Nel panorama della sicurezza informatica, l’autunno 2025 segna una fase di stallo per alcuni gruppi hacker storici, una grave violazione nel settore sanitario e nuove sanzioni regolatorie contro le piattaforme online. I gruppi Scattered Spider e Lapsus$, protagonisti di alcune delle operazioni più aggressive degli ultimi anni, riducono drasticamente le proprie attività dopo arresti mirati e operazioni internazionali. Contemporaneamente, la compagnia medica statunitense SimonMed rivela un breach che ha compromesso i dati di 1,2 milioni di pazienti, mentre l’autorità britannica Ofcom commina una multa di quasi 300.000 euro a 4chan per mancata moderazione di contenuti dannosi. Questi eventi delineano un momento cruciale per la cybersicurezza globale, tra repressione, vulnerabilità e regolamentazioni sempre più stringenti.
Cosa leggere
Attività ridotte per Scattered Spider e Lapsus$
Secondo i ricercatori di threat intelligence, le operazioni di Scattered Spider (UNC3944) e Lapsus$ mostrano un rallentamento marcato a partire da agosto 2025. Scattered Spider, noto per aver colpito aziende tecnologiche e infrastrutture critiche con tecniche di social engineering e compromissione di account privilegiati, ha ridotto drasticamente le campagne dopo una serie di arresti condotti dall’FBI. Il gruppo, responsabile di intrusioni ai danni di colossi cloud e fintech, utilizzava strumenti come Cobalt Strike e Mimikatz per ottenere credenziali e muoversi lateralmente nei sistemi delle vittime. Le indagini hanno rivelato l’uso sistematico di VPN, proxy e infrastrutture di comando su domini offuscati, con comunicazioni interne gestite via Discord. In parallelo, Lapsus$, già noto per gli attacchi a Uber, Nvidia e Samsung, mostra un pattern simile. I membri più giovani del gruppo sono stati identificati e arrestati nel Regno Unito e in Brasile, costringendo la rete a operare in modo frammentato. Le nuove attività, limitate a piccoli attacchi DDoS e fughe di dati su Telegram, indicano una riconfigurazione tattica piuttosto che un abbandono definitivo. Gli analisti sottolineano che entrambi i gruppi mantengono presenza latente su forum underground e wallet crypto attivi, segno di una possibile ripresa con metodologie evolute. Scattered Spider, in particolare, sembra orientarsi verso l’uso di automazioni basate su AI per individuare vulnerabilità in supply chain, mentre Lapsus$ continua a sfruttare phishing mirati e spear-phishing come vettori d’ingresso preferiti.
Violazione dati da 1,2 milioni di pazienti in SimonMed
Nel settore sanitario, la società radiologica SimonMed ha confermato un data breach avvenuto nel gennaio 2025, che ha esposto informazioni personali e mediche di 1,2 milioni di pazienti. I dati compromessi includono nomi, date di nascita, numeri di sicurezza sociale e record clinici archiviati su server cloud ibridi. L’azienda ha comunicato l’incidente alle autorità federali e avviato un’indagine forense in collaborazione con esperti di sicurezza esterni. Ai pazienti colpiti sono stati offerti servizi gratuiti di monitoraggio del credito e indicazioni per attivare credit freeze e controlli sui report finanziari. Le analisi preliminari suggeriscono come vettore d’attacco probabile una SQL injection su database legacy non segmentati, seguita da movimento laterale su sistemi interni. I ricercatori ipotizzano la possibile correlazione con gruppi ransomware orientati all’esfiltrazione di dati, anche se SimonMed non ha ricevuto richieste di riscatto dirette. In risposta, la compagnia ha rafforzato la cifratura end-to-end, aggiornato i protocolli di accesso remoto, implementato un’architettura zero-trust e migliorato la formazione del personale sul phishing. I nuovi controlli includono sistemi SIEM, vulnerability scanning automatico, backup offsite e monitoraggio del dark web per individuare eventuali fughe di dati. L’incidente evidenzia la fragilità del comparto sanitario, spesso penalizzato da infrastrutture obsolete e vincoli di compliance complessi. I costi diretti e reputazionali del breach confermano il settore healthcare come uno dei target più redditizi e vulnerabili per i cybercriminali.
Multa Ofcom a 4chan per contenuti dannosi
Sul fronte regolatorio, l’autorità britannica Ofcom ha imposto una multa di 297.619 euro alla piattaforma 4chan, colpevole di non aver rimosso tempestivamente post con contenuti violenti e incitamenti all’odio. L’indagine, condotta nell’ambito dell’Online Safety Act, ha accertato la mancata moderazione automatica e umana di discussioni ritenute harmful, in violazione degli obblighi di tutela degli utenti vulnerabili. Ofcom ha richiesto a 4chan piani correttivi immediati, tra cui l’introduzione di filtri AI per il rilevamento di contenuti illegali, sistemi di verifica dell’età, log di audit trasparenti e un team di moderazione ampliato. La piattaforma, che ha una lunga storia di controversie legate all’anonimato, ha accettato di collaborare con esperti esterni e aggiornare le policy di sicurezza per conformarsi ai requisiti. La sanzione, oltre a incidere sulle finanze del sito, costituisce un precedente per l’applicazione delle norme di sicurezza digitale nel Regno Unito, e potrebbe influenzare piattaforme simili in Europa. Ofcom valuterà trimestralmente i progressi e coordinerà i controlli con altre autorità UE e con l’Information Commissioner’s Office (ICO) per garantire una sorveglianza continuativa.
Implicazioni globali sulla sicurezza e la regolamentazione
La combinazione di arresti di gruppi hacker, breach sanitari e interventi regolatori delinea un’evoluzione complessa nella cybersicurezza globale. Gli esperti notano una transizione verso minacce più silenziose ma mirate, mentre le istituzioni accelerano su compliance, trasparenza e protezione dati. Organizzazioni come SimonMed adottano approcci di threat hunting proattivo e segmentazione di rete, mentre governi e agenzie come Ofcom o FBI intensificano la cooperazione internazionale. L’obiettivo è ridurre la superficie d’attacco e imporre standard minimi di sicurezza e moderazione a tutti gli attori digitali. Allo stesso tempo, l’inattività apparente di Scattered Spider e Lapsus$ non deve essere interpretata come dissoluzione. I ricercatori prevedono un ritorno operativo sotto nuove sigle o con modelli di affiliazione ransomware-as-a-service, adattati ai mercati cloud e all’uso crescente di AI per evasione dei controlli. La multiforme risposta coordinata — investigativa, tecnica e normativa — segna un passo avanti nella difesa collettiva ma evidenzia anche la sfida di mantenere un equilibrio tra privacy, sicurezza e libertà online.
