L'Agenzia per il patrocinio legale del Regno Unito indaga su un incidente informatico mentre il settore retail affronta una nuova ondata di ransomware

L’Agenzia per il Patrocinio Legale (LAA), parte del Ministero della Giustizia britannico, sta indagando su un incidente informatico che potrebbe aver esposto dati finanziari relativi ai fornitori di assistenza legale. In una lettera inviata agli studi legali, l’agenzia ha avvertito che gli attaccanti potrebbero aver avuto accesso ai dati di pagamento, sebbene non sia stata confermata alcuna violazione. L’agenzia gestisce miliardi in fondi pubblici e lavora con circa 2.000 fornitori in Inghilterra e Galles.

La National Crime Agency (NCA) e il National Cyber Security Centre (NCSC) stanno supportando l’indagine. L’incidente arriva in un periodo critico per il Regno Unito, già colpito da ransomware che ha coinvolto grandi catene come Co-op, Harrods e Marks & Spencer — attacchi rivendicati dal gruppo DragonForce con tattiche di Scattered Spider.

Gli attacchi DDoS aumentano del 358% su base annua nel Q1 2025: Germania il paese più colpito

Secondo il DDoS Threat Report Q1 2025 di Cloudflare, gli attacchi DDoS hanno raggiunto quota 20,5 milioni a livello globale, segnando un aumento del 358% rispetto allo stesso periodo del 2024. La Germania è risultata il paese più colpito, seguita da Turchia e Cina, mentre Hong Kong è la principale fonte di attacchi.

Cloudflare ha bloccato oltre 700 attacchi ipervolumetrici (oltre 1 Tbps o 1 Bpps), inclusi record storici come un attacco da 4,8 Bpps. Settori come gaming, telecomunicazioni e cybersicurezza sono stati i più bersagliati. Nonostante l’attenzione mediatica sia concentrata sugli attacchi “giganti”, il 99% degli attacchi L3/L4 e il 94% degli attacchi HTTP sono di piccole dimensioni ma comunque efficaci.

Campagna di phishing sfrutta TAP Air Portugal dopo blackout in Iberia

Dopo un’interruzione di corrente su larga scala in Spagna, Portogallo e altre parti d’Europa a fine aprile, cybercriminali hanno lanciato una campagna di phishing camuffata da comunicazione ufficiale di TAP Air Portugal. Le email, rivolte a parlanti portoghese e spagnolo, promettevano rimborsi per ritardi aerei causati dal blackout, indirizzando le vittime a pagine fasulle per rubare dati personali e finanziari.

I link malevoli erano ospitati su siti WordPress compromessi. Il phishing si mascherava da richiesta legittima sotto il regolamento UE sui diritti dei passeggeri aerei. Le autorità hanno escluso un attacco informatico come causa del blackout, ma l’incidente è ancora sotto indagine.

Attacco ransomware alla rete educativa del Consiglio di West Lothian

Il Consiglio di West Lothian ha confermato un sospetto attacco ransomware contro la sua rete scolastica, avvenuto il 6 maggio. L’indagine è in corso con il supporto di Police Scotland e del Governo scozzese. Non ci sono prove di accesso a dati sensibili e la rete pubblica resta operativa. Le scuole restano aperte e gli esami SQA non subiranno interruzioni.

La rete scolastica è stata isolata mentre il team IT lavora al ripristino. Il consiglio gestisce 133 scuole, incluse 13 secondarie, e assicura un impatto minimo sugli studenti.

South African Airways colpita da attacco informatico: avviata un’indagine

South African Airways (SAA) ha confermato un attacco informatico che ha colpito sito web, app mobile e sistemi interni il 3 maggio. L’azienda ha attivato i protocolli di emergenza e ripristinato i servizi lo stesso giorno. È stata avviata un’indagine forense per determinare la causa e valutare eventuali esfiltrazioni di dati.

SAA ha notificato l'incidente alle autorità sudafricane competenti. L’attacco si inserisce in una più ampia ondata di attacchi cyber in Sudafrica che ha visto coinvolti anche MTN e Cell C. Secondo ESET, il Sudafrica è il paese africano più colpito da ransomware (oltre il 40% degli attacchi del continente).

LockBit violato: defacciato il pannello affiliati e pubblicati dati riservati

Il gruppo ransomware LockBit ha subito una nuova grave violazione: il suo pannello affiliati nel dark web è stato defacciato con il messaggio “Don’t do crime CRIME IS BAD xoxo from Prague” e un link a un dump SQL. Il file espone dati su indirizzi bitcoin, chat con le vittime, nomi delle aziende colpite e 75 credenziali in chiaro come “Weekendlover69”.

BleepingComputer stima che la violazione sia avvenuta il 29 aprile. L’attacco ricorda un precedente defacement del gruppo Everest, suggerendo un collegamento. Questo incidente si aggiunge al colpo inflitto nel 2024 dall’Operazione Cronos, che aveva smantellato 34 server del gruppo.

La reputazione di LockBit continua a deteriorarsi e la sua sopravvivenza appare sempre più in discussione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.