Sommario
Data Breach e attacchi ransomware intensificano le pressioni sulla sicurezza informatica internazionale, colpendo tanto il settore sanitario quanto quello tecnologico. DaVita ha subito un furto massivo che espone le informazioni di 2,4 milioni di persone, con il gruppo Interlock che ha rivendicato l’attacco pubblicando campioni sul dark web. Colt Technology Services ha confermato il furto di documenti dei clienti, messi all’asta dal gruppo Warlock per 183.000 euro. Nel frattempo, Europol ha smentito una falsa ricompensa attribuita a Qilin, rivelatasi una truffa per ingannare ricercatori. Inotiv, azienda farmaceutica, ha subito interruzioni operative a seguito di un attacco firmato Qilin, che ha sottratto 176 GB di dati. Anche Data I/O, fornitore di soluzioni elettroniche, ha visto i propri sistemi bloccati da un ransomware, con impatti su produzione e logistica. Questi eventi mettono in evidenza vulnerabilità gravi nelle reti sanitarie, farmaceutiche e nelle infrastrutture tecnologiche globali, con attaccanti che combinano exploit avanzati e tattiche di extortion mirata.
L’attacco a DaVita e furto dati massivo
Il 24 marzo 2025 segna l’inizio dell’attacco ransomware a DaVita, operatore leader nel settore della dialisi con oltre 2.600 centri negli Stati Uniti e più di 265.000 pazienti serviti. Gli intrusi hanno mantenuto accesso alla rete per settimane prima di essere rilevati il 12 aprile. A fine mese, il gruppo Interlock ha rivendicato la breccia, pubblicando campioni di file sul dark web. DaVita ha confermato il 18 giugno la legittimità dei dati rubati, che includono nomi, indirizzi, numeri di sicurezza sociale, dati medici e fiscali. In totale, 2,4 milioni di individui risultano colpiti. Interlock afferma di aver sottratto 1,5 TB di informazioni equivalenti a circa 700.000 file. Sebbene le cure ai pazienti non siano state interrotte, l’incidente ha avuto impatti significativi in termini di reputazione e compliance, con notifiche obbligatorie ai regulator e risorse dedicate al monitoraggio del credito per le vittime. Dal punto di vista tecnico, Interlock avrebbe sfruttato exploit remoti per ottenere accesso iniziale, utilizzando il trojan NodeSnake per mantenere persistenza e crittografare file con algoritmi avanzati. Le modifiche alle configurazioni di sistema hanno reso difficile il rilevamento, anche se patch rapide hanno limitato la propagazione. L’episodio evidenzia la fragilità delle infrastrutture sanitarie, già bersagliate in precedenza con impatti diretti sulla continuità assistenziale.
La breccia Colt e asta Warlock
Il 12 agosto Colt Technology Services ha confermato un incidente di sicurezza che ha esposto documenti dei propri clienti. A rivendicare l’attacco è stato il gruppo Warlock, attivo da marzo 2025 e considerato vicino ad ambienti cybercriminali cinesi. Utilizzando encryptor derivati da LockBit e Babuk, Warlock ha sottratto circa 1 milione di file, compresi dati finanziari e schemi di architetture di rete. I documenti sono stati messi all’asta sul forum Ramp con un prezzo di partenza di 183.000 euro. Le indagini indicano che Warlock avrebbe sfruttato vulnerabilità SharePoint per ottenere l’accesso, per poi negoziare riscatti variabili da 412.000 euro a diversi milioni. Colt, che gestisce reti di comunicazione a livello globale, ha limitato la divulgazione pubblica dell’incidente, fornendo però un canale di supporto ai clienti. La vicenda mette in luce come i gruppi ransomware stiano evolvendo verso modelli di business che includono aste pubbliche di dati, con un impatto crescente sulla fiducia delle aziende coinvolte.
La falsa ricompensa Qilin smentita da Europol
A metà agosto un canale Telegram ha diffuso la notizia di una presunta ricompensa da 45.800 euro offerta da Europol per informazioni sui leader del gruppo Qilin. L’annuncio, rivelatosi falso, mirava a ingannare ricercatori e media, sfruttando dinamiche di disinformazione tipiche dell’ecosistema cyber. La stessa Europol ha smentito ufficialmente la notizia, mentre il canale ha successivamente ammesso la truffa, firmata dall’hacker noto come Rey, già coinvolto in passate intrusioni a danno di operatori come Telefonica e Orange. L’episodio conferma come i canali di comunicazione non ufficiali possano essere usati per manipolare l’opinione pubblica e disorientare analisti, con un impatto negativo sulla comprensione reale delle minacce. Qilin, attivo dal 2022 e rebrandizzato da Agenda, continua intanto a condurre attacchi ransomware ad ampio raggio, con focus su sanità e governi.
L’incidente Inotiv e interruzioni operative
L’8 agosto 2025 Inotiv, azienda farmaceutica statunitense, ha subito un attacco ransomware rivendicato da Qilin. Il gruppo ha pubblicato campioni di dati per un totale di 176 GB (162.000 file), ottenuti durante la compromissione dei sistemi interni. L’attacco ha portato a una crittografia estesa delle infrastrutture IT, causando interruzioni delle operazioni aziendali, inclusi database e applicazioni critiche. Sebbene non siano ancora chiari i dettagli dei dati esfiltrati, Inotiv ha confermato di aver coinvolto forze dell’ordine e team esterni di incident response. La società ha avviato procedure di recovery e migrazione offline, ma le disruption operative rischiano di avere impatti duraturi sulla continuità dei processi di ricerca e produzione farmaceutica.
Disruption temporanea a Data I/O
Il 16 agosto 2025 anche Data I/O, fornitore di soluzioni per la programmazione di semiconduttori e dispositivi embedded, ha riportato un attacco ransomware. L’incidente, notificato alla SEC tramite Form 8-K, ha interrotto le funzioni di shipping, receiving e produzione. Sebbene nessun gruppo abbia rivendicato l’operazione, l’impatto ha mostrato come le supply chain tecnologiche siano particolarmente vulnerabili a disruption estese. Data I/O, partner di aziende come Amazon e Apple, ha temporaneamente messo offline le proprie piattaforme, avviando indagini con esperti di sicurezza. L’assenza di una rivendicazione pubblica lascia aperte ipotesi su tattiche di estorsione private. In un contesto dove il ransomware industriale è cresciuto dell’87% nel 2024, l’incidente conferma il rischio crescente per il comparto elettronico globale.
Colpite aziende globali
Data Breach e i leak di informazioni continuano a emergere come uno dei rischi più gravi per la sicurezza informatica internazionale, con incidenti che coinvolgono telecomunicazioni, sanità, gaming e servizi enterprise. Orange Belgium ha subito un attacco che ha compromesso 850.000 clienti, mentre il fornitore britannico APCS è stato colpito tramite il partner Intradev, con esposizione di passaporti e numeri assicurativi. Workday ha confermato un accesso non autorizzato al suo CRM third-party, legato al gruppo ShinyHunters, mentre Nuance ha chiuso una causa multimilionaria connessa alla storica breccia MOVEit del 2023. Bragg Gaming Group ha rilevato un’intrusione nei sistemi IT senza compromissioni di clienti, mentre TPG Telecom ha notificato che 280.000 utenti iiNet sono stati esposti a furti di email e credenziali modem. Questi incidenti mostrano come vulnerabilità in third-party, credenziali rubate ed exploit noti possano avere impatti su scala globale, alimentando frodi, phishing mirato e cause legali.
Orange Belgium e rischi frode
Alla fine di luglio Orange Belgium ha rilevato un’intrusione che ha colpito circa 850.000 account clienti. Gli attaccanti hanno sottratto nomi, cognomi, numeri telefonici, codici SIM e codici PUK. Non risultano invece esposti dati finanziari, email o password. L’operatore ha rafforzato le procedure di autenticazione, introducendo nuove domande di sicurezza, e ha avvisato i clienti tramite SMS ed email. Pur non essendoci conferme su ransomware o richieste di estorsione, i dati rubati possono alimentare campagne di phishing e furti d’identità. L’episodio segue altri incidenti nel gruppo Orange, inclusa una breccia in Francia a luglio e un attacco alla filiale rumena a febbraio, segnalando una vulnerabilità ricorrente nel settore delle telecomunicazioni.
La violazione APCS tramite Intradev
Il 4 agosto Intradev, partner tecnologico di APCS (fornitore britannico di controlli penali), ha rilevato attività malevole nei propri sistemi. L’intrusione ha esposto dati sensibili tra cui passaporti, patenti e numeri di previdenza sociale. Pur non essendo stati coinvolti dati finanziari, l’esposizione aumenta i rischi di furto d’identità per individui e organizzazioni. APCS, che serve oltre 19.000 clienti tra enti pubblici e privati, ha notificato l’incidente alle autorità competenti, incluso l’Information Commissioner’s Office (ICO). L’attacco evidenzia la crescente vulnerabilità delle supply chain software, spesso punto debole per organizzazioni di grandi dimensioni.
L’attacco su Workday CRM e social engineering
Il 6 agosto Workday ha confermato che attaccanti, tramite tecniche di social engineering, hanno compromesso un CRM gestito da un fornitore terzo. I criminali si sono finti membri del reparto HR o IT per ottenere accesso a database con nomi, email e numeri di telefono. L’incidente è stato attribuito al gruppo ShinyHunters, già noto per campagne su larga scala condotte con Scattered Spider e Lapsus$. In questo caso, l’uso di applicazioni OAuth malevole ha permesso agli aggressori di ottenere token persistenti, evitando i controlli firewall e scaricando database interi. Workday ha immediatamente revocato gli accessi sospetti e rafforzato le policy di sicurezza, avvisando i clienti dei rischi di phishing secondario.
La causa Nuance per breccia MOVEit
Nuance, società di Microsoft, ha accettato un accordo da 7,8 milioni di euro per chiudere una causa legale relativa all’attacco MOVEit del 2023. Il gruppo Clop aveva sfruttato la vulnerabilità zero-day della piattaforma di Progress Software per rubare dati a centinaia di aziende in tutto il mondo. Nel caso di Nuance, oltre 1,225 milioni di individui erano stati esposti, principalmente attraverso partner sanitari. Pur senza ammettere responsabilità, l’azienda ha offerto pagamenti e servizi di monitoraggio del credito alle vittime. L’incidente MOVEit rimane uno dei più gravi della storia recente, con oltre 77 milioni di persone colpite e migliaia di cause legali ancora in corso.
L’incidente Bragg Gaming Group
Il 16 agosto Bragg Gaming Group, attivo nel settore dei casinò online, ha rilevato un attacco ai sistemi IT interni. L’azienda ha dichiarato che l’intrusione è stata rapidamente contenuta, senza furti di dati personali né interruzioni dei servizi di gioco. Sebbene nessun gruppo abbia rivendicato l’attacco, l’episodio dimostra come anche le aziende del settore gambling rimangano bersagli frequenti: basti ricordare l’attacco ransomware del 2023 a MGM, costato oltre 91 milioni di euro. Bragg ha notificato le autorità competenti e continua a monitorare i sistemi per garantire resilienza.
Il leak TPG Telecom su iiNet
Il 16 agosto TPG Telecom ha annunciato che circa 280.000 clienti iiNet sono stati colpiti da un attacco con credenziali rubate. Gli aggressori hanno avuto accesso al sistema ordini, sottraendo email, numeri fissi, username e password dei modem di circa 1.700 clienti. L’azienda ha espulso gli intrusi, rafforzato le difese e notificato le vittime, offrendo supporto mirato. Anche in questo caso, l’incidente sottolinea l’importanza della gestione sicura delle credenziali e del monitoraggio proattivo delle infrastrutture esposte.
