Ransomware Conti, portale Maine nel caos e breach Novo Nordisk: la sicurezza globale sotto tiro

Tre episodi emersi negli ultimi giorni fotografano altrettante dimensioni della sicurezza informatica contemporanea: il contrasto giudiziario alle grandi organizzazioni ransomware, la vulnerabilità dei sistemi pubblici destinati alla trasparenza sugli incidenti e la continua esposizione delle grandi aziende a violazioni che coinvolgono dati sensibili. Da una parte un ex affiliato del gruppo Conti ha ammesso il proprio coinvolgimento in una delle operazioni ransomware più distruttive degli ultimi anni. Dall’altra lo Stato del Maine è stato costretto a sospendere il proprio portale pubblico dedicato alle notifiche di violazione dei dati dopo la pubblicazione di segnalazioni fraudolente che coinvolgevano grandi piattaforme online. Parallelamente la multinazionale farmaceutica Novo Nordisk ha confermato una violazione informatica che ha interessato dati relativi a sperimentazioni cliniche e professionisti sanitari. Sebbene si tratti di vicende differenti, tutte evidenziano come il cybercrime continui a evolversi su più fronti. Le organizzazioni criminali mantengono una forte capacità operativa nonostante arresti e sequestri, le piattaforme pubbliche possono diventare bersaglio di campagne di disinformazione e persino aziende leader nei settori più regolamentati devono affrontare il rischio costante di accessi non autorizzati ai propri sistemi.

Lytvynenko ammette il ruolo nell’ecosistema ransomware Conti

La prima vicenda riguarda Oleksii Oleksiyovych Lytvynenko, cittadino ucraino di 44 anni che si è dichiarato colpevole davanti alla giustizia statunitense per il proprio coinvolgimento nell’organizzazione ransomware Conti. Arrestato in Irlanda nel luglio 2023 e successivamente estradato negli Stati Uniti, Lytvynenko ha ammesso di aver partecipato alla cospirazione criminale a partire dal settembre 2021, contribuendo allo sviluppo e alla distribuzione di componenti utilizzati negli attacchi informatici del gruppo. Secondo i documenti giudiziari, l’imputato era in possesso di dati rubati appartenenti a otto vittime negli Stati Uniti e quattro vittime internazionali. Il suo ruolo comprendeva attività di sviluppo software, in particolare la realizzazione di un loader, una categoria di malware utilizzata per distribuire ulteriori componenti malevoli all’interno dei sistemi compromessi. Questa ammissione rappresenta un importante risultato investigativo per le autorità americane, che negli ultimi anni hanno intensificato gli sforzi contro gli operatori collegati all’ecosistema Conti. Il caso conferma inoltre come molte delle figure coinvolte nelle grandi campagne ransomware non siano semplici utilizzatori degli strumenti criminali, ma contribuiscano attivamente allo sviluppo tecnico delle infrastrutture utilizzate negli attacchi.

Conti è stato uno dei gruppi ransomware più distruttivi al mondo

Per comprendere la rilevanza della dichiarazione di colpevolezza occorre ricordare il ruolo che Conti ha avuto nel panorama delle minacce globali. Il gruppo è emerso come evoluzione delle attività collegate al ransomware Ryuk e ha mantenuto stretti legami con l’ecosistema criminale associato a TrickBot, una delle infrastrutture malware più influenti dell’ultimo decennio. Tra il 2020 e il 2022 Conti è diventato sinonimo di attacchi ad alto impatto contro ospedali, scuole, enti governativi e grandi imprese. Secondo le autorità statunitensi, il gruppo ha colpito oltre 1.000 organizzazioni in tutto il mondo, ottenendo più di 150 milioni di dollari in riscatti. La strategia adottata prevedeva il furto preventivo dei dati seguito dalla cifratura dei sistemi, una combinazione che aumentava enormemente la pressione sulle vittime. La notorietà dell’organizzazione è cresciuta ulteriormente dopo la pubblicazione di migliaia di messaggi interni e documenti operativi che hanno permesso ai ricercatori di analizzarne struttura, gerarchie e modalità di funzionamento. Sebbene il marchio Conti abbia cessato formalmente le attività nel 2022, molti analisti ritengono che la sua eredità continui attraverso numerosi gruppi ransomware nati dalla dispersione dei suoi membri.

L’eredità di Conti continua attraverso nuovi gruppi criminali

La chiusura ufficiale di Conti non ha coinciso con la scomparsa delle competenze e delle infrastrutture sviluppate dal gruppo. Le analisi di threat intelligence indicano che numerosi ex affiliati si sono distribuiti tra altre organizzazioni ransomware, contribuendo alla nascita o al rafforzamento di gruppi come BlackCat, Black Basta, Hive, Quantum, BlackByte, Karakurt, ZEON e Silent Ransom Group. Questo fenomeno rappresenta una delle principali sfide per le forze dell’ordine. Anche quando un gruppo criminale viene smantellato o decide di interrompere le proprie attività, le persone coinvolte possono riutilizzare esperienza, contatti e strumenti per avviare nuove operazioni. Le autorità statunitensi e britanniche hanno cercato di contrastare questa dinamica attraverso sanzioni e incriminazioni mirate contro cittadini russi ritenuti collegati alle operazioni di TrickBot e Conti. La dichiarazione di colpevolezza di Lytvynenko si inserisce quindi in una strategia più ampia che punta a colpire non soltanto i marchi ransomware ma anche le persone che ne garantiscono la continuità operativa.

Il Maine blocca il portale pubblico dopo una campagna di falsi breach

La seconda vicenda riguarda il Maine Attorney General’s Office, costretto a sospendere temporaneamente l’accesso pubblico al proprio database dedicato alle notifiche di violazione dei dati. Il provvedimento arriva dopo la scoperta di segnalazioni fraudolente che attribuivano falsi incidenti di sicurezza a piattaforme molto conosciute. Le notifiche sostenevano che servizi come Discord e VRChat avessero subito violazioni di grandi dimensioni, con numeri che nel caso di VRChat superavano i 2,4 milioni di utenti coinvolti. L’episodio ha evidenziato una vulnerabilità non tecnica ma procedurale. Il sistema consentiva infatti la pubblicazione automatica delle notifiche ricevute, rendendo possibile l’inserimento di informazioni false da parte di soggetti esterni. Dopo le verifiche condotte dalle aziende coinvolte e dalle autorità, è emerso che le segnalazioni non corrispondevano ad alcun incidente reale. Il Maine ha quindi rimosso le notifiche dal database e avviato una revisione delle procedure di gestione. L’accaduto solleva interrogativi importanti sul funzionamento dei sistemi pubblici di disclosure, strumenti che negli ultimi anni sono diventati fondamentali per giornalisti, ricercatori e società di threat intelligence.

Le segnalazioni false mostrano il rischio della disinformazione cyber

L’aspetto più interessante dell’incidente non riguarda la compromissione di sistemi informatici, ma il potenziale utilizzo di piattaforme ufficiali come veicolo di disinformazione. I portali pubblici dedicati alle notifiche di data breach vengono considerati fonti autorevoli e vengono monitorati quotidianamente da analisti, aziende e media specializzati. Una falsa segnalazione pubblicata su questi sistemi può generare rapidamente conseguenze reputazionali significative per le organizzazioni coinvolte. Nel caso specifico, la scoperta delle notifiche fraudolente è avvenuta dopo verifiche giornalistiche e contatti diretti con le aziende citate. VRChat ha confermato che le dichiarazioni erano completamente false e non riconducibili ad alcun incidente reale. Non è ancora chiaro se altre notifiche fraudolente siano riuscite a superare i controlli prima della sospensione del portale. Proprio per questo motivo le autorità del Maine hanno scelto di interrompere temporaneamente l’accesso pubblico e di sottoporre le future richieste di consultazione a un processo manuale di verifica. Il caso evidenzia come la trasparenza debba essere accompagnata da adeguati meccanismi di validazione per evitare che strumenti pensati per informare il pubblico diventino involontariamente vettori di manipolazione.

Novo Nordisk conferma una violazione dei sistemi interni

Il terzo episodio coinvolge la multinazionale farmaceutica danese Novo Nordisk, una delle aziende più importanti al mondo nel settore dei trattamenti per diabete e obesità. L’azienda ha confermato che soggetti non autorizzati sono riusciti ad accedere ad alcuni sistemi IT interni e a copiare dati non pubblici. La comunicazione ufficiale specifica che l’incidente ha interessato sia informazioni relative a sperimentazioni cliniche sia dati riguardanti professionisti sanitari. A differenza di molti casi in cui le aziende forniscono dettagli limitati nelle fasi iniziali dell’indagine, Novo Nordisk ha chiarito quali categorie di informazioni risultano coinvolte. I dati relativi alle sperimentazioni comprendono identificativi paziente pseudonimizzati, informazioni sulla partecipazione agli studi clinici, sesso, anno di nascita, biomarcatori, parametri sanitari, dati di immunogenicità e alcuni elementi legati allo stile di vita come consumo di alcol, fumo e indice di massa corporea. L’azienda ha sottolineato che tali informazioni non contengono identificatori diretti come nome e cognome e non consentono, da sole, di identificare i partecipanti alle sperimentazioni.

Coinvolti anche professionisti sanitari e contatti professionali

L’incidente non riguarda esclusivamente dati di ricerca. Novo Nordisk ha infatti confermato che una parte delle informazioni sottratte appartiene a professionisti sanitari coinvolti nelle attività dell’azienda. Tra i dati esposti figurano nomi, indirizzi email, numeri telefonici, dettagli di contatto associati a WhatsApp, numeri di registrazione professionale e indirizzi degli studi medici. Sebbene non si tratti di informazioni finanziarie o credenziali di accesso, questi dati possono essere utilizzati in campagne di phishing, spear phishing e impersonificazione. Proprio per questo motivo l’azienda ha avvisato direttamente le persone coinvolte invitandole a prestare particolare attenzione a comunicazioni inattese ricevute tramite email, telefono o applicazioni di messaggistica. Gli attaccanti potrebbero infatti sfruttare la conoscenza di dettagli professionali per costruire messaggi altamente credibili e aumentare la probabilità di successo di eventuali campagne fraudolente successive alla violazione.

L’azienda avvia indagini e isola i sistemi compromessi

In risposta all’incidente, Novo Nordisk ha disconnesso i sistemi interessati e avviato un’indagine con il supporto di esperti esterni di cybersecurity. L’obiettivo è determinare con precisione il perimetro della compromissione, comprendere le modalità di accesso utilizzate dagli aggressori e valutare l’impatto complessivo dell’evento. L’azienda ha dichiarato che le attività operative principali non hanno subito interruzioni e che il ripristino dei sistemi avverrà gradualmente seguendo procedure controllate. Al momento non sono stati resi noti il numero esatto di persone coinvolte né la data in cui l’intrusione è stata rilevata. Questa scelta è comune nelle prime fasi delle indagini forensi, quando le organizzazioni preferiscono evitare la diffusione di dati potenzialmente incompleti o soggetti a revisione. Tuttavia, il fatto che la comunicazione sia arrivata relativamente rapidamente rispetto alla scoperta della violazione indica un approccio orientato alla trasparenza e alla gestione preventiva dei rischi reputazionali.

Tre episodi che mostrano l’evoluzione delle minacce digitali

Le tre vicende raccontano aspetti differenti ma complementari del panorama della sicurezza informatica nel 2026. La dichiarazione di colpevolezza dell’ex affiliato Conti dimostra che le operazioni internazionali contro il ransomware continuano a produrre risultati anche anni dopo la dissoluzione formale dei gruppi criminali. Il caso del Maine evidenzia invece una minaccia meno discussa ma sempre più rilevante: l’abuso delle piattaforme pubbliche e dei meccanismi di disclosure per diffondere informazioni false e generare danni reputazionali. Infine, la violazione subita da Novo Nordisk ricorda che persino organizzazioni altamente regolamentate e dotate di importanti risorse continuano a rappresentare obiettivi di grande valore per gli attaccanti. Insieme, questi episodi mostrano come la sicurezza informatica moderna non riguardi soltanto malware, ransomware o intrusioni tecniche. Coinvolge anche la fiducia nelle informazioni pubbliche, la protezione della ricerca scientifica, la gestione della reputazione aziendale e la capacità delle organizzazioni di comunicare rapidamente con utenti, clienti e stakeholder quando si verifica un incidente.