Attacchi cyber colpiscono wallet crypto, infrastrutture energetiche e supply chain dei servizi digitali

0

Attacchi cyber hanno colpito simultaneamente wallet crypto, infrastrutture energetiche, piattaforme finanziarie e compagnie aeree, evidenziando ancora una volta come le minacce digitali restino pervasive e trasversali. Dal furto di oltre 6,4 milioni di euro da migliaia di wallet di Trust Wallet, passando per un ransomware che ha paralizzato un grande produttore di energia in Romania, fino a violazioni di dati che coinvolgono Coinbase e Korean Air, il quadro che emerge è quello di un ecosistema digitale in cui vulnerabilità tecniche, errori di configurazione e fattori umani continuano a essere sfruttati in modo sistematico.

Trust Wallet e il furto da milioni tramite estensione browser compromessa

L’attacco a Trust Wallet rappresenta uno degli episodi più rilevanti del periodo natalizio 2025. Il 24 dicembre, attori malevoli hanno drenato oltre 6,4 milioni di euro da 2.596 wallet digitali, sfruttando una compromissione della versione 2.68.0 dell’estensione Chrome del portafoglio. Gli aggressori hanno inserito codice JavaScript malevolo capace di esfiltrare chiavi private e frasi di recupero, trasformando un aggiornamento apparentemente legittimo in un vettore di attacco ad ampia scala.

Secondo le analisi tecniche, la causa più probabile è una fuga di credenziali legate al Chrome Web Store, che ha consentito la distribuzione del pacchetto alterato. Una volta individuata l’anomalia, Trust Wallet ha reagito rilasciando rapidamente la versione 2.69, bloccando ulteriori accessi non autorizzati e sospendendo temporaneamente le chiavi di pubblicazione. In parallelo, la società ha collaborato con registrar e provider per oscurare domini malevoli collegati all’infrastruttura dell’attacco.

What we know:
The malicious extension v2.68 was NOT released through our internal manual process. Our current findings suggest it was most likely published externally through Chrome Web Store API key, bypassing our standard release checks.

A working hypothesis (still under…

— Eowync.eth (@EowynChen) December 26, 2025

Le vittime possono richiedere rimborsi tramite un modulo ufficiale verificato, ma l’incidente ha generato una seconda ondata di rischio. Campagne di phishing opportunistico stanno infatti cercando di sfruttare la confusione, inducendo gli utenti a fornire ulteriori informazioni sensibili con il pretesto dell’assistenza post-attacco. Il caso Trust Wallet mostra come la supply chain del software, anche nei canali ufficiali, resti uno dei punti più fragili dell’ecosistema crypto.

Fortinet e il ritorno di una vulnerabilità storica ancora sfruttata

In parallelo ai furti crypto, Fortinet ha rinnovato l’allarme su una vulnerabilità nota da anni, CVE-2020-12812, che consente di bypassare l’autenticazione a due fattori nei firewall FortiOS. La falla, scoperta oltre cinque anni fa, sfrutta la sensibilità al maiuscolo e minuscolo delle credenziali, creando discrepanze tra l’autenticazione locale e quella remota, ad esempio su server LDAP.

La patch è disponibile dal luglio 2020, con aggiornamenti specifici per le versioni 6.4.1, 6.2.4 e 6.0.10, ma osservazioni recenti indicano che l’exploit è ancora attivo in ambienti aziendali non aggiornati. Fortinet raccomanda di applicare immediatamente le patch o di modificare le configurazioni per eliminare ogni ambiguità legata al caso delle credenziali.

Già nel 2021, FBI e CISA avevano segnalato l’uso di questa vulnerabilità da parte di gruppi statali, ma la sua persistenza dimostra come molte organizzazioni continuino a rimandare interventi di remediation su componenti critici, trasformando falle storiche in minacce attuali.

Il ransomware Gentlemen colpisce il settore energetico rumeno

Il 26 dicembre 2025, il Complexul Energetic Oltenia, principale produttore di energia a carbone della Romania, è stato colpito da un attacco ransomware attribuito al gruppo Gentlemen. L’operazione ha portato alla crittografia di file e documenti, rendendo inaccessibili sistemi ERP, piattaforme di gestione documentale ed email. Anche il sito web aziendale è rimasto offline per diverse ore.

Nonostante l’impatto sui sistemi interni, l’azienda ha dichiarato che l’attacco non ha compromesso il Sistema Energetico Nazionale, grazie a misure di contingenza già operative. Il ripristino è avvenuto tramite backup sicuri, mentre è stata avviata una collaborazione con le autorità rumene, inclusa la direzione per la lotta al crimine organizzato.

Il gruppo Gentlemen accede tipicamente alle reti tramite credenziali rubate e servizi esposti, lasciando note di riscatto con estensioni specifiche. Sebbene abbia colpito decine di organizzazioni negli ultimi mesi, al momento non risultano dati pubblicati sul dark web relativi a questa vittima. L’episodio conferma la vulnerabilità del settore energetico, anche quando l’operatività core riesce a essere mantenuta.

Coinbase e il rischio insider nella catena di fornitura del supporto

Un altro fronte critico riguarda la supply chain umana. Le autorità indiane hanno arrestato un ex dipendente di un partner outsourcing di Coinbase a Hyderabad, accusato di complicità in un furto di dati clienti avvenuto all’inizio del 2025. L’individuo avrebbe fornito accesso indebito a database aziendali, consentendo agli hacker di esfiltrare informazioni sensibili di circa 69.500 clienti.

I dati esposti includono nomi, date di nascita, indirizzi e dettagli parziali di documenti identificativi. Gli attaccanti avrebbero richiesto un riscatto superiore a 18 milioni di euro per evitare la diffusione delle informazioni. Coinbase ha confermato l’incidente, riconducendolo a corruzione di personale esterno, e ha dichiarato che ulteriori arresti sono probabili.

We have zero tolerance for bad behavior and will continue to work with law enforcement to bring bad actors to justice.

Thanks to the Hyderabad Police in India, an ex-Coinbase customer service agent was just arrested. Another one down and more still to come.

— Brian Armstrong (@brian_armstrong) December 26, 2025

Il caso evidenzia come, anche in infrastrutture tecnologicamente avanzate, il fattore umano e la gestione dei fornitori restino uno dei punti più deboli nella sicurezza delle piattaforme crypto.

Korean Air e l’esposizione dei dati dei dipendenti

Anche il settore dei trasporti è stato coinvolto. Korean Air ha notificato una violazione che ha interessato circa 30.000 record di dipendenti, a seguito dell’esfiltrazione di dati da sistemi di una ex sussidiaria operante nel catering e nel duty-free. Le informazioni sottratte includono nomi e numeri di conto bancario.

Il gruppo Clop ha rivendicato l’attacco già a novembre 2025, pubblicando campioni dei dati su canali dark web. La compagnia ha emesso un avviso interno il 29 dicembre, segnalando l’incidente alle autorità competenti e invitando il personale a monitorare comunicazioni sospette. L’attacco ha colpito istanze legacy di software gestionale, mettendo in luce i rischi legati a infrastrutture dismesse ma ancora accessibili.

Pattern ricorrenti e lezioni sulla sicurezza digitale

Nel loro insieme, questi incidenti rivelano pattern ricorrenti nelle minacce cyber contemporanee. Gli attaccanti continuano a privilegiare accessi iniziali semplici, basati su credenziali compromesse, configurazioni obsolete o errori nella distribuzione software. I settori regolati come energia e trasporti mostrano impatti operativi diretti, mentre il mondo crypto resta esposto a furti massivi e a rischi di insider threat.

Le risposte aziendali convergono su aggiornamenti rapidi, ripristini da backup e cooperazione con le forze dell’ordine, ma la persistenza di vulnerabilità note dimostra che la prevenzione resta spesso incompleta. In un contesto di crescente digitalizzazione, la sicurezza continua a dipendere non solo dalla tecnologia, ma anche dalla disciplina operativa e dalla gestione delle persone.

Domande frequenti su attacchi cyber e sicurezza digitale