Sommario
Le autorità statunitensi hanno recuperato 31 milioni di euro in criptovalute rubate nell’attacco del 2021 a Uranium Finance, piattaforma DeFi basata su Binance Smart Chain. Parallelamente, il gruppo ransomware Qilin ha rivendicato un attacco a Lee Enterprises, minacciando di divulgare dati sensibili rubati.
Recuperati 31 milioni di euro dall’attacco a Uranium Finance
Nel 2021, Uranium Finance è stata vittima di un attacco hacker che ha portato alla sottrazione di oltre 53,7 milioni di euro. La piattaforma, nata come un market maker automatizzato su Binance Smart Chain, è stata sfruttata dai criminali informatici a causa di vulnerabilità nei suoi smart contract.
Gli attacchi sono avvenuti in due fasi: il primo, il 6 aprile 2021, ha sfruttato una falla nel sistema di distribuzione dei premi, consentendo il furto di 1,4 milioni di euro. Successivamente, il 28 aprile 2021, un errore nel codice di trading ha permesso ai criminali di sottrarre altri 52 milioni di euro. I fondi sono stati riciclati tramite scambi decentralizzati, convertiti in diverse criptovalute e lasciati dormienti in wallet digitali.
Grazie al lavoro della società TRM Labs e alla collaborazione con il Southern District of New York e Homeland Security Investigations, è stato possibile tracciare il percorso del denaro. L’operazione di recupero ha richiesto un’analisi dettagliata dei movimenti dei fondi attraverso più blockchain, individuando schemi di riciclaggio e transazioni su Tornado Cash. A febbraio 2025, le autorità statunitensi sono riuscite a sequestrare 31 milioni di euro.
Gli investitori colpiti dal furto possono ora presentare una richiesta per ottenere una parte dei fondi recuperati contattando l’indirizzo e-mail dedicato fornito dalle autorità statunitensi.
L’attacco ransomware a Lee Enterprises
Il gruppo ransomware Qilin ha colpito Lee Enterprises, una delle più grandi società di media negli Stati Uniti, interrompendo le operazioni il 3 febbraio 2025. La compagnia possiede oltre 77 quotidiani e 350 pubblicazioni digitali, raggiungendo milioni di lettori ogni mese.
Secondo una dichiarazione depositata presso la Securities and Exchange Commission (SEC), l’attacco ha compromesso sistemi interni, archiviazione cloud e VPN aziendali. Successivamente, Lee Enterprises ha confermato che gli hacker hanno criptato applicazioni critiche ed esfiltrato file riservati.
Qilin ha pubblicato prove dell’attacco sul suo sito nel dark web, rivelando di possedere 350 GB di dati sottratti, tra cui scansioni di documenti governativi, contratti, fogli di calcolo finanziari e accordi di non divulgazione. Il gruppo ha minacciato di rilasciare l’intero set di dati il 5 marzo 2025, a meno che non venga pagato un riscatto.
Evoluzione del ransomware Qilin
Qilin è un gruppo ransomware attivo dal 2022, precedentemente noto come “Agenda”. Ha colpito aziende di rilievo, tra cui Yanfeng, il sistema giudiziario di Victoria in Australia e ospedali del servizio sanitario nazionale di Londra.
Nel tempo, ha affinato le sue tecniche di attacco, sviluppando varianti del ransomware per Linux, strumenti per rubare credenziali da Google Chrome e un data locker basato su Rust con crittografia avanzata. Microsoft ha segnalato che il gruppo di hacker noto come “Scattered Spider” ha utilizzato Qilin in alcune delle sue campagne più recenti.
