Un’ondata di attacchi informatici colpisce contemporaneamente Discord, Asahi e ambienti AWS, rivelando l’evoluzione delle tattiche di gruppi come Qilin e Crimson Collective, mentre la polizia londinese indaga su un breach con doxing di bambini. Le operazioni evidenziano un cambio di scala nel cybercrime globale, con furti di dati, estorsioni e compromissioni su più livelli industriali e cloud. Discord subisce una violazione tramite un account Zendesk compromesso, con 1,6 terabyte di dati rubati e milioni di ticket di supporto esposti. Parallelamente, Asahi, colosso giapponese della birra, cade vittima di Qilin ransomware, che causa interruzioni produttive e danni stimati in oltre 307 milioni di euro. Sul fronte cloud, il gruppo Crimson Collective compromette istanze AWS e ottiene accessi amministrativi completi per operazioni di furto e ricatto. Infine, a Londra, due adolescenti vengono arrestati per un attacco ransomware a una catena di asili, con diffusione di immagini di oltre 1.000 bambini.
Cosa leggere
Violazione dati su Discord: compromesso Zendesk e milioni di ticket esposti
Gli hacker ottengono accesso a una istanza Zendesk usata da Discord per la gestione del supporto clienti, sfruttando le credenziali compromesse di un agente. L’intrusione, durata 58 ore tra il 20 e il 22 settembre 2025, ha consentito il furto di 1,6 TB di dati, di cui 1,5 TB costituiti da allegati dei ticket. Gli attaccanti dichiarano di aver sottratto 8,4 milioni di ticket appartenenti a 5,5 milioni di utenti unici, contenenti email, numeri di telefono, informazioni di pagamento parziali e ID governativi. Gli hacker affermano di aver individuato oltre 70.000 documenti d’identità caricati durante le procedure di verifica dell’età. Discord conferma un’esposizione limitata a circa 70.000 utenti, sottolineando che l’infrastruttura principale della piattaforma non è stata compromessa. L’azienda precisa che l’attacco ha coinvolto un fornitore esterno di servizi BPO, e non una falla nel software Zendesk. Nel corso della negoziazione privata, durata dal 25 settembre al 2 ottobre, gli hacker avrebbero richiesto inizialmente un riscatto di 4,58 milioni di euro, poi ridotto a 3,21 milioni, ma Discord ha rifiutato qualsiasi forma di estorsione. In risposta, i criminali hanno diffuso campioni di dati per dimostrare la gravità della violazione, includendo trascrizioni, allegati e dati interni delle API di supporto.
Attacco ransomware a Asahi: Qilin colpisce il gigante giapponese della birra
Il gruppo Qilin, noto per la sua attività ransomware multi-piattaforma, rivendica l’attacco a Asahi, uno dei principali produttori di birra al mondo. Gli hacker pubblicano 29 immagini di prova contenenti documenti finanziari e identificativi dei dipendenti, seguite dall’annuncio dell’aggiunta dell’azienda al loro sito di leak dati. Le indagini interne confermano un’esfiltrazione di oltre 9.300 file per un totale di 27 GB. L’attacco obbliga Asahi a sospendere la produzione in sei stabilimenti giapponesi il 29 settembre, con ripercussioni su oltre trenta etichette e perdite stimate intorno ai 307 milioni di euro. L’azienda conferma la violazione il 3 ottobre, avviando un’indagine interna e riprendendo progressivamente la produzione della birra Super Dry con un sistema manuale di ordinazioni temporaneo. Qilin, emerso nel 2023 e spesso associato a Scattered Spider e a operatori nordcoreani, ha colpito in passato Nissan, Inotiv e strutture NHS londinesi, distinguendosi per l’uso di exploit su dispositivi edge e strumenti di furto credenziali. Nel caso Asahi, il gruppo avrebbe tentato negoziati falliti prima di procedere con la pubblicazione dei dati. Gli esperti definiscono l’incidente un esempio di ransomware ibrido, in cui l’encryption è accompagnata da esfiltrazione massiva e pressione economica per massimizzare il danno reputazionale.
Crimson Collective compromette ambienti AWS per estorsione
Il gruppo Crimson Collective conduce una campagna sofisticata contro ambienti Amazon Web Services (AWS), puntando al furto e all’esfiltrazione di dati da infrastrutture cloud aziendali. Secondo analisi di Rapid7, gli attaccanti sfruttano chiavi di accesso a lungo termine, ottenute tramite tool open-source come TruffleHog, per individuare credenziali esposte e creare nuovi utenti IAM con privilegi amministrativi. Una volta ottenuto il controllo delle policy AdministratorAccess, gli hacker eseguono enumerazioni complete di bucket, istanze e database, modificando le password master di RDS e creando snapshot di volumi EBS successivamente esportati su S3. Le note di estorsione vengono inviate via AWS SES, indirizzate sia agli account compromessi che a contatti esterni. Crimson Collective avrebbe inoltre rubato 570 GB di dati da repository GitLab di Red Hat, in collaborazione con Scattered Lapsus$ Hunters, mostrando una tendenza alla cooperazione tra gruppi estorsivi. Gli esperti raccomandano l’uso di credenziali temporanee e policy IAM limitate per mitigare i rischi. Il gruppo, di dimensioni ancora ignote, si distingue per la focalizzazione sull’estorsione cloud-based, un approccio che riflette la maturazione del cybercrime verso infrastrutture enterprise.
Arresti a Londra per breach nursery e doxing di bambini
Nel Regno Unito, la Polizia Metropolitana di Londra arresta due adolescenti di 17 anni accusati di blackmail e uso improprio di computer in relazione a un attacco ransomware contro la catena di asili Kido. L’incidente, avvenuto il 25 settembre 2025, ha coinvolto dati e immagini di oltre 1.000 bambini appartenenti a famiglie nel Regno Unito, Stati Uniti, India e Cina. Il gruppo Radiant, autore dell’attacco, ha diffuso le informazioni sottratte su un sito dark web, includendo indirizzi, foto e dati dei genitori per esercitare pressioni sulla società. Dopo il fallimento del tentativo di estorsione, i file sono stati rimossi, ma il danno reputazionale resta ingente. Le indagini indicano che i dati compromessi erano ospitati sulla piattaforma Famly, utilizzata per la condivisione di informazioni tra scuole e genitori. Il CEO Anders Laustsen conferma che l’infrastruttura Famly non è stata violata e che l’azienda collabora con le autorità. Il National Cyber Security Centre (NCSC) descrive l’attacco come “altamente inquietante”, sottolineando la crescita di episodi condotti da teenager nel panorama britannico. Secondo il capo della divisione economico-cyber della Polizia, Will Lyne, gli arresti rappresentano un “passo cruciale” per fermare l’escalation di giovani hacker coinvolti in attacchi ransomware.
