint
I gruppi ransomware hanno intensificato gli attacchi a server Microsoft SharePoint sfruttando una catena di vulnerabilità nota come ToolShell. Le attività sono attribuite a attori cinesi sponsorizzati dallo stato, tra cui Linen Typhoon, Violet Typhoon e Storm-2603. Le intrusioni sono iniziate almeno dal 7 luglio 2025 secondo Eye Security, con oltre 400 server infetti in 148 organizzazioni, incluse agenzie governative USA come il Dipartimento dell’Istruzione e il Dipartimento delle Entrate della Florida. Microsoft ha assegnato CVE-2025-53770 e CVE-2025-53771 per vulnerabilità di esecuzione di codice remoto, con patch distribuite nel Patch Tuesday di luglio. Il ransomware 4L4MD4R, emerso il 27 luglio, utilizza tecniche avanzate come UPX packing, codifica AES in memoria e sfrutta PowerShell per disabilitare le difese. Il payload è ospitato su infrastrutture sospette come theinnovationfactory[.]it e l’IP 145.239.97[.]206. Le vittime ricevono note di riscatto con richieste di 0,005 Bitcoin. Microsoft, CISA e altri enti stanno monitorando e applicando contromisure rapide per contenere la diffusione.
Il collasso di Einhaus Group dopo l’attacco
Il gruppo tedesco Einhaus, attivo in riparazioni mobili e assicurazioni, ha dichiarato l’insolvenza per tre delle sue società dopo un attacco ransomware Royal avvenuto nel 2023. Con un fatturato annuo di 70 milioni di euro e una rete di oltre 5.000 negozi, l’azienda ha subito l’interruzione completa delle operazioni. Il pagamento del riscatto, stimato in sei cifre alte, non ha garantito la restituzione dei fondi, poiché le autorità tedesche li hanno sequestrati senza rimborsarli. La perdita ha portato a una riduzione drastica del personale, da oltre 100 a soli otto dipendenti. I servizi 24 ore su 24 sono cessati, con impatti sui partner come Deutsche Telekom e 1&1. L’esperienza di Einhaus evidenzia come le PMI siano particolarmente vulnerabili ai cyberattacchi: anche il recupero legale delle somme pagate in riscatto si rivela incerto, con conseguenze devastanti per l’intera struttura operativa.
Esplosione di verifica dell’età con l’Online Safety Act
Dal 25 luglio 2025, l’Online Safety Act del Regno Unito ha introdotto l’obbligo di verifica dell’età su tutte le piattaforme con contenuti riservati agli adulti, come pornografia, disturbi alimentari e self-harm. Le piattaforme utilizzano scansioni facciali, foto ID e carte di credito per verificare l’età degli utenti. Secondo l’Age Verification Providers Association, si effettuano ora oltre 5 milioni di age checks aggiuntivi al giorno. Il ministro Peter Kyle difende la legge, sostenendo che chi si oppone “sta dalla parte dei predatori”. Le multe previste arrivano fino al 10% del fatturato globale o 21,43 milioni di euro, a seconda di quale cifra sia maggiore. Tuttavia, sono emerse preoccupazioni sulla privacy, dato che i metodi di verifica possono raccogliere dati sensibili. Il numero di ricerche per VPN è salito a quattro cifre percentuali, evidenziando una reazione degli utenti nel tentativo di aggirare i controlli.
Implicazioni globali dei cyberattacchi
Gli attacchi ransomware a SharePoint stanno evidenziando gravi vulnerabilità sistemiche. Oltre alle agenzie USA, anche reti governative europee e mediorientali risultano compromesse. I dati esfiltrati possono includere informazioni classificate. Le aziende colpite soffrono downtime prolungato, danni reputazionali e perdite milionarie. I tentativi di recupero sono spesso ostacolati da sequestri governativi, come nel caso di Einhaus. Nel frattempo, l’Online Safety Act pone il Regno Unito all’avanguardia nelle regolazioni per la sicurezza online, ma alimenta un dibattito sul bilanciamento tra tutela dei minori e diritti alla privacy. L’adozione massiva di sistemi di verifica, con la collaborazione di terze parti e standard AVPA, impone alle piattaforme costi tecnici elevati. Il mercato delle VPN esplode, segnalando una crescente tensione tra controllo e libertà.
Reazioni istituzionali e misure preventive
Microsoft, Google, CISA e altri attori stanno tracciando l’evoluzione delle minacce. La catena di exploit ToolShell resta attiva e nuove varianti come 4L4MD4R indicano che i gruppi ransomware adattano rapidamente i propri strumenti. Eye Security ha allertato le organizzazioni, mentre Unit 42 di Palo Alto Networks ha analizzato nel dettaglio il codice del ransomware, confermando la sua origine open-source e la presenza di tecniche anti-detection. Nel Regno Unito, le autorità pubblicano aggiornamenti regolari sull’efficacia dell’Online Safety Act, mentre AVPA monitora la conformità delle piattaforme. Il dibattito politico si intensifica, con oppositori che denunciano il rischio di uno Stato sorvegliante, mentre sostenitori esaltano il ruolo del Regno Unito come pioniere europeo.
Meccanismo del ransomware 4L4MD4R
Il ransomware 4L4MD4R è sviluppato in GoLang, utilizza packing UPX, decritta payload AES direttamente in memoria e alloca spazio per l’esecuzione del file PE. Crea un thread attivo, cifra i file, genera note ransom.txt e encrypted_files.txt, e disabilita Microsoft Defender via PowerShell, ad esempio con Set-MpPreference -DisableRealtimeMonitoring $true. Il payload è ospitato su server remoti, elude le firme antivirus con crittografia in memoria e impiega una chiave AES hardcoded. Deriva da codice disponibile su GitHub dell’utente Mauri870, successivamente adattato per campagne reali. Gli esperti raccomandano l’uso di EDR avanzati, patch rapide e backup isolati per contenere l’impatto.
