Ransomware e phishing in Italia, le ultime dal panorama APT, ConnectWise vittima di un attacco state-sponsored

Italia: nuovi attacchi ransomware e di phishing 

Continuano a essere individuate rivendicazioni ransomware ai danni di target italiani. Nello specifico, nella settimana appena conclusa Arcus Media ha annunciato la compromissione di Antealuce S.r.l.; KillSec di SAMA S.r.l. e Novaria S.r.l.; Dire Wolf di Qualitas Commercialisti Associati; Devman di D.M. Barone S.p.A. (realtà già violata nel 2021 da REvil Team); DATACARRY di Alliance Healthcare Italia S.p.A.; mentre Akira Team di Termignoni S.p.A. Quest’ultimo, stando a quanto riportato da fonti giornalistiche locali, sarebbe il responsabile anche di un attacco ai danni di Farmacisti Più Rinaldi S.p.A., azienda di distribuzione intermedia del farmaco con sede a Udine. Per quanto riguarda le operazioni di phishing rilevate sul territorio italiano, se ne segnalano tre in particolare. La prima sfrutta il nome e il logo dell’Agenzia delle Entrate per ingannare gli utenti a cliccare su un link presente nel testo che porta a una pagina malevola. Una volta aperta, quest’ultima mostra un fittizio modulo di rimborso da compilare inserendo generalità e dati della carta di credito, al fine di ricevere la supposta somma dovuta. La seconda, invece, sfrutta il marchio Microsoft OneNote e si avvale di una presunta fattura emessa da una ditta edile chiamata Carbone Costruzioni, condivisa tramite OneNote e accessibile con l’indirizzo e-mail. Tuttavia, se si cerca di visualizzare il documento viene mostrato un portale progettato per esfiltrare varie credenziali di accesso, incluse quelle di caselle PEC. Infine, la terza ha previsto la distribuzione del malware AsyncRAT tramite messaggi di posta elettronica scritti in inglese apparentemente provenienti da una compagnia di costruzioni araba chiamata Arabian Construction Co.

APT: avversari inediti e accuse ufficiali contro APT31 

È stato scoperto un gruppo state-sponsored russo inedito denominato Void Blizzard (Laundry Bear), che è stato collegato all’attacco informatico subito nel settembre 2024 dalla Polizia olandese. Attivo almeno dall’aprile 2024, l’avversario conduce operazioni di spionaggio rivolte principalmente agli Stati membri della NATO e all’Ucraina, probabilmente per raccogliere informazioni a sostegno degli obiettivi strategici russi. Tali attività sono altamente mirate a specifiche organizzazioni di interesse per il governo di Mosca, appartenenti ai settori governativo, della Difesa, dei trasporti, dei media, delle ONG, dell’istruzione, delle telecomunicazioni, dell’IT e sanitario, prevalentemente in Europa e Nord America. Tra i nuovi attaccanti identificati figura anche Silent Werewolf, un gruppo di matrice sconosciuta, osservato nel marzo 2025 sferrare due campagne contro organizzazioni russe ed entità moldave. Mercoledì 28 maggio 2025, il governo della Repubblica Ceca ha rilasciato una dichiarazione ufficiale tramite la quale accusa il cinese APT31 – associato al Ministero della Sicurezza di Stato di Pechino – di essere il responsabile di una campagna informatica rivolta contro il Ministero degli Affari Esteri ceco. Iniziata nel 2022, l’operazione ha colpito una rete non classificata di un’istituzione designata come infrastruttura critica e, stando a quanto avrebbe dichiarato il Ministro degli Esteri Jan Lipavsky, ha preso di mira e-mail e altri documenti, concentrandosi su informazioni relative all’Asia. Il governo di Praga ha condannato fermamente la campagna riferendo che tale comportamento mina la credibilità della Repubblica Popolare Cinese e contraddice le sue dichiarazioni pubbliche. In aggiunta, ha sottolineato che attività di questo tipo sono contrarie alle norme di comportamento responsabile degli Stati nel ciberspazio, approvate da tutti i membri delle Nazioni Unite. Dal canto suo, l’Ambasciata cinese nella Repubblica Ceca ha espresso disaccordo e opposizione alle accuse rivolte alla Cina, definite infondate. A seguito dell’accaduto, l’Unione europea e i suoi Paesi membri, i partner internazionali e la NATO hanno espresso solidarietà alla Repubblica Ceca e condannato l’operazione, invitando tutti gli Stati, inclusa la Cina, ad astenersi da tali comportamenti malevoli, a rispettare il diritto internazionale e ad aderire alle norme e ai principi delle Nazioni Unite, compresi quelli relativi alle infrastrutture critiche. 

ConnectWise: sospetto attacco state-sponsored colpisce l’azienda 

In data 28 maggio 2025, la software house statunitense ConnectWise ha dichiarato di aver rilevato attività sospette all’interno del proprio ambiente, presumibilmente collegate a un attacco sferrato da un avversario state-sponsored che ha interessato un numero molto limitato di clienti ScreenConnect. L’azienda ha comunicato di aver contattato tutti i clienti interessati e di star collaborando con le Forze dell’Ordine e una società esterna. Tuttavia, non ha rilasciato ulteriori dettagli in merito all’accaduto. Ciononostante, una fonte avrebbe riferito a una nota testata giornalistica online del settore, che la violazione si sarebbe verificata nell’agosto 2024 e sarebbe stata scoperta nel maggio 2025. Inoltre, stando a quanto riportato, l’offensiva avrebbe impattato solo le istanze ScreenConnect basate su cloud. Al momento, tali informazioni non sono verificabili. In aggiunta, in un thread su un social network, i clienti hanno condiviso ulteriori dettagli, affermando che l’incidente è collegato a una vulnerabilità di Improper Authentication tracciata come CVE-2025-3935, corretta il 24 aprile. Il problema può essere sfruttato per condurre attacchi di Code Injection tramite ViewState utilizzando chiavi di sistema (machine keys) di ASP.NET compromesse. Attualmente, però, ConnectWise non ha confermato se questo sia stato il modo in cui sono state violate le istanze dei clienti.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence