Il panorama delle minacce informatiche continua a evolversi attraverso una combinazione di frodi digitali, campagne ransomware sempre più sofisticate e violazioni di dati che coinvolgono organizzazioni di primo piano. I nuovi dati pubblicati negli Stati Uniti mostrano che le truffe di impersonificazione hanno raggiunto livelli record nel 2025, mentre gli investigatori federali segnalano una trasformazione delle frodi in criptovalute che ora prevedono il ritiro fisico di denaro contante direttamente dalle vittime. Sul fronte tecnico, il gruppo ransomware DragonForce ha sviluppato tecniche per sfruttare l’infrastruttura di Microsoft Teams come canale nascosto di comando e controllo. Parallelamente, le conferme di violazioni da parte di Kodak e iRhythm dimostrano come il rischio di sottrazione di dati sensibili continui a interessare sia il settore privato sia quello sanitario.
Cosa leggere
Le truffe di impersonificazione raggiungono quota 3,5 miliardi di dollari
La Federal Trade Commission ha registrato nel 2025 perdite pari a 3,5 miliardi di dollari riconducibili esclusivamente alle truffe di impersonificazione, il valore più elevato mai osservato per questa categoria di frodi. Le campagne che simulano comunicazioni provenienti da istituti bancari hanno generato quasi un miliardo di dollari di danni economici, mentre le frodi che impersonano enti governativi hanno provocato perdite stimate in circa 920 milioni di dollari. Secondo l’agenzia statunitense, le truffe di impersonificazione rappresentano ormai quasi un terzo delle segnalazioni complessive ricevute dai consumatori. Gli attaccanti sfruttano la fiducia nelle istituzioni e nei marchi più noti per convincere le vittime a trasferire fondi, condividere credenziali o autorizzare operazioni finanziarie apparentemente legittime.
Social media e piattaforme digitali amplificano le frodi
Le perdite complessive legate alle frodi hanno raggiunto i 16 miliardi di dollari nel corso del 2025, registrando un incremento del 25% rispetto all’anno precedente. Le piattaforme social rappresentano il vettore più redditizio per gli attaccanti e sono responsabili di oltre 2,1 miliardi di dollari di danni economici. Secondo i dati raccolti, le frodi diffuse attraverso i social media superano ampiamente quelle veicolate tramite email o messaggi di testo. Gli attaccanti sfruttano profili falsi, campagne pubblicitarie fraudolente e tecniche di ingegneria sociale per instaurare rapporti di fiducia con le vittime. Le autorità sottolineano che molte operazioni iniziano con falsi avvisi di sicurezza bancaria o con richieste urgenti che spingono gli utenti a trasferire rapidamente denaro verso conti controllati dai criminali.
L’FBI avverte sulle truffe crypto con corrieri incaricati di ritirare contanti
L’Federal Bureau of Investigation ha evidenziato una nuova evoluzione delle truffe di investimento in criptovalute. Le organizzazioni criminali stanno sempre più spesso utilizzando corrieri incaricati di ritirare fisicamente denaro contante presso le abitazioni delle vittime o in luoghi concordati. Queste campagne, note come pig butchering o romance baiting, iniziano generalmente attraverso social network, applicazioni di messaggistica o piattaforme di incontri online. Dopo aver costruito un rapporto di fiducia, i truffatori convincono le vittime a investire in piattaforme apparentemente redditizie che in realtà sono completamente controllate dagli stessi criminali. Quando le vittime tentano di recuperare i fondi investiti, vengono convinte a consegnare ulteriori somme di denaro attraverso procedure sempre più elaborate.
Come funzionano i prelievi tramite corrieri nelle frodi crypto
Il meccanismo osservato dagli investigatori prevede l’invio di un corriere incaricato di ritirare denaro contante direttamente dalla vittima. Per rendere credibile l’operazione, gli organizzatori forniscono una password condivisa o utilizzano il numero seriale di una banconota come sistema di autenticazione.
Una volta consegnato il denaro, la piattaforma fraudolenta mostra falsi incrementi del saldo disponibile, inducendo la vittima a credere che l’investimento stia producendo profitti. Successivamente vengono richiesti ulteriori versamenti con il pretesto di tasse, commissioni o penali inesistenti. L’FBI stima che i crimini informatici abbiano causato perdite per quasi 21 miliardi di dollari negli Stati Uniti nel 2025, con le frodi di investimento responsabili di oltre 8,6 miliardi di dollari, pari a circa il 49% del totale delle perdite economiche denunciate.
DragonForce utilizza Microsoft Teams come infrastruttura di comando e controllo
Sul fronte delle minacce avanzate, il gruppo ransomware DragonForce ha adottato una tecnica particolarmente sofisticata che sfrutta i relay TURN di Microsoft Teams per nascondere il traffico di command and control (C2). Il malware identificato come Backdoor.Turn, sviluppato in linguaggio Go, ottiene un token anonimo associato a un visitatore Teams e utilizza l’infrastruttura Microsoft per trasportare comunicazioni malevole. Questa strategia consente agli attaccanti di mimetizzare il traffico all’interno di flussi legittimi normalmente autorizzati dalle reti aziendali. L’utilizzo di un servizio ampiamente diffuso riduce significativamente la probabilità che il traffico venga bloccato da firewall, proxy o strumenti di monitoraggio comportamentale.
Backdoor.Turn introduce nuove capacità di evasione
Il malware impiegato da DragonForce supporta una vasta gamma di funzionalità offensive tra cui esecuzione remota di comandi, scansione di rete, gestione dei processi, raccolta di certificati TLS e furto di credenziali dai browser. Gli operatori distribuiscono la minaccia tramite DLL sideloading, utilizzando eseguibili legittimi come VirtualBox o DbgView per caricare componenti malevoli senza attirare sospetti.
Una volta installato, il backdoor mantiene la persistenza anche dopo l’esecuzione del ransomware e permette agli attaccanti di conservare l’accesso all’infrastruttura compromessa. L’attacco documentato contro una grande azienda di servizi statunitense nel dicembre 2025 ha dimostrato come DragonForce combini sfruttamento di vulnerabilità, installazione di driver BYOVD e cifratura dei dati all’interno di un’unica catena operativa.
Kodak conferma un accesso non autorizzato ai dati aziendali
Eastman Kodak Company ha confermato che un soggetto non autorizzato ha ottenuto accesso temporaneo a una porzione limitata dei propri dati aziendali. La comunicazione arriva dopo che il gruppo di estorsione ShinyHunters aveva dichiarato di possedere oltre 2,2 milioni di record contenenti informazioni personali dei clienti e dati aziendali interni. Secondo quanto dichiarato dall’azienda, è stata immediatamente avviata un’indagine con il supporto di specialisti esterni di cybersecurity e in collaborazione con le autorità competenti. Kodak ha precisato che non risultano impatti attuali sui sistemi produttivi o sulle operazioni aziendali, ma l’incidente conferma come anche organizzazioni storiche e consolidate possano diventare bersaglio di campagne di estorsione basate sul furto di dati.
ShinyHunters aumenta la pressione attraverso la minaccia di pubblicazione
La strategia adottata da ShinyHunters segue il modello ormai consolidato della double extortion, nel quale gli attaccanti non si limitano a sottrarre informazioni ma minacciano la pubblicazione pubblica dei dati per aumentare la pressione sulla vittima. In casi di questo tipo, anche quando i sistemi operativi e produttivi continuano a funzionare regolarmente, il rischio reputazionale e normativo può essere significativo. Le organizzazioni devono affrontare contemporaneamente aspetti tecnici, legali e di comunicazione, oltre a valutare eventuali obblighi di notifica verso clienti e autorità di regolamentazione. L’episodio Kodak dimostra come la sottrazione di dati rimanga una delle leve più efficaci utilizzate dai gruppi criminali moderni.
iRhythm subisce il furto di dati sanitari dei pazienti
Anche iRhythm Technologies ha confermato una violazione che ha portato alla sottrazione di informazioni sanitarie protette e altri dati personali dei pazienti. L’accesso sarebbe avvenuto attraverso tecniche di social engineering che hanno interessato applicazioni aziendali gestite da fornitori terzi. Secondo quanto comunicato dall’azienda, il 9 giugno 2026 gli attaccanti hanno contattato la società avanzando richieste di riscatto dopo aver ottenuto i dati. Il giorno successivo iRhythm ha confermato l’incidente e attivato il proprio piano di risposta agli eventi di cybersecurity. La società ha precisato che non risultano compromessi i sistemi clinici, i dispositivi medici o le attività di produzione e distribuzione.
Le applicazioni di terze parti restano uno dei punti più deboli
Il caso iRhythm evidenzia ancora una volta come le piattaforme e le applicazioni gestite da fornitori esterni rappresentino uno dei principali punti di ingresso per gli attaccanti. Pur non conservando informazioni finanziarie dei pazienti, l’azienda gestisce una grande quantità di dati sanitari sensibili che possono avere valore elevato nei mercati criminali. Le tecniche di social engineering continuano a dimostrarsi particolarmente efficaci perché sfruttano il fattore umano piuttosto che vulnerabilità software tradizionali. Per le organizzazioni sanitarie diventa quindi essenziale combinare programmi di formazione del personale, controlli sugli accessi privilegiati e monitoraggio continuo delle piattaforme fornite da terze parti.
Frodi digitali, ransomware e data breach convergono in un’unica minaccia
Le perdite record registrate dalla FTC, l’evoluzione delle frodi crypto, le tecniche di occultamento adottate da DragonForce e le violazioni confermate da Kodak e iRhythm mostrano un ecosistema criminale sempre più diversificato e professionale. Le organizzazioni non devono più affrontare minacce isolate ma un insieme di tecniche che combinano ingegneria sociale, abuso di infrastrutture legittime, furto di dati e attività estorsive. La difesa efficace richiede formazione continua degli utenti, monitoraggio avanzato delle reti, verifica dei fornitori esterni e capacità di risposta rapida agli incidenti. In uno scenario dove le frodi generano miliardi di dollari di perdite e i gruppi criminali sfruttano strumenti sempre più sofisticati, la resilienza operativa diventa un elemento fondamentale tanto quanto la protezione tecnologica.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
