FBI avverte su Silent Ransom, tra furti fisici di dati e breach Salesforce

L’FBI lancia un nuovo allarme su Silent Ransom Group, mentre in Europa e negli Stati Uniti emergono altri incidenti che confermano l’evoluzione delle minacce cyber verso tattiche ibride, estorsioni basate su dati e compromissioni di piattaforme cloud. Il gruppo noto anche come Luna Moth o Chatty Spider passa dagli attacchi di phishing callback e social engineering remoto a un modello più aggressivo, nel quale operatori fisici tentano di accedere direttamente ai sistemi delle vittime collegando USB, hard disk esterni o altri dispositivi di archiviazione ai computer aziendali. Nello stesso scenario, la polizia olandese arresta un sospetto per l’intrusione nei sistemi del club Ajax, mentre Charter Communications e 7-Eleven confermano violazioni dati attribuite a ShinyHunters, gruppo ormai centrale nelle campagne di estorsione contro ambienti Salesforce e account aziendali compromessi tramite vishing. Il quadro indica una trasformazione profonda: gli attaccanti non si limitano più a sfruttare malware, credenziali rubate o vulnerabilità remote, ma combinano presenza fisica, impersonificazione IT, accesso SaaS, furto di dati e pressione reputazionale.

Silent Ransom Group passa dagli attacchi callback ai furti fisici di dati

Silent Ransom Group rappresenta uno dei casi più significativi di evoluzione tattica nel panorama dell’estorsione cyber. Attivo almeno dal 2022, il gruppo si è distinto inizialmente per campagne di phishing callback, nelle quali le vittime ricevevano email o chiamate che impersonavano il reparto IT, il supporto tecnico o servizi aziendali legittimi, venendo spinte a richiamare numeri controllati dagli attaccanti e a concedere accesso remoto tramite strumenti leciti. Questa metodologia era già pericolosa perché sfruttava software di amministrazione remota e riduceva l’uso di malware immediatamente rilevabili. La novità documentata dall’FBI dalla primavera 2026 è però più inquietante: quando l’approccio remoto fallisce, Silent Ransom può inviare un operatore fisico presso la sede della vittima, presentandosi come tecnico IT e tentando di collegare direttamente chiavette USB, hard disk esterni o dispositivi di storage ai computer aziendali. L’obiettivo è copiare rapidamente dati sensibili da studi legali, istituzioni finanziarie, aziende manifatturiere, organizzazioni sanitarie e strutture governative. Questo passaggio trasforma l’attacco in una minaccia ibrida, dove cybercrime, social engineering e accesso fisico si sovrappongono. Gli indicatori di compromissione diventano quindi più ampi: non bastano log di rete o alert EDR, ma servono controlli su visitatori, dispositivi esterni, porte USB, richieste di assistenza non pianificate e comportamenti anomali di persone presenti negli uffici. Dopo l’esfiltrazione, il gruppo invia email di riscatto minacciando la pubblicazione o la vendita dei dati rubati e può contattare dipendenti, clienti o partner delle vittime per aumentare la pressione.

L’FBI avverte sul rischio di impersonificazione IT e dispositivi USB

L’avviso dell’FBI indica che la superficie di attacco delle aziende non è più soltanto digitale. Silent Ransom Group sfrutta la fiducia interna, l’urgenza operativa e la familiarità con il supporto IT per ottenere accesso ai sistemi. Un presunto tecnico che chiede di collegare un dispositivo, risolvere un problema o verificare una postazione può aggirare controlli software molto sofisticati se l’organizzazione non dispone di procedure fisiche rigorose. Il gruppo usa questa tattica per ridurre la dipendenza da strumenti remoti più visibili, bypassare filtri email, eludere alcune protezioni endpoint e portare l’esfiltrazione direttamente sulla macchina. Le aziende devono quindi verificare l’identità di chiunque richieda accesso a postazioni, sale operative o dispositivi aziendali, applicare policy restrittive sulle porte USB, bloccare l’uso di storage esterno non autorizzato e registrare ogni intervento tecnico con ticket tracciabili. Gli ambienti più esposti sono quelli in cui personale, consulenti e fornitori circolano con frequenza, soprattutto se la cultura organizzativa privilegia la rapidità di assistenza rispetto alla verifica formale dell’identità. L’FBI raccomanda anche audit regolari degli ambienti fisici, controllo dei log relativi al collegamento di device esterni e formazione specifica contro impersonificazioni del reparto IT. Il punto centrale è che un attacco di questo tipo può non generare subito un’anomalia di rete evidente: il dato viene copiato localmente e monetizzato dopo, attraverso estorsione pura. Per questo Silent Ransom mostra una direzione preoccupante del cybercrime: meno cifratura ransomware, più furto mirato di dati e pressione reputazionale.

L’arresto olandese per l’hack ad Ajax mostra i rischi nel settore sportivo

La polizia nazionale olandese arresta un uomo di 35 anni residente a Buren per intrusioni informatiche ripetute nei sistemi del club Ajax Amsterdam, in un caso che evidenzia la crescente esposizione delle organizzazioni sportive. L’arresto avviene il 26 maggio 2026 dopo un’indagine avviata in seguito alla segnalazione del club. Il sospetto avrebbe ottenuto accesso illegale ai sistemi di Ajax all’inizio del 2026, sfruttando vulnerabilità che permettevano di visualizzare e manipolare dati legati a tifosi, account, abbonamenti e divieti stadio. Le azioni documentate includono la modifica di divieti per meno di 20 individui e il trasferimento di biglietti acquistati ad altre persone, ma il perimetro potenziale appare molto più ampio. L’attaccante avrebbe potuto manipolare 538 divieti stadio, visualizzare dettagli su oltre 300.000 account e gestire 42.000 abbonamenti stagionali VIP in pochi secondi, sfruttando API, chiavi condivise e accessi impropriamente esposti. Ajax ha scoperto l’incidente, ha corretto le vulnerabilità, ha informato l’autorità olandese per la protezione dei dati e ha presentato denuncia. Il caso mostra che i club sportivi non sono più bersagli secondari: gestiscono grandi volumi di dati personali, pagamenti, biglietteria digitale, abbonamenti premium, accessi agli stadi e informazioni ad alto valore per frodi, rivendite illecite o estorsioni. L’accusa di computervredebreuk, cioè violazione informatica intenzionale, segnala la gravità con cui le autorità olandesi trattano intrusioni anche quando non riguardano infrastrutture governative tradizionali.

Charter conferma un breach dopo estorsione di ShinyHunters

Charter Communications, uno dei principali provider di telecomunicazioni negli Stati Uniti e proprietario del brand Spectrum, conferma una violazione dati dopo una minaccia di estorsione attribuita a ShinyHunters. Il gruppo sostiene di aver rubato 40 milioni di record relativi a clienti consumer e business, affermando di aver condotto l’attacco il 1° aprile 2026 tramite una chiamata di vishing che avrebbe compromesso l’account Microsoft Entra di un dipendente. L’account sarebbe poi stato usato per esportare dati da un ambiente Salesforce, in linea con il modello operativo recente di ShinyHunters contro grandi aziende che utilizzano piattaforme SaaS.

I dati rivendicati includono nomi, email, indirizzi fisici, numeri di telefono, informazioni sui piani tariffari, alcuni dati CPNI e ticket di supporto clienti. Charter dichiara di aver seguito i protocolli di sicurezza, informato le autorità competenti e avviato le misure previste, pur respingendo l’idea che siano stati esfiltrati dati personali sensibili o informazioni proprietarie di rete dei clienti. La vicenda conferma quanto siano diventati centrali gli account federati, gli ambienti SSO, gli identity provider e le piattaforme CRM nel ciclo di attacco moderno. Non serve violare direttamente un data center se un attaccante riesce a convincere un dipendente a concedere accesso a un account cloud con permessi sufficienti. Il vishing diventa così una tecnica ad alto impatto, perché colpisce il punto di contatto tra identità digitale, fiducia umana e autorizzazioni SaaS.

7-Eleven notifica 185.300 clienti dopo furto dati su Salesforce

Anche 7-Eleven finisce nel perimetro delle campagne attribuite a ShinyHunters, notificando una violazione che coinvolge dati personali di 185.300 persone. Gli attaccanti avrebbero ottenuto accesso a sistemi usati per archiviare documenti dei franchisee tramite un vendor terzo, colpendo un ambiente Salesforce contenente oltre 600.000 record. Le informazioni esposte comprendono nomi, date di nascita, indirizzi email unici, numeri di telefono e indirizzi fisici, con alcuni record contenenti campi aggiuntivi. L’azienda scopre l’accesso non autorizzato l’8 aprile 2026, mentre ShinyHunters rivendica la responsabilità il 17 aprile 2026.

Dopo il rifiuto del pagamento del riscatto, il gruppo pubblica un archivio da 9,4 GB sul proprio sito dark web. 7-Eleven invia le lettere di notifica il 1° maggio 2026 e precisa che l’incidente resta limitato a determinati sistemi documentali dei franchisee. Have I Been Pwned conferma poi l’esposizione di 185.300 email uniche insieme a nomi, indirizzi fisici, date di nascita e numeri di telefono. Il caso evidenzia due problemi ormai ricorrenti: la vulnerabilità della catena dei fornitori e la centralità di Salesforce come deposito di dati aziendali ad alto valore. Anche quando il breach non include password o numeri di carte, un dataset con informazioni personali complete può alimentare phishing, impersonificazione, frodi documentali e campagne di social engineering successive.

ShinyHunters sfrutta identità cloud, vishing e ambienti Salesforce

Le violazioni di Charter e 7-Eleven mostrano la continuità operativa di ShinyHunters nel colpire ambienti Salesforce e account aziendali compromessi. Il gruppo non si limita a rubare dati, ma usa il furto come leva di estorsione pubblica, minacciando la diffusione degli archivi su siti di leak se le vittime non pagano. La tecnica più efficace resta la compromissione dell’identità: chiamate di vishing, abuso di account Microsoft Entra, accesso a piattaforme SaaS e esportazione massiva di dati. Questo modello riduce la necessità di malware complesso e sfrutta il fatto che molte aziende hanno spostato enormi volumi di informazioni sensibili su piattaforme cloud integrate con SSO e ruoli privilegiati. L’attacco diventa quindi una questione di governance dell’identità, non solo di protezione perimetrale. Le aziende devono rafforzare MFA resistente al phishing, monitorare login anomali, limitare privilegi di esportazione, introdurre controlli di sessione, rilevare download massivi e verificare continuamente i permessi concessi a dipendenti, fornitori e applicazioni collegate. I casi confermano anche che il rifiuto del pagamento non impedisce la pubblicazione dei dati, ma può ridurre l’incentivo economico diretto per il gruppo. La resilienza passa dalla prevenzione e dalla limitazione dell’impatto, perché una volta che i record sono stati esportati, il controllo sulla loro circolazione criminale diventa estremamente limitato.

Le minacce cyber diventano ibride e richiedono controlli fisici e digitali

Il filo comune tra Silent Ransom Group, l’hack ad Ajax, il breach Charter e la violazione 7-Eleven è l’ibridazione delle tattiche. Gli attaccanti combinano telefonate, email, impersonificazione, accesso fisico, account cloud, API, piattaforme CRM, vendor terzi e pressione estorsiva. Le difese tradizionali, separate tra sicurezza fisica e cybersecurity, non bastano più. Un operatore che si presenta come tecnico IT può essere pericoloso quanto un account Microsoft Entra compromesso; una chiavetta USB collegata a una workstation può avere lo stesso impatto di un’esportazione Salesforce non autorizzata; una vulnerabilità in un sistema di biglietteria sportiva può esporre centinaia di migliaia di tifosi tanto quanto un breach aziendale classico. Le organizzazioni devono quindi unificare procedure di verifica identità, gestione visitatori, blocco dispositivi esterni, hardening degli account privilegiati, monitoraggio SaaS, log fisici e digitali, controllo delle API e formazione contro vishing e social engineering. L’arresto olandese dimostra che la cooperazione con le forze dell’ordine può produrre risultati concreti, mentre gli allarmi dell’FBI mostrano che la prevenzione deve anticipare tecniche già osservate sul campo. La nuova resilienza cyber non si gioca più solo nel SOC, ma anche alla reception, nelle policy USB, nei ticket IT, nei contratti con i vendor e nella capacità di riconoscere comportamenti anomali prima che diventino esfiltrazione.

La risposta deve integrare law enforcement, aziende e utenti finali

La sequenza di incidenti conferma che nessun attore può gestire da solo la nuova superficie del rischio. Le forze dell’ordine devono coordinare indagini internazionali contro gruppi come Silent Ransom e ShinyHunters, le aziende devono ridurre privilegi e accessi superflui, i vendor devono rafforzare controlli sulle integrazioni cloud e gli utenti finali devono essere avvisati rapidamente quando i loro dati entrano in circolazione. Nel caso Ajax, la denuncia del club e l’intervento della polizia olandese portano a un arresto. Nel caso Charter e 7-Eleven, le notifiche servono a informare clienti e persone coinvolte del rischio di phishing, furto di identità o impersonificazione. Nel caso Silent Ransom, l’allerta FBI punta a prevenire compromissioni prima che l’attacco fisico riesca. Il quadro complessivo indica una fase in cui l’estorsione basata sui dati diventa più creativa, più aggressiva e più vicina al mondo reale. Le organizzazioni che separano ancora sicurezza informatica, sicurezza fisica e governance delle identità restano esposte. Chi invece integra monitoraggio tecnico, controlli sul personale, gestione dei fornitori e cooperazione con le autorità riduce la probabilità che una telefonata, una visita non verificata o un account SaaS compromesso diventino il punto d’ingresso di un breach su larga scala.