Sommario
L’attacco ransomware che ha colpito il gruppo britannico Co-op si configura come uno degli eventi cyber più gravi degli ultimi mesi nel panorama europeo. Il collettivo DragonForce, affiliato al modello ransomware-as-a-service e associato a tattiche note del gruppo Scattered Spider, ha confermato la sottrazione di dati sensibili appartenenti a milioni di clienti del programma fedeltà della catena. L’incursione, avvenuta il 22 aprile 2025, ha preso forma attraverso tecniche di social engineering e reset di credenziali, culminando con l’accesso alla directory principale dei controller Windows e alla sottrazione del file NTDS.dit, cuore dell’infrastruttura Active Directory.
Oltre a Co-op, le medesime tattiche sono state segnalate in precedenza in attacchi a Marks and Spencer e Harrods, configurando un pattern di compromissione che coinvolge l’intero settore retail britannico, già colpito nel 2023 da azioni simili contro MGM e Reddit. Questo articolo ricostruisce le fasi, gli strumenti e le implicazioni dell’attacco, analizzando l’evoluzione di DragonForce come operatore ransomware e la resilienza (o vulnerabilità) delle aziende di fronte a questa minaccia emergente.
Arresti internazionali: colpiti i vertici di Black Kingdom e Nefilim
Le autorità statunitensi hanno compiuto passi decisivi contro i responsabili di due campagne ransomware di alto profilo:
Black Kingdom: Rami Khaled Ahmed, cittadino yemenita di 36 anni, è stato incriminato per aver orchestrato circa 1.500 attacchi a server Microsoft Exchange, sfruttando vulnerabilità note come ProxyLogon. Le vittime includevano aziende sanitarie, istituti scolastici e resort negli Stati Uniti. Ahmed avrebbe richiesto riscatti di $10.000 in Bitcoin per ciascun attacco.
Nefilim: Artem Aleksandrovych Stryzhak, cittadino ucraino di 35 anni, è stato estradato negli Stati Uniti dalla Spagna. Accusato di aver partecipato a campagne ransomware mirate a grandi aziende in vari paesi, Stryzhak avrebbe ricevuto il 20% dei riscatti pagati dalle vittime.
Attacchi a infrastrutture critiche: colpiti Hitachi Vantara, Frederick Health e DaVita
Le infrastrutture critiche continuano a essere bersagli preferiti dai cybercriminali:
Hitachi Vantara: Il 26 aprile 2025, la società ha subito un attacco ransomware da parte del gruppo Akira, che ha portato alla disattivazione di alcuni server per contenere l’incidente. Hitachi ha ingaggiato esperti esterni per gestire la risposta all’attacco.
Frederick Health: Un attacco ransomware a gennaio 2025 ha compromesso i dati di circa 934.000 pazienti. Le informazioni sottratte includevano dati personali e sanitari sensibili. L’organizzazione ha offerto servizi di monitoraggio del credito e protezione dall’identità ai pazienti colpiti.
DaVita: Il gruppo Interlock ha rivendicato un attacco ransomware contro DaVita, un fornitore di servizi di dialisi renale. Secondo quanto riportato, sarebbero stati sottratti circa 1,5 terabyte di dati, inclusi record pazienti e informazioni finanziarie.
DragonForce: evoluzione verso un modello di branding white-label
Il gruppo DragonForce ha annunciato un cambiamento strategico nel proprio modello operativo, adottando un approccio di “white-label branding”. Questo consente ad altri attori di utilizzare l’infrastruttura e gli strumenti di DragonForce sotto il proprio marchio, facilitando la diffusione del ransomware senza la necessità di gestire direttamente le operazioni.
Il breach di Co-op: accesso abusivo, sottrazione dati e dominio compromesso
La conferma ufficiale di Co-op è arrivata dopo giorni di analisi forense. La compagnia ha rivelato che gli attori malevoli hanno avuto accesso a uno dei suoi sistemi critici, estraendo informazioni personali relative a un numero significativo di membri attuali e passati. I dati sottratti includono nomi e dettagli di contatto, ma non informazioni bancarie o credenziali d’accesso.
L’attacco è stato inizialmente sminuito, classificato come tentativo di intrusione. Tuttavia, le successive analisi hanno rivelato che gli aggressori sono riusciti a sottrarre il file NTDS.dit, contenente gli hash delle password di tutti gli account Windows registrati nel dominio, compromettendo potenzialmente tutti i sistemi interni integrati nei servizi Microsoft Entra ID.
Microsoft DART (Detection and Response Team) è stata ingaggiata per supportare la ricostruzione dei domain controller, mentre KPMG si è occupata della messa in sicurezza dell’infrastruttura AWS. Internamente, Co-op ha diramato una circolare in cui raccomanda ai dipendenti la massima cautela nell’uso di Microsoft Teams, a seguito di tentativi di contatto da parte degli stessi attori malevoli.
Il modus operandi di DragonForce: ransomware come servizio, estorsione e strategia mediatica
DragonForce è un ransomware-as-a-service (RaaS) operativo dalla fine del 2024. Permette a soggetti affiliati di utilizzare i propri strumenti di cifratura, estorsione e gestione negoziale attraverso una fee percentuale sul riscatto, che varia tra il 20% e il 30%. Gli affiliati possono così accedere a builder dedicati, siti di leak nel dark web e supporto operativo per veicolare il malware.
Nel caso di Co-op, l’attacco ha previsto una fase iniziale di ricognizione, seguita dal furto credenziali e poi dall’impiego di malware mirati per estrazione dati e cifratura. Sebbene non sia stata pubblicamente confermata una fase di cifratura di massa, l’impatto sui sistemi critici è stato tale da forzare il reset e la bonifica di tutta l’infrastruttura Windows.
In un’intervista concessa alla BBC, un rappresentante di DragonForce ha confermato la paternità dell’attacco, condividendo screenshot dei dati sottratti e dei messaggi inviati su Microsoft Teams a dirigenti Co-op, con cui chiedevano un riscatto milionario in criptovaluta.
Social engineering e reset account: lo schema Scattered Spider
La dinamica che ha permesso l’accesso alla rete Co-op segue le stesse tattiche già associate a Scattered Spider, anche noto come Octo Tempest. Si tratta di un collettivo fluido di cyber criminali anglofoni, non una gang strutturata, ma un insieme di attori che condividono strumenti e tecniche in canali Telegram e Discord. Molti membri originali sono stati arrestati negli Stati Uniti, nel Regno Unito e in Spagna, ma nuovi affiliati continuano a operare replicandone i metodi.
Le tattiche principali prevedono:
- Social engineering mirato: simulazione di helpdesk o amministratori per forzare il reset delle credenziali
- Attacchi di MFA fatigue: invio continuo di notifiche 2FA per spingere l’utente a concedere accesso
- SIM swapping: clonazione di schede telefoniche per intercettare codici di verifica
- Abuso di strumenti di comunicazione interna: accesso a Teams o Slack per contattare dipendenti e ottenere ulteriori privilegi
Queste tecniche sono altamente efficaci in ambienti corporate poco segmentati, dove l’accesso a un solo account può aprire la strada a movimenti laterali e privilege escalation.
Un attacco seriale: Marks and Spencer, Harrods e l’espansione di DragonForce nel Regno Unito
La vicinanza temporale e tattica dell’attacco a Co-op rispetto a quello avvenuto pochi giorni prima contro Marks and Spencer è stata rapidamente evidenziata dagli analisti. In entrambi i casi, la fase iniziale di accesso è avvenuta con il reset forzato di credenziali interne, con movimenti successivi finalizzati a esfiltrare dati sensibili prima della cifratura (o in sua sostituzione, come minaccia).
DragonForce ha inoltre rivendicato un tentato attacco contro Harrods, il noto department store londinese, utilizzando canali simili e tentando di contattare dirigenti aziendali. Nonostante la mancata conferma ufficiale da parte dell’azienda, fonti di intelligence parlano di tentativi di phishing mirati e attività sospette nei log di autenticazione nei giorni immediatamente successivi.
Questo modello dimostra una chiara volontà di colpire il settore retail britannico in modo sistemico, sfruttando infrastrutture IT simili, vulnerabilità organizzative e la dipendenza da sistemi Microsoft non opportunamente segmentati o aggiornati.
I rischi per i clienti: identità digitali e attacchi successivi
Sebbene Co-op abbia precisato che non sono stati compromessi dati bancari o password in chiaro, il furto dei dati personali di milioni di membri del programma fedeltà espone i clienti a rischio di attacchi phishing mirati, SIM swapping e furti di identità. Informazioni come nome completo, indirizzo email, numero di telefono e storico delle interazioni sono sufficienti a costruire campagne di ingegneria sociale estremamente convincenti.
Gli esperti consigliano ai clienti Co-op di:
- Verificare qualsiasi comunicazione sospetta
- Non condividere codici OTP o 2FA con soggetti terzi
- Monitorare i movimenti bancari
- Attivare autenticazioni multifattoriali forti
Nel frattempo, DragonForce ha lasciato intendere che i dati potrebbero essere pubblicati integralmente sul proprio sito nel dark web qualora non venga pagato il riscatto, confermando l’attuale orientamento del gruppo verso la doppia estorsione (exfiltration e encryption).
L’attacco a Co-op segna un nuovo capitolo nella trasformazione del ransomware da semplice minaccia tecnica a leva estorsiva complessa e psicologica, capace di colpire aziende note, influenzare il pubblico, e destabilizzare l’opinione dei clienti. L’evoluzione di gruppi come DragonForce, che operano con logiche RaaS e tattiche associate a Scattered Spider, complica ulteriormente il lavoro delle forze dell’ordine e dei responsabili sicurezza.
La risposta di Co-op, con il coinvolgimento di Microsoft e KPMG, testimonia l’impatto dell’incidente, ma anche l’urgenza per tutte le aziende del settore di rafforzare la resilienza digitale, l’alfabetizzazione dei dipendenti e la segmentazione dei sistemi.
Nel contesto attuale, la sicurezza informatica non è più un presidio tecnico: è una funzione strategica e identitaria che definisce la capacità di un’azienda di resistere, proteggere e mantenere la fiducia dei propri stakeholder.
