Sommario
Il panorama globale della criminalità informatica registra una crescita esponenziale nel luglio 2025, con autorità statunitensi che sequestrano criptovalute dal gruppo ransomware BlackSuit, mentre organizzazioni come ShinyHunters e Scattered Spider orchestrano campagne estorsive complesse contro Salesforce, assicurazioni e sistemi sanitari. La violenza digitale si traduce in furti di dati, outage critici e esfiltrazioni su larga scala, esponendo milioni di record e innescando reazioni normative e giudiziarie senza precedenti.
Sequestro crypto da BlackSuit e implicazioni
Il Dipartimento di Giustizia degli Stati Uniti congela oltre 917.000 euro in criptovalute, tracciati come parte di un riscatto pagato nel 2023 a BlackSuit. La vittima aveva trasferito 49,3 Bitcoin a wallet gestiti dal gruppo. Le forze dell’ordine, in collaborazione con exchange regolamentati, bloccano i fondi e ne impediscono il riciclo tramite mixer. La campagna BlackSuit si distingue per l’uso di tool evasivi, persistenza tramite injection e targeting mirato di settori critici come sanità e infrastrutture. Le autorità internazionali conducono l’operazione Checkmate, che porta alla disabilitazione di portali estorsivi sul dark web. Gli analisti collegano BlackSuit a Royal e Chaos, confermando continuità operativa e riciclaggio delle identità malware. La stima dei danni supera i 340 milioni di euro, con oltre 450 vittime solo negli Stati Uniti. Le imprese rafforzano i sistemi di tracciamento dei wallet e adottano policy di segnalazione obbligatoria, scoraggiando il pagamento dei riscatti. L’integrazione di AI per campagne di phishing segna un’evoluzione pericolosa della minaccia.
Collaborazione tra ShinyHunters e Scattered Spider
Le indagini confermano un’alleanza tattica tra ShinyHunters e Scattered Spider, operativa da almeno un anno. I due gruppi condividono tecniche di attacco, target e infrastrutture. ShinyHunters, noto per la monetizzazione via BreachForums e leak su Telegram, fornisce l’accesso iniziale. Scattered Spider, specializzato in social engineering avanzato, gestisce l’esfiltrazione dei dati tramite app OAuth manipolate. Entrambi utilizzano domini phishing registrati ad hoc, simulano portali come Okta, e ingannano impiegati via vishing. Le vittime includono Victoria’s Secret, Gucci e altri brand del retail, oltre a compagnie assicurative. I domini usati (es. ticket-azienda.com) sono progettati per bypassare sistemi di sicurezza tradizionali, sfruttando l’autenticazione federata. La rete si struttura nel collettivo The Com, che ingloba anche Lapsus$ e gruppi minori specializzati in SIM swapping e swatting on demand. Telegram diventa canale di rivendicazione, ma anche vetrina per malware come ShinySpider, un ransomware in grado di cifrare dati a 1GB/s, poi scomparso misteriosamente. La collaborazione trasversale eleva il rischio per le imprese, costrette ad adottare simulazioni di attacco e formazione continua contro il social engineering.
Attacchi Salesforce e leak Allianz Life
Gli hacker colpiscono Salesforce come vettore per furti di massa, con un impatto diretto su Allianz Life. Il gruppo ShinyHunters, con supporto di Scattered Spider, sottrae 2,8 milioni di record contenenti nomi, indirizzi, numeri fiscali e date di nascita. L’attacco avviene tramite social engineering telefonico, durante il quale gli impiegati vengono convinti ad approvare app OAuth manomesse. Queste app, dotate di token persistenti, permettono accesso prolungato e silente ai database Accounts e Contacts. L’attività inizia nel 2024, ma il leak emerge a luglio 2025. I ricercatori identificano domini fake registrati a giugno 2025, come ticket-lvmh.com, usati per impersonare strumenti ufficiali di Salesforce. Le implicazioni sono gravi: violazioni di GDPR e CCPA, esposizione di informazioni commerciali dei partner, e perdita di fiducia dei clienti. Le imprese coinvolte rafforzano MFA, riducono le autorizzazioni alle app OAuth e implementano controlli di dominio simile. ShinyHunters evolve verso tool per exfiltrazione accelerata e colpisce anche il settore aviation, con Qantas e Air France nel mirino. L’amplificazione degli attacchi riflette un cambio di paradigma nel cybercrime organizzato, in cui i gruppi condividono infrastrutture e playbook operativi.
Breccia sanitaria e requisiti HIPAA
Il settore sanitario subisce un colpo devastante nel 2024, con una breccia che espone 275 milioni di record pazienti. L’origine risiede in password deboli e sistemi legacy, che aprono la porta ad accessi non autorizzati. I dati HHS indicano 700 incidenti nel solo 2024, superando quelli nel settore finanziario. L’impatto va oltre i dati: interruzioni di cure, compromissione della sicurezza clinica, e erosione della fiducia pubblica. La normativa HIPAA impone safeguard tecnici e amministrativi. Richiede l’uso di policy formalizzate, training ricorrenti, analisi dei rischi e audit trail. Le entità devono documentare le scelte di sicurezza per sei anni, valutare la ragionevolezza delle misure e adottare MFA ovunque possibile. Strumenti come Passwork, certificato ISO 27001 e validato da HackerOne, emergono come soluzioni compatibili: offrono architettura zero-knowledge, crittografia AES-256, supporto SSO e auditing in tempo reale. L’interfaccia user-friendly consente auto-fill sicuro, riducendo il training necessario. Il rafforzamento delle difese diventa imprescindibile per proteggere la continuità delle cure e l’integrità dei dati sensibili.
Violazione Manpower da RansomHub
Il gruppo RansomHub rivendica l’attacco a Manpower, esfiltrando 500GB di dati, inclusi passaporti, SSN e contratti HR confidenziali, e colpendo 144.189 persone. La violazione avviene tra dicembre 2024 e gennaio 2025 e interessa una franchise locale a Lansing, mentre i sistemi corporate restano isolati. Manpower notifica le vittime a luglio 2025 e attiva servizi di monitoraggio Equifax gratuiti. RansomHub, evoluzione del gruppo Cyclops, opera in modalità Ransomware-as-a-Service, propagandosi via RDP vulnerabili. Il gruppo è classificato dall’FBI tra i cinque più pericolosi, con precedenti attacchi a NHS e infrastrutture critiche. Il leak pubblicato include screenshot a supporto dell’attacco. ManpowerGroup consiglia l’adozione di safeguard IT, forma il personale contro il phishing e implementa soluzioni EDR. Le implicazioni legali ed economiche colpiscono anche i clienti della franchise, accelerando la tendenza all’audit proattivo dei fornitori terzi.
Outage cyber all’Attorney General Pennsylvania
L’ufficio del Attorney General della Pennsylvania subisce un blackout informatico che paralizza sito, email e telefoni per diversi giorni, con inizio l’11 agosto 2025. L’interruzione è attribuita a un cyberattacco non meglio specificato. L’AG Dave Sunday informa tramite Facebook che il personale IT lavora in collaborazione con forze dell’ordine, utilizzando indirizzi email Outlook temporanei. Esperti come Kevin Beaumont sospettano un legame con CVE-2025-5777, una vulnerabilità critica in NetScaler (CitrixBleed 2). Due box esposti erano visibili su Shodan fino a luglio, poi offline. La mancanza di hygiene security e patching tempestivo potrebbe aver aperto la porta agli aggressori. L’evento interrompe indagini in corso e compromette operazioni statali. Altri uffici implementano aggiornamenti e firewall, evidenziando una crescente consapevolezza sulle minacce persistenti contro le istituzioni pubbliche.
Caso Do Kwon e frode su TerraUSD
Do Kwon, fondatore di Terraform Labs, ammette colpevolezza per frode sulla stablecoin TerraUSD, con perdite stimate in 36,7 miliardi di euro. Nel 2021 dichiara pubblicamente che l’algoritmo di peg era stabile, ma ammette in tribunale: “What I did was wrong”. Affronta fino a 25 anni di prigione, con sentenza prevista per dicembre 2025. Arrestato in Montenegro nel 2023, viene estradato negli Stati Uniti. Le autorità confiscano 17,4 milioni di euro in asset digitali. Il caso evidenzia la gestione opaca del protocollo Terra e richiama alla memoria lo scandalo FTX-Bankman-Fried. Le implicazioni toccano la fiducia del mercato crypto, spingendo regolatori a rafforzare le norme e investitori a diversificare i portafogli con maggiore cautela.
