La grande maggioranza delle aziende colpite da ransomware paga, nuovo report rivela 

Un nuovo rapporto dell’assicuratore Hiscox ha rivelato che l’80% delle PMI colpite da ransomware nell’ultimo anno ha pagato i propri aggressori, anche se i risultati sono stati spesso contrastanti. Tra le 5.750 aziende intervistate, il 27% ha subito incidenti ransomware. Sebbene la maggior parte abbia pagato un riscatto, solo il 60% è riuscito a recuperare tutti o parte dei propri dati, e quasi un terzo ha affrontato ulteriori richieste di denaro. 

Le conclusioni arrivano in un contesto segnato da una serie di attacchi informatici a grandi nomi come Marks & Spencer, Co-op e Jaguar Land Rover (JLR). Quest’ultima ha affrontato un blocco di un mese, con il governo che ha concesso una garanzia di prestito da 1,5 miliardi di sterline per proteggere la sua catena di fornitura. Hiscox ha avvertito che molte aziende più piccole, prive di tali paracadute, rischiano la propria sopravvivenza. 

Violazione di WestJet espone i dati di 1,2 milioni di passeggeri 

La compagnia aerea canadese WestJet ha confermato che un attacco informatico rivelato per la prima volta a giugno ha portato al furto dei dati personali di 1,2 milioni di clienti. Sono stati esposti dati sensibili come nomi, date di nascita, indirizzi postali, documenti di viaggio (passaporti e carte d’identità), reclami registrati presso la compagnia e dettagli dei programmi fedeltà. Sebbene non siano stati rubati numeri di carte di credito, password o codici CVV, ai clienti colpiti vengono offerti due anni gratuiti di protezione dall’identità. 

L’attacco sarebbe derivato da tecniche di social engineering, con i criminali che hanno ottenuto l’accesso tramite la password compromessa di un dipendente ed hanno sfruttato l’ambiente Citrix della compagnia. Una volta dentro, hanno violato sia le reti Windows che quelle cloud Microsoft. 

Anche se l’incidente non è stato ufficialmente attribuito, è coinciso con una serie di attacchi contro il settore dell’aviazione collegati al gruppo Scattered Spider. WestJet ha dichiarato che le indagini proseguono con il supporto dell’FBI, mentre continua la valutazione della portata del compromesso. 

Phantom Taurus: nuovo gruppo di spionaggio legato alla Cina prende di mira governi 

Un nuovo gruppo di hacker allineato alla Cina, soprannominato Phantom Taurus, è stato collegato a campagne di spionaggio contro enti governativi e organizzazioni delle telecomunicazioni in Africa, Medio Oriente e Asia. Attivo da oltre due anni, il gruppo si concentra su ministeri degli affari esteri, ambasciate e operazioni militari, con attività spesso allineate a eventi geopolitici chiave. 

Identificato per la prima volta nel 2023 come CL-STA-0043 e successivamente riclassificato come TGR-STA-0043, Phantom Taurus è stato ora riconosciuto come attore di minaccia a tutti gli effetti. Gli esperti affermano che il suo obiettivo primario è la raccolta di intelligence a lungo termine, con operazioni recenti passate dal furto di email al targeting diretto di database. 

Phantom Taurus utilizza in particolare una suite di malware personalizzata in .NET chiamata NET-STAR, capace di infiltrare server IIS tramite backdoor progettate per eludere i rilevamenti e perfino alterare i log forensi per confondere gli analisti. Il gruppo ha sfruttato vulnerabilità note in IIS e Microsoft Exchange, dimostrando adattabilità e persistenza nello spionaggio informatico. 

Harrods rivela violazione di un fornitore che colpisce 430.000 clienti 

Il rivenditore di lusso britannico Harrods ha confermato una nuova violazione dei dati dopo che hacker hanno compromesso un fornitore terzo, esponendo 430.000 record di clienti e-commerce. L’azienda ha sottolineato che l’incidente non è collegato al tentato attacco di maggio da parte di Scattered Spider, che aveva preso di mira diversi retailer britannici con il ransomware DragonForce. 

Harrods ha dichiarato che sono stati violati i nomi e i contatti dei clienti coinvolti, con alcuni record contenenti etichette interne di marketing, come i livelli delle carte fedeltà. Tuttavia, non sono stati compromessi dati di pagamento, password o storici degli ordini. Gli attaccanti avrebbero tentato di contattare direttamente Harrods, ma l’azienda si è rifiutata di rispondere. 

La violazione potrebbe essere collegata all’attacco alla supply chain di Salesloft, che ha colpito organizzazioni in tutto il mondo dalla fine dell’estate. Harrods ha avvisato clienti e autorità competenti, invitando a prestare attenzione a tentativi di phishing, e continua a collaborare con gli investigatori. 

Vulnerabilità in OneLogin espose segreti OIDC, ora corretta 

È stata resa nota una vulnerabilità ad alta gravità nella piattaforma IAM OneLogin di One Identity, che avrebbe potuto esporre segreti sensibili di applicazioni OpenID Connect (OIDC). Tracciata come CVE-2025-59363 e con punteggio CVSS di 7.7, la falla derivava da una configurazione errata di un endpoint API che restituiva valori client_secret insieme ai metadati delle applicazioni. 

Clutch Security, che ha scoperto il problema, ha avvertito che un attaccante con credenziali API valide avrebbe potuto enumerare tutte le applicazioni OIDC all’interno di un tenant OneLogin, recuperare i client secret, impersonare le app e accedere ai servizi integrati. Ciò avrebbe permesso un movimento laterale all’interno degli ambienti aziendali. Il rischio era aggravato dai permessi API basati sui ruoli e dall’assenza di restrizioni sugli indirizzi IP. 

Il bug è stato segnalato responsabilmente il 18 luglio ed è stato corretto con OneLogin 2025.3.0, rilasciato il mese scorso. One Identity ha dichiarato di non avere evidenze di sfruttamento. Gli esperti avvertono che le vulnerabilità nei provider di identità possono avere effetti a cascata su intere infrastrutture aziendali. 

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.