L’ondata globale di cyberattacchi nel 2025 mostra un salto di qualità nella capacità offensiva dei criminali informatici e nella risposta coordinata delle autorità. Nel primo periodo emergono tutti gli elementi strutturali di questa escalation: sequestri di server bulletproof hosting nei Paesi Bassi, breach ai danni dell’ufficio del procuratore generale della Pennsylvania, intrusione nelle operazioni francesi di Eurofiber, contestazioni sulla timeline del breach Coinbase con 69.461 clienti colpiti, e il recupero di 4,89 milioni di euro in criptovalute legate allo storico hack Twitter del 2020. La cronologia degli attacchi rivela pattern ricorrenti: infrastrutture criminali resilienti, vulnerabilità critiche come CVE-2025-5777, tecniche avanzate di social engineering, ransomware RaaS come INC Ransom, rischi insider, supply chain compromesse e una crescente attenzione europea verso azioni transfrontaliere contro il cybercrime. Questi episodi delineano un ecosistema digitale in cui ransomware, phishing, compromise cloud e attacchi a telco e provider continuano a muoversi con rapidità superiore rispetto alle difese tradizionali, imponendo un cambio di paradigma.
Cosa leggere
Sequestro olandese di server bulletproof e impatto sul cybercrime
La polizia olandese interviene con un’operazione mirata contro un servizio di hosting bulletproof attivo dal 2022, sequestrando circa 250 server fisici e migliaia di server virtuali all’interno di data center posizionati tra L’Aia e Zoetermeer. L’infrastruttura, riconducibile al provider noto come CrazyRDP, operava con politiche deliberate di anonimato: nessun controllo KYC, nessun log, pagamenti tramite criptovalute e rifiuto sistematico delle segnalazioni di abuso. Le analisi forensi collegano questi server a oltre 80 indagini nazionali e internazionali, comprendenti attività ransomware, botnet, phishing e distribuzione di contenuti su minori. Il sequestro avviene il 12 novembre 2025, con il contributo delle autorità europee nell’ambito di Operation Endgame, che ha già disarticolato botnet come Rhadamanthys, VenomRAT ed Elysium, portando alla confisca di ulteriori 83 server e 20 domini criminali. CrazyRDP, ampiamente raccomandato in forum underground per l’alto livello di anonimato garantito, richiedeva per la registrazione unicamente username e password, rendendolo un facilitatore ideale per operatori ransomware, spammer, phisher e gruppi impegnati nel riciclaggio di criptovalute. Dopo il sequestro, il sito del servizio è stato messo offline, il canale Telegram ha cancellato i post e il supporto ha riferito vaghi problemi tecnici. Diversi utenti hanno denunciato la perdita improvvisa di oltre 30 server attivi, sospettando un exit scam. La rimozione di questa infrastruttura rappresenta una delle azioni più incisive del 2025 contro infrastrutture criminali resilienti, con un impatto diretto su molteplici operazioni botnet e ransomware in corso.
Breach in Pennsylvania: l’attacco INC Ransom e la falla Citrix Bleed 2
Il procuratore generale della Pennsylvania conferma un attacco ransomware avvenuto il 9 agosto 2025, che ha compromesso sistemi interni, email, sito web istituzionale e linee telefoniche. Il gruppo INC Ransom, attivo dal 2023 con modello RaaS, rivendica l’attacco il 20 settembre indicando il furto di 5,7 TB di file, inclusi dati personali e medici, oltre ad affermare l’accesso alla rete interna FBI, circostanza mai confermata dalle autorità. L’analista Kevin Beaumont collega l’intrusione alla vulnerabilità CVE-2025-5777 su apparecchi Citrix NetScaler, una nuova variante soprannominata Citrix Bleed 2. Due dispositivi risultano offline da fine luglio e inizio agosto, poco prima dell’attacco, indicando probabili tentativi di scansione o accesso da parte degli attaccanti. L’episodio ha portato alla cifratura di sistemi e a un’interruzione significativa delle attività istituzionali, segnando il terzo grande attacco ransomware a strutture statali della Pennsylvania dopo DoppelPaymer nel 2020 e il breach del Senato Democratico del 2017. La decisione del procuratore generale Dave Sunday di rifiutare il pagamento del riscatto si inserisce nel trend crescente di resistenza ai gruppi ransomware, mentre l’obbligo di notifica pubblica permette di contestualizzare l’accaduto nel panorama nazionale USA, dove istruzione, sanità e governo restano i settori più colpiti dagli operatori INC Ransom.
Cyberattacco a Eurofiber: compromessa l’unità francese
Il provider telecom Eurofiber conferma un cyberattacco il 13 novembre 2025 ai danni della sua divisione francese, collegato a una vulnerabilità nella piattaforma ticketing interna. Gli attaccanti riescono a sottrarre dati aziendali non finanziari e a interrompere sistemi utilizzati da brand come Eurafibre, FullSave, Netiwan e Avelia. Pur non impattando clienti finali né includendo informazioni bancarie, l’attacco limita operatività e accesso ai sistemi wholesale e sales, generando ritardi nei servizi partner. La società reagisce con una patch applicata in poche ore, la messa in sicurezza del portale ATE e l’attivazione di misure straordinarie, oltre alla comunicazione immediata a CNIL e ANSSI, rispettivamente autorità francese privacy e agenzia nazionale cybersecurity. Il caso si inserisce nel quadro crescente di attacchi contro telco B2B europee nel 2025, con episodi precedenti contro Colt e ICUK che hanno evidenziato un pattern di intrusione mirato a infrastrutture critiche e piattaforme di gestione interna.
Contestazione sulla timeline del breach Coinbase e rischio insider
Uno dei casi più delicati riguarda la contestata gestione del breach Coinbase, secondo il ricercatore di sicurezza Jonathan Clark, vittima di un attacco mirato il 7 gennaio 2025. I truffatori, in possesso di dati personali accurati, lo contattano fingendosi analisti Coinbase e tentano di convincerlo a spostare fondi in un cold wallet sotto controllo criminale. Clark denuncia che gli aggressori avevano ottenuto i dati rubando informazioni di 69.461 clienti in seguito alla corruzione di membri del supporto interno, avvenuta il 26 dicembre 2024, ma che la piattaforma avrebbe riconosciuto pubblicamente il breach solo l’11 maggio 2025. Il furto include nomi, email, numeri di telefono, numeri di documento, date di nascita, Social Security, storici transazioni, saldi e dettagli trasferimenti. Il gruppo criminale avrebbe poi tentato un’estorsione da 18,34 milioni di euro. Il ritardo comunicativo solleva dubbi su trasparenza, governance interna e capacità della piattaforma di mitigare rischi insider. Allo stesso tempo, l’incidente mostra come l’accuratezza dei dati sottratti possa rendere altamente credibili attacchi di social engineering, complicando le difese per utenti e istituzioni.
Sequestro di criptovalute dal mega-hack Twitter del 2020
Il 14 novembre 2024, la magistratura britannica ottiene un ordine di recupero civile che porta al sequestro di 4,89 milioni di euro in criptovalute appartenenti a Joseph James O’Connor, noto online come PlugwalkJoe, protagonista del celebre hack Twitter del 2020. L’attacco, basato su tecniche di SIM swapping e accesso ai sistemi interni di Twitter, aveva permesso la compromissione degli account di Barack Obama, Bill Gates, Jeff Bezos e altre figure ad alta visibilità. Il gruppo aveva pubblicato messaggi fraudolenti per attirare donazioni Bitcoin, raccogliendo 91.700 euro in poche ore. O’Connor, estradato dalla Spagna e condannato a cinque anni negli Stati Uniti, vede sequestrati Bitcoin, Ethereum e stablecoin derivati da scam e intrusioni correlate. Il caso dimostra l’efficacia crescente degli ordini civili UK nel recupero di asset crypto e riafferma l’approccio della Crown Prosecution Service, che negli ultimi cinque anni ha recuperato quasi 569 milioni di euro in proventi criminali. Questa operazione evidenzia quanto anche crimini commessi all’estero possano essere perseguiti in modo coordinato grazie alla cooperazione internazionale.
