Il 2025 si conferma un anno critico per la sicurezza informatica globale, con violazioni dati e attacchi ransomware che colpiscono aziende, media, piattaforme digitali e infrastrutture sanitarie. Tra i casi più eclatanti figurano il Washington Post, DoorDash e Synnovis, mentre le autorità emettono nuovi avvisi su Akira ransomware e si chiude nel Regno Unito un processo storico per una frode Bitcoin da quasi 6 miliardi di euro. Gli episodi rivelano vulnerabilità persistenti in sistemi enterprise, ERP e ambienti cloud, aggravate da exploit zero-day e attacchi di social engineering.
Cosa leggere
Breach al Washington Post: zero-day in Oracle e leak di 10.000 dipendenti
Il Washington Post ha notificato a quasi 10.000 dipendenti e contractor una violazione dei dati personali e finanziari avvenuta tra luglio e agosto 2025. Gli attaccanti hanno sfruttato una vulnerabilità zero-day, CVE-2025-61884, individuata in Oracle E-Business Suite, software ERP utilizzato per la gestione di risorse umane, contabilità e supply chain. L’indagine, avviata dopo una segnalazione di accesso anomalo il 29 settembre, ha rivelato che i cybercriminali avevano ottenuto l’accesso non autorizzato a dati sensibili, tra cui nomi completi, conti bancari, numeri di previdenza sociale e informazioni fiscali. Gli aggressori hanno tentato un’estorsione, e secondo i ricercatori, l’azione è collegata al gruppo ransomware Clop, già autore di attacchi contro Harvard, Envoy Air e GlobalLogic. I dati trafugati sono stati pubblicati sui portali leak del gruppo. Oracle ha rilasciato rapidamente una patch, ma l’episodio evidenzia la crescente esposizione dei sistemi ERP esposti a Internet e la vulnerabilità di aziende mediatiche che gestiscono informazioni riservate su scala globale.
Violazione DoorDash: social engineering e ritardo nella notifica
Il 25 ottobre DoorDash ha rilevato una nuova violazione dei dati causata da un attacco di social engineering su un dipendente che ha permesso l’accesso non autorizzato ai sistemi aziendali. Le informazioni compromesse comprendono nomi, indirizzi, numeri di telefono ed email di utenti e collaboratori, con impatti soprattutto in Canada ma anche negli Stati Uniti. Il team di sicurezza ha bloccato l’accesso e avviato un’indagine forense con il supporto delle forze dell’ordine. Le notifiche agli utenti sono iniziate solo il 10 dicembre, suscitando critiche per la lentezza della comunicazione e minacce di azioni legali. DoorDash ha dichiarato che non sono stati coinvolti numeri di previdenza sociale o password, ma gli esperti sottolineano che anche i dati di contatto possono alimentare campagne di phishing mirate. Si tratta del terzo breach significativo per l’azienda: nel 2019 erano stati esposti 5 milioni di utenti, mentre nel 2022 un incidente era stato collegato al breach di Twilio. L’episodio ribadisce come il fattore umano resti l’anello debole della catena di sicurezza.
Alert CISA su Akira ransomware e nuove tattiche su Linux Nutanix AHV
Nel novembre 2025, la CISA, in collaborazione con FBI, DC3, HHS e partner internazionali, ha pubblicato un avviso aggiornato sul gruppo Akira ransomware, che ha esteso le sue operazioni colpendo anche le macchine virtuali Nutanix AHV. L’encryptor Linux dedicato sfrutta vulnerabilità note come CVE-2024-40766 in SonicWall per ottenere accesso iniziale, oltre a exploit in Veeam (CVE-2023-27532 e CVE-2024-40711) per eliminare i backup. L’analisi mostra che Akira utilizza Ngrok per il comando e controllo, strumenti legittimi come nltest, AnyDesk e wmiexec.py per la ricognizione e crea nuovi account amministrativi locali per mantenere la persistenza. Gli attaccanti disattivano i sistemi di difesa e criptano i file .qcow2, formato dei dischi virtuali Nutanix, causando interruzioni critiche. CISA raccomanda backup offline, MFA, patch rapide e monitoraggio dei tool di tunneling, sottolineando la trasformazione di Akira in ransomware multipiattaforma capace di colpire sia Windows sia ambienti Linux e cloud ibridi.
Synnovis e il caso Qilin: un ransomware causa la morte di un paziente
Dopo 18 mesi di indagini, Synnovis ha concluso l’inchiesta sull’attacco ransomware Qilin che, nel giugno 2024, aveva paralizzato i laboratori clinici dell’NHS a Londra, cancellando migliaia di appuntamenti e ritardando diagnosi critiche. Secondo il rapporto finale, l’incidente avrebbe contribuito indirettamente alla morte di un paziente, diventando uno dei rari casi di impatto letale attribuito a un ransomware. La compromissione ha comportato il furto di terabyte di dati frammentati, potenzialmente relativi a oltre 900.000 pazienti, tra cui numeri NHS, date di nascita e risultati di laboratorio. Synnovis ha notificato centinaia di organizzazioni sanitarie e rifiutato di pagare il riscatto, ribadendo una posizione etica di non collaborazione con i criminali. Il gruppo Qilin, di origine russa, ha praticato la doppia estorsione, pubblicando parte dei dati nel dark web. L’attacco ha messo in luce la fragilità delle infrastrutture sanitarie britanniche e la lentezza dei processi di notifica, aggravata dalla frammentazione dei sistemi informativi dell’NHS.
Condanna record nel Regno Unito per frode Bitcoin da 5,95 miliardi di euro
Nel novembre 2025, la Southwark Crown Court di Londra ha condannato Zhimin Qian a 11 anni e 8 mesi di reclusione per una frode in Bitcoin da 5,95 miliardi di euro, la più grande mai registrata nel Regno Unito. Qian, fondatore della fittizia Lantian Gerui Technology, aveva truffato oltre 128.000 investitori in Cina tra il 2014 e il 2017, promettendo profitti dal mining di Bitcoin. Dopo essere fuggita nel Regno Unito, la donna è stata arrestata nel 2018 in una villa di Hampstead, dove la Metropolitan Police ha sequestrato 61.000 BTC, oggi valutati circa 5,71 miliardi di euro. Il processo, durato sette anni, ha coinvolto la CPS, la NCA e la polizia cinese in una cooperazione investigativa senza precedenti. L’operazione ha portato anche alle condanne di Jian Wen, assistente di Qian (6 anni e 8 mesi), e Seng Hok Ling, complice coinvolto nel riciclaggio (4 anni e 11 mesi). L’inchiesta rappresenta un precedente storico nella lotta alle frodi crypto, sottolineando l’efficacia della cooperazione internazionale e la tracciabilità intrinseca delle transazioni blockchain.
Un panorama di minacce ibride e risposte globali
Gli episodi di novembre 2025 mostrano una convergenza tra cybercrime, frodi finanziarie e vulnerabilità enterprise, con impatti che spaziano dalla fuga di dati personali fino alla compromissione di servizi pubblici essenziali. Le tecniche ibride – exploit zero-day, phishing mirato, ransomware multipiattaforma – accentuano la complessità della difesa. Le risposte adottate includono patch rapide, audit di sicurezza, backup offline e rafforzamento dell’autenticazione multifattore. Gli esperti concordano sulla necessità di intelligence condivisa tra pubblico e privato e di resilienza strutturale nei sistemi critici. Il 2025 si chiude come un banco di prova per la cooperazione internazionale contro il cybercrime, segnando la fine dell’illusione di isolamento digitale.
