Attacchi informatici ai trust del NHS sfruttano vulnerabilità Ivanti, dati dei pazienti potenzialmente compromessi

Diversi trust del NHS, tra cui University College London Hospitals e University Hospital Southampton, sono stati colpiti da un attacco informatico che ha sfruttato una falla nel software Ivanti Endpoint Manager Mobile (EPMM). La violazione, scoperta e corretta il 15 maggio, potrebbe aver consentito l’accesso non autorizzato a dati sanitari altamente sensibili tramite esecuzione di codice da remoto (RCE).

Gli esperti informatici che hanno rilevato l'entità dell'incidente lo collegano ad attori minacciosi basati in Cina. Avvertono che l’attacco potrebbe andare oltre il semplice furto di dati, compromettendo anche i sistemi di appuntamento e dispositivi medici.

I dati rubati includono numeri di telefono del personale, numeri IMEI e token di autenticazione, che potrebbero consentire agli attaccanti un accesso più profondo alle reti del NHS.

NHS England e il National Cyber Security Centre (NCSC) stanno indagando attivamente. NHS England afferma di avere avvisi ad alta gravità e monitoraggio 24/7 per dare priorità alle vulnerabilità critiche, ma questa violazione rappresenta un ulteriore campanello d’allarme urgente.

Violazione dei dati Adidas espone contatti dei consumatori dopo un attacco al servizio clienti

Adidas ha confermato un attacco informatico in cui sono stati rubati dati personali dei clienti tramite un fornitore terzo del servizio clienti. La violazione ha esposto “determinati dati dei consumatori”, principalmente dettagli di contatto di chi ha interagito con i canali di supporto dell’azienda. Fortunatamente, password, carte di credito e dati di pagamento non sono stati compromessi.

L’azienda ha dichiarato di aver agito rapidamente per contenere l’incidente e ha avviato un’indagine interna con esperti di cybersicurezza. Le autorità e i clienti coinvolti sono stati informati secondo gli obblighi di legge.

L’associazione dei consumatori Which? ha esortato Adidas a fornire aggiornamenti chiari e tempestivi, avvertendo i clienti di monitorare i conti e i rapporti di credito per eventuali attività sospette. Truffatori potrebbero sfruttare l'incidente tramite phishing, chiamate false o messaggi fraudolenti.

L’attacco segue una serie di minacce informatiche contro i rivenditori globali, sebbene non abbia colpito le operazioni centrali di Adidas, come è invece accaduto a M&S, Co-op e Harrods.

La Repubblica Ceca accusa la Cina per un attacco informatico al Ministero degli Esteri e convoca l’ambasciatore

Il governo ceco ha pubblicamente accusato la Cina di un attacco informatico sponsorizzato dallo Stato che ha infiltrato il Ministero degli Esteri del paese ed esposto migliaia di email non classificate. L’attacco, attribuito al gruppo cinese APT31, avrebbe consentito l’accesso alle comunicazioni diplomatiche tra le ambasciate ceche e le istituzioni dell’UE nel 2022, quando la Repubblica Ceca deteneva la presidenza dell’UE.

Il ministro degli Esteri Jan Lipavský ha condannato la violazione, dichiarando che “mina la nostra resilienza e la nostra democrazia”, e ha annunciato la convocazione immediata dell’ambasciatore cinese. “Dobbiamo difenderci da attacchi informatici, propaganda e manipolazione dell’informazione”, ha affermato.

È la prima volta che la Repubblica Ceca attribuisce ufficialmente un attacco informatico a uno Stato. L’attribuzione deriva da un’indagine condotta dai servizi segreti nazionali e dall’agenzia di cybersicurezza NUKIB.

APT31, legato al Ministero della Sicurezza di Stato cinese, è stato precedentemente accusato di aver preso di mira lo staff della campagna presidenziale statunitense. La violazione ha suscitato forti critiche da parte della NATO e dell’UE, che hanno espresso solidarietà e invitato la Cina a rispettare le norme internazionali.

Gruppo ransomware rivendica attacco a Mediclinic, minaccia la fuga di dati del personale

Il gruppo ransomware Everest ha rivendicato la responsabilità di un attacco informatico a Mediclinic, fornitore globale di assistenza sanitaria privata con sedi in Sudafrica, Namibia, Svizzera ed Emirati Arabi Uniti. Gli attaccanti affermano di aver esfiltrato 4 GB di documenti interni e dati personali di circa 1.000 dipendenti, minacciando di pubblicare le informazioni se non verrà pagato un riscatto entro cinque giorni.

Mediclinic non ha ancora risposto pubblicamente alla rivendicazione. L'entità esatta della violazione non è stata verificata, ma gli esperti avvertono che i dati rubati includono informazioni altamente sensibili, mettendo i dipendenti a rischio di furti di identità e attacchi di phishing.

Il gruppo Everest è attivo dal 2021 ed è collegato al cartello BlackByte, affiliato alla Russia. In passato ha colpito Coca-Cola e AT&T, e ha rivendicato 248 vittime dal 2023 secondo il tracker Ransomlooker di Cybernews.

Nigeria e Sudafrica: aumento delle minacce online nel primo trimestre 2025

Un nuovo rapporto rivela un aumento significativo delle minacce online in Africa, con Nigeria e Sudafrica tra i cinque paesi più colpiti nella regione Medio Oriente, Turchia e Africa (META). Nel primo trimestre del 2025, il 17,5% degli utenti in Nigeria e una percentuale simile in Sudafrica sono stati colpiti da minacce basate sul web.

Il rapporto evidenzia rischi crescenti da ransomware, APT, violazioni della supply chain e vulnerabilità mobili, intensificati dall’uso dell’IA e dallo sfruttamento dell’IoT.

Nonostante la minore incidenza del ransomware in Africa rispetto al Medio Oriente, le economie digitali in espansione e la limitata consapevolezza sulla cybersicurezza rendono Nigeria e Sudafrica bersagli sempre più attraenti. Gruppi come FunkSec stanno ora utilizzando codice generato da IA e modelli di ransomware-as-a-service (RaaS) per lanciare attacchi sofisticati su larga scala.

Si consiglia l’implementazione di difese stratificate, l’aggiornamento regolare dei sistemi e la formazione del personale con intelligence sulle minacce aggiornata.

Gli attacchi ransomware industriali aumentano nel primo trimestre 2025

Nel primo trimestre 2025, gli attacchi ransomware contro le imprese industriali sono saliti a 708, secondo una nuova analisi dei ricercatori di sicurezza. Sebbene non siano state identificate nuove varianti mirate specificamente ai sistemi di controllo industriale (ICS), gli attori minacciosi hanno impiegato tecniche persistenti e innovative che hanno reso gli attacchi più dannosi e difficili da mitigare.

Tra le tattiche osservate vi sono malware potenziati da IA (come quelli distribuiti da FunkSec), estorsioni senza cifratura e operazioni statali come l'uso del ransomware Qilin da parte del gruppo Moonstone Sleet. Strumenti come EDRKillshifter di RansomHub hanno mostrato tecniche avanzate di elusione degli endpoint, complicando la rilevazione.

L'integrazione crescente tra ambienti IT e OT ha amplificato l’impatto degli attacchi, come dimostrato dai ritardi produttivi presso National Presto Industries. Attori come Babuk Locker hanno anche diffuso false rivendicazioni di violazioni, usando dati riciclati o falsificati per fare pressione sulle vittime.

I servizi di sicurezza OT recentemente lanciati da Integrity360 aiutano a proteggere le operazioni industriali, garantendo resilienza e conformità in un panorama di minacce in continua evoluzione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.