Le recenti violazioni che coinvolgono Iberia, Cox Enterprises e un insider all’interno di CrowdStrike mettono in evidenza un panorama di minacce sempre più complesso, dove supply chain compromesse, zero-day non patchati, estorsioni ransomware e minacce interne convergono in un’unica traiettoria: la crescita esponenziale del rischio cyber globale. Nel primo periodo emergono elementi critici come il furto di 77 GB di dati Iberia, l’attacco zero-day CVE-2025-61882 alla piattaforma Oracle E-Business Suite, il ruolo del gruppo Cl0p, la presenza di insider che condividono screenshot e cookie SSO in CrowdStrike, le vaste campagne di ShinyHunters e Scattered Spider, oltre ai procedimenti legali contro giovani hacker britannici accusati di attacchi multimilionari. Questi episodi dimostrano la fragilità dei fornitori terzi, la rapidità con cui un exploit può diffondersi, la potenza del ransomware-as-a-service e la necessità di controlli interni granulari. Il seguente articolo ricostruisce gli incidenti, evidenziando i dettagli tecnici e strategici con un rafforzamento dei grassetti per evidenziare i concetti chiave.
Cosa leggere
Iberia colpita da breach su fornitore terzo
Iberia conferma un accesso non autorizzato ai sistemi di un vendor esterno, responsabile dell’esposizione di nomi, cognomi, indirizzi email e ID carte fedeltà Iberia Club. La compagnia precisa che password, informazioni bancarie e dettagli delle carte di pagamento restano protetti, delineando un incidente circoscritto ma significativo per l’impatto sulla privacy.
Un attore minaccia sostiene di aver sottratto 77 GB di dati dai server collegati a Iberia e tenta di venderli per 137.556 euro su forum hacker. La compagnia attiva immediatamente protocolli di sicurezza, avvia indagini con il fornitore e coopera con le autorità competenti. Iberia invia email ai clienti interessati richiedendo attenzione a eventuali comunicazioni sospette e utilizza codici di verifica per ogni modifica agli indirizzi email associati agli account, rafforzando così la protezione contro takeover malevoli. L’azienda garantisce che, finora, non sono emersi utilizzi fraudolenti dei dati esposti.
Cox Enterprises colpita da zero-day Oracle e rivendicata da Cl0p
Cox Enterprises notifica 9.479 individui dopo un attacco mirato contro la piattaforma Oracle E-Business Suite, sfruttando la vulnerabilità CVE-2025-61882, un zero-day critico attivo tra il 9 e il 14 agosto 2025. La compagnia rileva l’intrusione solo il 29 settembre, evidenziando un gap temporale pericoloso nelle capacità di detection. Il gruppo Cl0p rivendica l’attacco e aggiunge Cox Enterprises al proprio portale di leak sul dark web il 27 ottobre 2025. La tecnica non è nuova: Cl0p sfrutta vulnerabilità in software diffusi, come i precedenti attacchi su MOVEit Transfer, GoAnywhere MFT e Cleo MFT. La compromissione degli ambienti ERP impatta sistemi critici come contabilità, supply chain e HR, amplificando la superficie di danno. Per mitigare i rischi di furto identità, Cox offre monitoraggio credito gratuito per 12 mesi tramite IDX. L’azienda corregge anche incomprensioni precedenti, precisando che le vulnerabilità API 2021 non sono collegate all’attacco attuale. Oracle rilascia la patch il 5 ottobre 2025, ma ritardi nella sua applicazione espongono numerose organizzazioni, tra cui Logitech, Harvard University, Washington Post, Envoy Air e GlobalLogic.
Minacce insider e attacchi coordinati contro CrowdStrike
CrowdStrike affronta un episodio interno quando un dipendente condivide screenshot di sistemi sensibili, inclusi cookie di autenticazione SSO, con gruppi hacker come Scattered Lapsus$ Hunters. Le immagini compaiono su Telegram, mostrando strumenti e pannelli utilizzati nella gestione dei servizi aziendali. La società identifica l’insider, lo licenzia e trasferisce il caso alle autorità. CrowdStrike sottolinea che nessun sistema è stato compromesso e che i dati dei clienti sono rimasti protetti, grazie alla revoca immediata delle sessioni e al blocco degli accessi prima che gli aggressori potessero muoversi lateralmente. ShinyHunters afferma di aver concordato un pagamento di 22.926 euro all’insider per ottenere accesso alla rete CrowdStrike. Il gruppo tenta di acquistare report riservati su ShinyHunters e Scattered Spider, senza successo. I cookie SSO forniti non risultano sufficienti a ottenere un accesso completo a causa delle contromisure istantanee del provider.
Espansione globale delle attività di ShinyHunters e Scattered Spider
Le operazioni di ShinyHunters e Scattered Spider si intrecciano in campagne su vasta scala. I collettivi abbracciano un modello ransomware-as-a-service denominato ShinySp1d3r, rivendicando compromissioni sulle istanze Salesforce di oltre 280 aziende come LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, SonicWall, DocuSign e Malwarebytes. Gli attacchi includono campagne di voice phishing, con obiettivi di alto profilo come Google, Cisco, Qantas, Adidas, Farmers Insurance, Workday e brand del gruppo LVMH tra cui Dior, Louis Vuitton e Tiffany & Co. Gli aggressori lanciano persino un portale di leak Salesforce per estorcere 39 vittime, incrementando il danno reputazionale. Scattered Spider compromette inoltre Jaguar Land Rover, causando 201 milioni di euro di danni e interruzioni operative. Sul fronte Oracle, i collettivi continuano a sfruttare il zero-day EBS prima del rilascio patch, mentre organizzazioni come Red Hat affrontano tentativi di estorsione mirati.
Procedimenti legali contro giovani hacker britannici
Le autorità britanniche portano in tribunale Thalha Jubair (19 anni) e Owen Flowers (18 anni), accusati dell’attacco a Transport for London (TfL) del 2024. I due negano ogni responsabilità ma affrontano capi d’accusa come misuse informatico, frode e possibili collegamenti diretti a operazioni Scattered Spider. L’attacco TfL provoca danni per oltre 233 milioni di euro, esponendo dati personali come nomi, indirizzi e contatti degli utenti. L’indagine mette in luce come i sistemi underground, superficie e Crossrail siano stati coinvolti indirettamente, senza impatti sulla circolazione ma con forte disruption amministrativa. Le autorità britanniche e statunitensi collaborano per collegare i due giovani a oltre 120 breach e pagamenti ransom aggregati superiori a 105 milioni di euro. L’NCA arresta anche altri quattro affiliati Scattered Spider nel luglio 2024 per attacchi contro retailer come Marks & Spencer, Harrods e Co-op. Paul Foster, capo della National Cyber Crime Unit, definisce le operazioni del gruppo una fonte di disruption significativa e perdite finanziarie sistemiche.
Implicazioni per aziende e clienti
Le violazioni di Iberia e Cox evidenziano l’importanza dei controlli sulla supply chain e del patching tempestivo. La vicinanza temporale tra furto dati e rivendita nei forum spinge gli utenti a monitorare tentativi di phishing e comunicazioni sospette. Le iniziative di Cox con monitoraggio credito riducono i rischi secondari di furto identità. Le minacce insider come nel caso CrowdStrike dimostrano che la sicurezza interna è oggi centrale quanto la protezione da attacchi esterni. I collettivi ShinyHunters e Scattered Spider rappresentano un modello operativo che combina phishing vocale, accesso non autorizzato, estorsioni multilivello e sfruttamento di zero-day critici. Le autorità intensificano arresti e cooperazioni internazionali per contrastare cartelli digitali sempre più sofisticati.
