Blackfield colpisce Nidec, ShinyHunters sfrutta Oracle e CISA avverte su BlueHammer

🛡️ Executive Summary

• Blackfield ha compromesso una controllata di Nidec chiedendo un riscatto di circa 1,83 milioni di euro dopo l’esfiltrazione dei dati.
• La gang ShinyHunters sfrutta lo zero-day CVE-2026-35273 in Oracle PeopleSoft per violare Nissan, NAIC e numerose altre organizzazioni.
• La CISA conferma lo sfruttamento attivo della vulnerabilità BlueHammer (CVE-2026-33825) in Microsoft Defender e raccomanda l’applicazione immediata delle patch.

Le ultime settimane hanno evidenziato un’intensificazione delle attività dei gruppi cybercriminali, che stanno combinando ransomware, sfruttamento di zero-day e campagne di esfiltrazione dati contro grandi aziende e organizzazioni. Tra gli episodi più significativi figurano l’attacco del gruppo Blackfield contro Nidec Corporation, le intrusioni della gang ShinyHunters nei sistemi Oracle PeopleSoft di Nissan e della National Association of Insurance Commissioners (NAIC) e il nuovo allarme della CISA sullo sfruttamento della vulnerabilità BlueHammer in Microsoft Defender. I tre casi mostrano come gli attori delle minacce continuino a privilegiare infrastrutture enterprise e piattaforme di gestione del personale, trasformando vulnerabilità critiche in strumenti per ransomware, furto di dati ed escalation dei privilegi.

Blackfield chiede un riscatto milionario a Nidec

Il gruppo Blackfield ha rivendicato l’attacco contro Nidec Chaun Choung Technology, controllata taiwanese di Nidec Corporation, compromettendo un server aziendale il 22 giugno 2026. Dopo aver pubblicato alcuni campioni dei dati sottratti come prova dell’intrusione, i criminali hanno richiesto un riscatto di 2 milioni di dollari, pari a circa 1,83 milioni di euro, promettendo la cancellazione dei file rubati. La gang ha inoltre offerto condizioni particolari per aumentare la pressione sulla vittima, proponendo proroghe della trattativa al costo di 5.000 dollari al giorno oppure la possibilità di acquistare immediatamente i dati per 400.000 dollari.

Nidec ha reagito isolando il server compromesso e segmentando la rete interessata, avviando un’indagine interna per valutare l’impatto sull’operatività. L’azienda ha dichiarato di non prevedere ripercussioni sulle altre società del gruppo, anche se l’episodio richiama un precedente attacco ransomware subito nel 2024 che aveva portato all’esposizione di oltre 50.000 file appartenenti alla divisione vietnamita.

BlueHammer entra tra le vulnerabilità più sfruttate dai ransomware

Parallelamente, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiornato il proprio catalogo Known Exploited Vulnerabilities (KEV) includendo nuovamente la vulnerabilità BlueHammer (CVE-2026-33825) tra quelle sfruttate attivamente dalle gang ransomware. Il difetto interessa Microsoft Defender e consente a un utente già autenticato di ottenere privilegi elevati fino ad accedere al database Security Account Manager (SAM), da cui è possibile estrarre gli hash delle password locali e raggiungere privilegi SYSTEM. Sebbene Microsoft abbia distribuito la patch il 14 aprile 2026, le attività di sfruttamento sono proseguite anche nelle settimane successive. I ricercatori di Huntress Labs hanno osservato operazioni hands-on-keyboard poco dopo il rilascio dell’aggiornamento, mentre la CISA ha ribadito la necessità di applicare tempestivamente le correzioni, soprattutto negli ambienti Windows utilizzati da organizzazioni pubbliche e private. La presenza della vulnerabilità nel catalogo KEV conferma che BlueHammer rappresenta oggi uno dei principali vettori di compromissione nelle campagne ransomware.

ShinyHunters sfrutta lo zero-day Oracle PeopleSoft

Tra le campagne più estese emerge quella attribuita a ShinyHunters, che ha utilizzato lo zero-day CVE-2026-35273 di Oracle PeopleTools per compromettere numerose installazioni Oracle PeopleSoft. Uno degli obiettivi è stato la National Association of Insurance Commissioners (NAIC), dalla quale gli attaccanti sostengono di aver sottratto circa 3,1 terabyte di dati, equivalenti a oltre 105.000 file. Secondo l’organizzazione, l’analisi forense ha però stabilito che il materiale pubblicato comprende prevalentemente report finanziari pubblici, dati delle agenzie di rating, configurazioni obsolete e log di sistema, senza esposizione di informazioni personali identificabili o dati finanziari sensibili. Dopo il rifiuto del pagamento del riscatto, ShinyHunters ha comunque pubblicato il materiale il 25 giugno 2026, mentre la NAIC ha confermato di aver rafforzato le misure di sicurezza e di aver escluso compromissioni dei sistemi di produzione SERFF, OPTins e UCAA, inizialmente rivendicate dagli attaccanti.

Nissan conferma il furto di dati dei dipendenti

Lo stesso zero-day CVE-2026-35273 è stato sfruttato anche contro Nissan, che ha confermato una violazione riguardante dipendenti ed ex dipendenti di Stati Uniti, Canada, Messico e Brasile. L’intrusione, avvenuta tra il 27 maggio e il 9 giugno 2026, ha interessato l’infrastruttura Oracle PeopleSoft utilizzata per la gestione delle risorse umane, delle buste paga e degli adempimenti fiscali. Tra le informazioni sottratte figurano dati di contatto, coordinate bancarie, numeri di previdenza sociale, codici fiscali, informazioni finanziarie e dettagli relativi ai familiari e ai beneficiari dei dipendenti. L’azienda ha immediatamente attivato il proprio team di risposta agli incidenti, coinvolgendo specialisti esterni e collaborando con Oracle per limitare l’impatto della compromissione. Contestualmente sono stati introdotti controlli aggiuntivi sulle modifiche ai depositi diretti degli stipendi e avviati servizi gratuiti di monitoraggio del credito e del dark web per le persone coinvolte.

Una campagna che coinvolge centinaia di installazioni PeopleSoft

Secondo le rivendicazioni di ShinyHunters, la campagna avrebbe interessato oltre 300 installazioni Oracle PeopleSoft appartenenti a più di 100 organizzazioni, molte delle quali nel settore universitario e della formazione. La vulnerabilità CVE-2026-35273 ha consentito agli attaccanti di compromettere sistemi enterprise fondamentali per la gestione di personale, studenti e amministrazione, dimostrando ancora una volta il valore strategico delle piattaforme HR come bersagli privilegiati della criminalità informatica. La stessa gang era già balzata agli onori della cronaca dopo il furto di 280 milioni di record dalla piattaforma Instructure Canvas, episodio conclusosi con il pagamento di un riscatto. Oracle ha nel frattempo distribuito mitigazioni di emergenza e invita tutti gli amministratori a verificare la corretta applicazione degli aggiornamenti di sicurezza.

Patch, segmentazione e monitoraggio restano le difese principali

I tre episodi confermano come ransomware, vulnerabilità zero-day ed escalation dei privilegi rappresentino oggi una combinazione estremamente efficace per compromettere infrastrutture aziendali. La CISA continua a raccomandare l’applicazione immediata delle patch per CVE-2026-33825 e CVE-2026-35273, insieme alla verifica degli indicatori di compromissione e al monitoraggio degli accessi privilegiati. Le organizzazioni che utilizzano Oracle PeopleSoft dovrebbero controllare eventuali accessi anomali ai sistemi HR e limitare i privilegi amministrativi, mentre gli ambienti Windows devono essere aggiornati per impedire lo sfruttamento di BlueHammer. A queste misure si affiancano le buone pratiche consolidate contro il ransomware, come backup offline, segmentazione della rete, autenticazione multifattore e formazione del personale. Gli incidenti che hanno coinvolto Nidec, Nissan e NAIC dimostrano infatti che la rapidità nell’applicazione delle patch e la capacità di isolare tempestivamente i sistemi compromessi restano gli strumenti più efficaci per contenere gli effetti di campagne cyber sempre più sofisticate.