I gruppi di ransomware come HELLCAT, Cl0p e diversi collettivi di estorsione di dati hanno orchestrato alcuni degli attacchi ransomware più costosi del 2025. L'anno ha visto la chiusura della produzione in una grande azienda automobilistica, l'esposizione di milioni di registri di pazienti in una grande organizzazione sanitaria, un abuso su larga scala di OAuth in un Cloud CRM e una campagna zero-day contro un importante fornitore di software aziendale e cloud che ha interrotto i sistemi finanziari e della catena di approvvigionamento. Inoltre, un attacco a fine anno su un distributore IT globale ha dimostrato quanto rapidamente il ransomware possa destabilizzare la logistica globale.
In questi eventi, c'è un filo comune: gli attaccanti hanno preso di mira le integrazioni e le piattaforme su cui dipendono le operazioni, rivelando debolezze sistemiche che si estendevano da settori come quello automobilistico a quello sanitario.
Di seguito è riportato un riepilogo cronologico dei più significativi incidenti di ransomware dell'anno, basato su dati pubblicamente riportati, analisi di settore e divulgazioni da parte delle organizzazioni colpite.
1. Un importante produttore automobilistico (Marzo–Agosto 2025)
Gruppi di ransomware che si sono assunti la responsabilità:
- HELLCAT (violazione iniziale e furto di dati)
- Scattered Spider, Lapsus$, e ShinyHunters: un collettivo di tre diversi gruppi di hacking che hanno lavorato in sincronia comunicando su piattaforme online per coordinare il loro attacco
Dati stimati rubati: ~350 GB
Settore: Produzione automobilistica
A marzo, il gruppo di ransomware HELLCAT ha hackerato con successo un importante produttore automobilistico in due ondate: la prima ondata ha visto 700 documenti interni rubati, seguita da una seconda ondata in cui sono stati sottratti 350 GB di dati sensibili. Il materiale rubato includeva credenziali dei dipendenti, dati di tracciamento, registri di sviluppo e codice sorgente proprietario.
Entro la fine dell'estate, la situazione è degenerata. Il 31 agosto, l'azienda ha chiuso le operazioni IT globali per contenere una violazione attiva che ha fermato la produzione in India, Slovacchia, Cina e Regno Unito. Nei giorni successivi, più gruppi di minaccia hanno pubblicamente rivendicato la responsabilità, creando confusione attorno all'attribuzione. Un collettivo recentemente rinominato—Scattered Spider, Lapsus$ e ShinyHunters—ha affermato su Telegram di essere dietro l'attacco del 31 agosto, deridendo l'azienda e minacciando ulteriori obiettivi nel Regno Unito. L'azienda ha successivamente confermato che dati sensibili erano stati rubati e che l'attacco aveva costretto a una prolungata chiusura dei sistemi di produzione e vendita.
L'azienda ha riportato un calo del 49% nel profitto trimestrale ante imposte, e gli analisti di settore hanno stimato il costo totale operativo e di recupero a circa 2,5 miliardi di dollari, rendendolo “l'attacco informatico più costoso nella storia del Regno Unito” secondo la BBC.
2. Un'organizzazione sanitaria specializzata nella cura dei reni (Agosto 2025)
Gruppo di ransomware: Interlock Ransomware
Dati stimati rubati: PHI per 2,7 milioni di pazienti
Settore: Sanità
Ad agosto, l'azienda ha confermato che un attacco ransomware aveva compromesso le informazioni sanitarie protette (PHI) per circa 2,7 milioni di pazienti, a seguito del furto di oltre 20 terabyte di dati, inclusi oltre 200 milioni di righe di registri clinici e demografici. Le informazioni rubate comprendevano storie di trattamento, dettagli assicurativi, numeri di previdenza sociale Sicurezza e altri identificatori ad alto rischio—categorie che comportano significative esposizioni normative, legali e per la sicurezza dei pazienti.
L'attacco ha interrotto i sistemi clinici e ha costretto l'azienda ad attivare protocolli di emergenza in tutta la sua rete nazionale di centri di dialisi. Sebbene l'azienda sostenga che la cura dei pazienti sia continuata, le conseguenze a lungo termine dei registri medici rubati rimangono gravi: i pazienti affrontano rischi elevati di furto d'identità e attività creditizie fraudolente, mentre i fornitori di assistenza sanitaria possono dover affrontare prescrizioni falsificate, storie mediche corrotte e problemi di integrità dei registri a lungo termine.
L'azienda ha già sostenuto 13,5 milioni di dollari in costi diretti legati a indagini, rimedi e interruzioni operative, una cifra che esclude le perdite per interruzione dell'attività e potenziali sanzioni normative. L'incidente ha anche innescato multiple cause collettive (Reid v. Davita Inc., e Jenkins et al v. DaVita), con i querelanti che denunciano l'uso improprio dei dati rubati e la mancanza di misure di sicurezza adeguate. Insieme, questi fattori hanno intensificato il controllo sulla cybersecurity sanitaria, in particolare per i fornitori i cui servizi sono essenziali per la sopravvivenza dei pazienti.
3. Una piattaforma di dati basata su cloud (Settembre–Ottobre 2025)
Gruppo di ransomware: ShinyHunters (affiliato all'ecosistema Scattered Spider / Lapsus$)
Dati stimati rubati: Quasi 1 miliardo di registri di clienti tra i locatari colpiti ~800 organizzazioni
Settore: Cloud CRM / SaaS
All'inizio dell'autunno, un insieme coordinato di attacchi ha colpito le organizzazioni che utilizzano un noto ecosistema Cloud CRM. Gli attaccanti non hanno violato l'azienda stessa; invece, si sono mossi attraverso il terreno circostante—campagne di vishing che hanno convinto i dipendenti a installare una versione malevola del Data Loader dell'azienda, e un'operazione parallela che ha abusato di token OAuth rubati legati a una delle integrazioni Drift dell'azienda. Una campagna ha toccato 39 aziende, mentre l'attività basata su OAuth ha raggiunto 760 organizzazioni.
Il gruppo—operante sotto nomi tra cui Scattered Lapsus$ Hunters e ShinyHunters—afferma di aver preso quasi 1 miliardo di registri di clienti, inclusi grandi volumi di PII e dati aziendali collegati al CRM. L'azienda ha dichiarato che la sua piattaforma non è stata compromessa e che non è stato coinvolto alcun difetto nella sua tecnologia principale.
Per i locatari colpiti, le conseguenze sono state misurate in milioni di dollari per organizzazione, guidate da indagini forensi, notifiche ai clienti e la pressione esercitata sulle relazioni con i clienti. Gli attaccanti hanno anche sperimentato nuove tattiche di pressione, offrendo ai membri di Telegram 10 dollari in Bitcoin per inviare email agli executive e richiedere pagamenti—un tentativo insolito di ampliare lo sforzo di estorsione.
La campagna mostra come gli attaccanti si muovano lateralmente identificando percorsi, integrazioni e strumenti di terze parti piuttosto che le piattaforme SaaS stesse. Cercano accessi backdoor, dove la sicurezza potrebbe non essere così rigorosa.
4. Un importante fornitore di software aziendale e cloud (Fine 2025)
Gruppo di ransomware: Cl0p (con attività legate a Scattered Lapsus$ Hunters)
Dati stimati rubati: Grandi volumi di dati ERP tra più imprese
Settore: ERP aziendale / multi-settore
Alla fine del 2025, Cl0p ha iniziato a sfruttare CVE‑2025‑61882, un difetto di esecuzione di codice remoto nel componente di integrazione BI Publisher di un importante fornitore di software aziendale e cloud. Il bug ha consentito accesso non autenticato su HTTP, dando agli attaccanti un percorso diretto nel motore di elaborazione concorrente dell'azienda. Il Google Threat Intelligence Group e Mandiant hanno osservato sfruttamenti il 2 ottobre; l'azienda ha emesso un avviso e una patch il 4 ottobre. Un secondo difetto EBS, CVE‑2025‑61884, è stato corretto giorni dopo.
I ricercatori hanno scoperto che gli attaccanti hanno concatenato cinque vulnerabilità separate—alcune recentemente scoperte, altre corrette in precedenza nell'anno—per ottenere accesso pre-autenticato. Un proof-of-concept pubblicato da Scattered Lapsus$ Hunters ha confermato il percorso di sfruttamento, consentendo a più gruppi di minaccia di adottarlo. Una volta all'interno, Cl0p ha distribuito uno script malevolo, server.py, che fungeva da canale di comando e controllo per il furto di dati e il movimento laterale.
La campagna ha raggiunto organizzazioni nei settori dei media, dell'aviazione, dell'istruzione superiore e industriale, inclusi The Washington Post, Harvard University, Envoy Air, Schneider Electric e Emerson. Le vittime hanno ricevuto email di estorsione—spesso inviate da account email aziendali compromessi—offrendo “prove” di dati ERP rubati e istruzioni per il pagamento.
Molte organizzazioni si sono rese conto di essere state compromesse solo quando gli attori legati a Cl0p hanno iniziato a inviare email di estorsione facendo riferimento ai dati prelevati dalla piattaforma del fornitore di software aziendale e cloud. L'analisi di Google e Mandiant mostra che il framework di impianto multi-stadio degli attaccanti ha consentito loro di raggiungere componenti applicativi più profondi, inclusi BI Publisher e Concurrent Processing—aree che il fornitore avverte possono esporre registri aziendali sensibili quando accessibili senza autorizzazione.
L'incidente ha dimostrato quanto rapidamente gli attori delle minacce possano elevare i privilegi una volta che i servizi ERP accessibili da remoto siano esposti, consentendo l'interazione con dati finanziari e operativi di cui le imprese dipendono per le funzioni quotidiane.
5. Un Distributore Tecnologico Globale (Fine 2025)
Gruppo ransomware: SafePay (collegato all'attività derivata da LockBit)
Dati stimati rubati: Dati operativi, logistici e relativi ai fornitori (ambito ancora in fase di revisione)
Settore: Distribuzione e logistica globale
All'inizio di luglio, uno dei più grandi distributori tecnologici al mondo è stato colpito da un attacco ransomware che ha costretto a chiudere i sistemi core della sua rete globale. I dipendenti hanno visto per la prima volta i pop-up della nota di riscatto il 3 luglio, poco prima che i sistemi di elaborazione degli ordini, i siti web e le piattaforme Xvantage e Impulse dell'azienda iniziassero a fallire. SafePay—un gruppo di estorsione in rapida crescita legato a più di 220 vittime precedenti—ha successivamente rivendicato la responsabilità. Le prime segnalazioni indicavano che gli attaccanti erano probabilmente entrati attraverso il VPN GlobalProtect dell'azienda utilizzando credenziali trapelate o deboli piuttosto che una vulnerabilità software.
L'interruzione ha bloccato l'elaborazione degli ordini in tutto il mondo per diversi giorni. Con i sistemi di evasione offline, i clienti e i partner rivenditori hanno affrontato arretrati, spedizioni ritardate e visibilità limitata sull'inventario. I produttori e i fornitori di servizi che si affidavano ai tempi di distribuzione del fornitore hanno dovuto passare a distributori di backup o attingere alle scorte di riserva per mantenere le operazioni in movimento. Sebbene la nota di riscatto di SafePay affermasse il furto di dati, non c'erano prove iniziali di registri di clienti, fornitori o dipendenti trapelati, e l'azienda ha continuato a indagare sull'ambito di eventuali esposizioni.
Il distributore IT globale ha risposto isolando i sistemi interessati, disattivando il proprio VPN e coinvolgendo team esterni di risposta agli incidenti. L'azienda ha emesso aggiornamenti pubblici regolari, fornito soluzioni alternative per effettuare ordini telefonicamente o via email e ha attivato canali di escalation per richieste urgenti. Il recupero è progredito in fasi: i siti web sono tornati online il 7 luglio, l'elaborazione parziale degli ordini è ripresa l'8 luglio e le operazioni globali complete sono state ripristinate entro il 9 luglio.
Oltre 42.000 informazioni personali dei clienti sono state compromesse, inclusi numeri di previdenza sociale, date di nascita, registri di impiego e nomi.
Sebbene l'azienda non abbia mai divulgato un rapporto formale, i costi stimati si sono attestati tra i milioni bassi e medi, determinati dal ripristino dei sistemi, dal supporto ai partner e dal rallentamento operativo creato dall'interruzione. Anche senza conferme di esposizioni di dati su larga scala, l'evento ha dimostrato quanto rapidamente un'intrusione ransomware possa propagarsi attraverso una catena di approvvigionamento globale quando le piattaforme core di un distributore vanno offline.
Cosa Rivelano Questi Attacchi Sulle Campagne Ransomware Moderne
Perché Più Gruppi Rivendicano Lo Stesso Attacco
I gruppi ransomware spesso competono per attenzione, credibilità e leva. Quando un incidente colpisce un obiettivo ad alta visibilità (che sia un grande produttore automobilistico, un organizzazione sanitaria specializzata nella cura dei reni, una piattaforma di dati basata su cloud, un grande fornitore di software aziendale e cloud o un distributore tecnologico globale), diversi gruppi possono rivendicare la responsabilità. Alcuni lo fanno per gonfiare le loro reputazioni, altri per confondere gli investigatori e alcuni per esercitare pressione sulle vittime affinché paghino rapidamente. Fa tutto parte della strategia di estorsione.
Perché Le Aziende Divulgano Così Poco, Così Lentamente
Le organizzazioni raramente hanno un quadro completo di un attacco nelle prime ore o addirittura nei primi giorni. L'esposizione legale, gli obblighi normativi e il rischio di rilasciare informazioni inaccurate influenzano tutti il modo e il momento in cui comunicano. Molte aziende condividono solo ciò che possono verificare, il che spesso significa dettagli limitati durante l'evento e dichiarazioni formulate con attenzione in seguito. Questo crea lacune nella comprensione pubblica, ma riflette la realtà della risposta agli incidenti: i team stanno ancora scoprendo cosa è successo mentre il mondo chiede risposte.
Detto ciò, le corporazioni hanno l'obbligo di mantenere la trasparenza quando i dati sensibili dei clienti, come i PHI, sono stati compromessi. Le notizie non dovrebbero richiedere settimane o mesi per essere rilasciate. Le aziende nei settori sanitario, SLED e dei servizi finanziari, in particolare, sono tenute a uno standard più elevato per questo motivo: il tipo di informazioni che gestiscono è particolarmente vulnerabile e deve essere protetto con la migliore protezione disponibile.
Cosa Avrebbe Potuto Prevenire Queste Violazioni
Gaps Architettonici Che Hanno Dato Agli Attaccanti Spazio per Muoversi
In tutti e cinque gli incidenti, i punti di ingresso erano diversi—credenziali VPN presso un distributore tecnologico globale, una zero-day presso un grande fornitore di software aziendale e cloud, abuso di integrazione presso un Cloud CRM e compromesso basato sull'identità presso un azienda sanitaria specializzata nella cura dei reni. Ma una volta dentro, gli attaccanti hanno avuto successo per le stesse ragioni:
- Troppo fiducia implicita tra i sistemi
- Backup percorsi che potevano essere raggiunti o manomessi
- Archivi di dati che potevano essere modificati o esfiltrati
- Ambienti in cui il movimento laterale era possibile molto prima della rilevazione
Queste debolezze hanno trasformato i punti di accesso in violazioni su larga scala.
Elementi Che Avrebbero Limitato il Raggio d'Esplosione
Un approccio architettonico diverso avrebbe cambiato la traiettoria di ciascun attacco.
- Principi di Zero Access avrebbero chiuso i punti di accesso per l'uso improprio delle credenziali e per l'integrazione che hanno dato agli attaccanti il loro punto d'appoggio.
- Segmentazione tra software di backup e archiviazione di backup avrebbe interrotto i percorsi di controllo su cui gli attaccanti si affidano, impedendo loro di raggiungere o alterare i backup anche dopo aver violato i sistemi primari.
- Zero-trust Resilienza dei dati avrebbe limitato il movimento laterale e contenuto l'intrusione al suo punto di ingresso iniziale.
- Immutabilità Assoluta avrebbe garantito che anche se gli attaccanti avessero raggiunto i sistemi core, non potessero alterare o crittografare i dati su cui le organizzazioni si affidano per recuperare.
Queste strategie fanno la differenza tra una violazione che diventa una crisi operativa multimilionaria che dura mesi e una che si ferma al punto di ingresso. Per capire come appare un attacco ransomware e come prepararsi, scarica la nostra Guida alla Sopravvivenza al Ransomware.
Interessato a rendere la tua azienda a prova di ransomware? Parla con uno dei nostri Ingegneri di Vendita e prenota una demo oggi.
