Sommario
Nel mese di luglio 2025, la superficie di attacco globale si estende con episodi significativi che colpiscono l’intero ecosistema digitale: dalle piattaforme crypto ai grandi retailer russi, fino ai colossi della connettività DNS. L’hackeraggio di BigONE, la paralisi di WineLab, la diffusione di un decryptor gratuito per Phobos ransomware, e il disservizio DNS di Cloudflare delineano un contesto di minacce diversificate e sempre più sofisticate. In Italia, aziende del settore finanziario e retail osservano con attenzione sviluppi e contromisure per proteggersi da simili incidenti.
Attacco a BigONE e furto criptovalute da 27 milioni di euro
Il 16 luglio 2025, BigONE, una delle principali piattaforme per il trading di criptovalute, subisce un furto da 27 milioni di euro a seguito di un attacco che sfrutta una vulnerabilità nella supply chain. Il breach coinvolge un servizio di terze parti non adeguatamente verificato, compromettendo la logica di gestione del hot wallet.
Il tracciamento on-chain mostra la conversione immediata dei fondi in 120 Bitcoin, 1272 Ether, 2625 Solana e 23,3 milioni di Tron, trasferiti poi su indirizzi noti per attività di riciclaggio. Secondo SlowMist, il vettore iniziale sarebbe una API esposta senza autenticazione, usata per iniettare richieste malformate che hanno aggirato i controlli di backend. L’exchange assicura l’integrità delle chiavi private e dei dati utente, annunciando rimborsi totali e il blocco temporaneo dei prelievi. Viene avviata una revisione completa dei vendor esterni, rafforzata l’infrastruttura con firewall e chiavi HSM, e introdotto un nuovo monitoraggio continuo dei flussi blockchain.
WineLab chiude dopo ransomware: retail russo sotto attacco
Il 14 luglio 2025, la catena russa WineLab, parte del gruppo Novabev, è costretta alla chiusura di oltre 1800 punti vendita a seguito di un attacco ransomware che ha colpito l’intera infrastruttura IT. L’operatività sia online che fisica viene interrotta, causando una perdita economica significativa e compromettendo la logistica di distribuzione. La società rifiuta il pagamento del riscatto, mentre nessun gruppo rivendica pubblicamente l’attacco, in un clima di silenziosa autocensura tra gruppi criminali russi. Gli esperti notano l’uso di vulnerabilità non divulgate, probabilmente sfruttate per ottenere accesso iniziale, e l’assenza di misure EDR efficaci. La risposta prevede il ripristino graduale dei sistemi, il rafforzamento dei backup offline, il monitoraggio del dark web e l’adozione di misure di contenimento. L’evento sottolinea la vulnerabilità del settore retail e la necessità di segmentare le reti e limitare gli accessi remoti.
Phobos ransomware: decryptor gratuito riduce i danni
Un importante passo avanti arriva il 16 luglio con il rilascio pubblico di un decryptor gratuito per Phobos ransomware, che consente il recupero dei file cifrati senza necessità di pagamento. Il tool, sviluppato analizzando debolezze nella crittografia simmetrica di alcune varianti Phobos (tra cui 8Base), viene distribuito tramite canali ufficiali. Il ransomware, attivo dal 2019, continua a colpire soprattutto PMI globali con attacchi via RDP esposti e note di riscatto in file come Decryption-guide.txt. Il decryptor consente il recupero su larga scala, sebbene richieda la verifica manuale dei file compromessi. Gli esperti mettono in guardia su tool falsi, sottolineando l’importanza di accedere solo a fonti affidabili. L’iniziativa rappresenta un esempio di resilienza cyber-community driven, riducendo l’impatto economico e operativo per le vittime. I team di incident response suggeriscono comunque l’adozione di backup offline, sistemi di sandboxing e chiusura dei servizi remoti esposti.
Outage Cloudflare: nessun attacco, solo errore interno
Il 17 luglio, milioni di utenti subiscono interruzioni a causa dell’outage di 1.1.1.1, il resolver DNS pubblico gestito da Cloudflare. Inizialmente si sospettano attacchi DDoS o hijack BGP, ma l’azienda chiarisce in un report ufficiale che l’incidente è stato causato da una configurazione errata interna, senza compromissioni esterne. Il problema viene risolto nel giro di poche ore, senza perdita di dati. Tuttavia, l’episodio mette in luce la pericolosa dipendenza da singoli fornitori di DNS. Cloudflare avvia audit interni, potenzia i test di resilienza, e pubblica una roadmap di aggiornamento per l’infrastruttura. L’incidente, pur non legato ad attacchi cyber, offre un’importante lezione su come errori interni possano generare impatti estesi. Le aziende valutano l’adozione di resolver alternativi e strategie multi-provider per garantire continuità operativa.
Confronto tra incidenti: impatti, target e risposte
| Incidente | Target | Metodo | Impatto | Risposta |
|---|---|---|---|---|
| BigONE | Criptovalute | Supply chain | 27M € rubati | Rimborsi, patch |
| WineLab | Retail | Ransomware | Chiusura negozi | Rifiuto riscatto |
| Phobos | PMI globali | Ransomware | Blocco file | Decryptor gratuito |
| Cloudflare | Infrastruttura | Errore interno | Outage DNS | Ripristino rapido |
Gli incidenti rivelano la varietà delle minacce: furti di fondi, blocchi operativi, interruzioni di servizio, e compromissioni potenziali. Le contromisure includono audit, decryptor, segmentazione delle reti e gestione proattiva degli errori infrastrutturali. La crescente interconnessione digitale impone approcci multilivello di resilienza.
Mitigazioni e considerazioni finali
Le aziende globali rafforzano le strategie di sicurezza e implementano misure tecniche mirate: cold storage, segmentazione delle reti, monitoraggio blockchain, firewall avanzati e simulazioni di incidenti. La combinazione di motivazioni finanziarie e geopolitiche suggerisce un’ulteriore escalation nei prossimi mesi. La lezione chiave di luglio 2025 è chiara: nessun settore è immune, dalla finanza alle infrastrutture di base. Le vulnerabilità possono nascere dall’interno (come in Cloudflare) o da catene di fornitura esterne (come in BigONE). Gli strumenti comunitari come il decryptor per Phobos dimostrano che è possibile reagire efficacemente, ma solo con preparazione e coordinamento globale.
