Il 2025 è stato caratterizzato da alcuni degli attacchi informatici più dirompenti e rivelatori degli ultimi anni. Sebbene le statistiche principali suggerissero che il costo medio di un attacco fosse diminuito rispetto agli anni precedenti, un numero limitato di incidenti ad alto impatto che hanno coinvolto marchi noti come Marks & Spencer e Jaguar Land Rover ha cambiato radicalmente il quadro. Questi eventi hanno spinto le medie complessive verso l’alto ed esposto debolezze sistemiche nei settori del retail, della produzione industriale, dell’aviazione, dei servizi pubblici e delle catene di fornitura globali.

Dalle campagne ransomware su larga scala agli attacchi mirati che hanno sfruttato software di terze parti affidabili, gli incidenti del 2025 hanno rafforzato una realtà preoccupante. Le organizzazioni moderne rimangono fortemente esposte attraverso piattaforme cloud, ecosistemi di fornitori, tecnologie operative e infrastrutture digitali condivise. Guardando al 2026, questi attacchi stanno già influenzando le strategie di cyber security, le priorità normative e gli investimenti.

Di seguito sono riportati alcuni degli attacchi informatici più rilevanti e ampiamente riportati del 2025 e le lezioni che porteranno nel futuro.

 

Copy of Trends image

 

Marks & Spencer e l’attacco ransomware al settore retail nel Regno Unito

Data: Aprile 2025
Tipo di attacco: Ransomware e campagna coordinata di settore
Threat actor: Scattered Spider

Uno degli incidenti informatici più seguiti dell’anno è stata la campagna ransomware coordinata contro importanti retailer del Regno Unito, tra cui Marks & Spencer, Co-op e Harrods. L’attacco ha dominato i titoli dei giornali per settimane e ha dato il tono a un anno segnato dallo sfruttamento delle catene di fornitura e dall’esposizione intersettoriale.

Gli attaccanti, collegati al gruppo Scattered Spider, hanno utilizzato tecniche avanzate di social engineering per compromettere un fornitore di servizi di terze parti. Da lì sono riusciti a infiltrarsi in più reti retail, distribuire ransomware su misura, esfiltrare dati dei clienti ed emettere richieste di estorsione per impedire la divulgazione pubblica delle informazioni.

L’impatto finanziario è stato grave. Marks & Spencer ha riportato un crollo degli utili ante imposte da 391,9 milioni di sterline a soli 3,4 milioni di sterline nei sei mesi fino al 27 settembre. Le piattaforme di vendita online, i sistemi di pagamento e i servizi di carte regalo sono rimasti indisponibili per settimane, mentre Co-op ha subito gravi interruzioni della catena di fornitura e Harrods ha affrontato problemi alle casse e ritardi logistici.

Un’indagine intersettoriale guidata dalla National Crime Agency ha portato a diversi arresti e ha messo in luce gravi lacune nella gestione degli accessi di terze parti nel settore retail.

Punto chiave:
Questa campagna ha dimostrato come fornitori condivisi e integrazioni cloud possano rendere vulnerabili interi settori. Ha accelerato l’adozione di architetture Zero Trust, processi di onboarding dei fornitori più rigorosi e strategie di resilienza al ransomware più solide. 

 

 

Attacco alla catena di fornitura di Jaguar Land Rover

Data: Agosto 2025
Tipo di attacco: Ransomware e interruzione della supply chain
Threat actor: Scattered Lapsus$ Hunters

Ad agosto 2025, Jaguar Land Rover ha subito quello che è ampiamente considerato l’attacco informatico più costoso della storia del Regno Unito. Secondo il Cyber Monitoring Centre, il costo stimato è di 1,9 miliardi di sterline. La produzione è stata bloccata per cinque settimane e oltre 5.000 aziende della catena di fornitura globale sono state coinvolte, con un pieno ripristino operativo previsto non prima di gennaio 2026.

L’attacco è stato attribuito agli Scattered Lapsus$ Hunters, un collettivo criminale collegato a gruppi come Lapsus$, Scattered Spider e ShinyHunters. Sfruttando vulnerabilità nel software di fornitori terzi, gli attaccanti sono riusciti a muoversi lateralmente nei sistemi centrali di JLR. Il ransomware ha paralizzato le reti di produzione e logistica, costringendo alla chiusura temporanea di stabilimenti nel Regno Unito, in Slovacchia e in Brasile.

Oltre all’impatto operativo, il gruppo ha minacciato di divulgare dati sensibili su design e fornitori in caso di mancato pagamento di riscatti multimilionari.

Punto chiave:
L’incidente JLR ha dimostrato che gli attacchi informatici alla supply chain possono avere conseguenze fisiche ed economiche immediate. Ha rafforzato l’importanza della segmentazione delle tecnologie operative, della sicurezza delle dipendenze software e di controlli rigorosi sui fornitori.

 

image (1)

 

Attacco ai sistemi aeroportuali vMUSE di Collins Aerospace

Data: Marzo 2025
Tipo di attacco: Ransomware e compromissione di software per l’aviazione
Threat actor: Gruppo finanziariamente motivato, non identificato

Un attacco ransomware alla piattaforma vMUSE di Collins Aerospace ha causato disagi diffusi nel settore dell’aviazione europea. vMUSE è utilizzata da numerosi aeroporti per il check-in dei passeggeri e l’imbarco. L’attacco ha costretto le compagnie aeree a tornare a processi manuali per la gestione dei passeggeri e dei bagagli.

Oltre 20 aeroporti, tra cui Heathrow, Francoforte e Amsterdam Schiphol, hanno subito interruzioni operative, con migliaia di voli in ritardo o cancellati. La polizia britannica ha arrestato un uomo nell’ambito dell’indagine ai sensi del Computer Misuse Act, anche se il gruppo responsabile non è stato ufficialmente identificato.

In seguito all’incidente, l’Agenzia europea per la sicurezza aerea ha emesso linee guida urgenti sulla gestione del rischio di terze parti nei sistemi IT aeroportuali.

Punto chiave:
L’attacco a vMUSE ha evidenziato la fragilità dei sistemi critici condivisi e l’effetto a catena delle vulnerabilità dei fornitori. Ha rafforzato la necessità di ridondanza, monitoraggio delle minacce in tempo reale e maggiore supervisione delle tecnologie di terze parti nel settore dell’aviazione.

Violazione dei sistemi municipali di St. Paul

Data: Luglio 2025
Tipo di attacco: Ransomware e interruzione delle infrastrutture civiche
Threat actor: Presunto gruppo ransomware dell’Europa orientale

Nel luglio 2025, la città di St. Paul, in Minnesota, ha dichiarato lo stato di emergenza a seguito di un attacco ransomware che ha disabilitato sistemi municipali critici. L’attacco, attribuito al gruppo Interlock, ha compromesso un’unità di rete condivisa e cifrato i sistemi responsabili della fatturazione, del coordinamento delle emergenze e dei servizi ai cittadini.

Il municipio e gli uffici pubblici sono rimasti offline per oltre due settimane, rendendo necessario l’intervento federale e il supporto dell’unità cyber della Guardia Nazionale degli Stati Uniti. L’episodio ha riacceso il dibattito sul sottofinanziamento cronico delle infrastrutture IT locali.

Punto chiave:
La violazione di St. Paul ha messo in evidenza come sistemi legacy e patching ritardato rendano le infrastrutture civiche estremamente vulnerabili. Ha sottolineato l’urgenza di modernizzare le tecnologie, implementare controlli Zero Trust ed effettuare esercitazioni regolari di resilienza informatica.

 

_ IR ITA CTA

 

Violazione dei dati SalesLoft e compromissione di terze parti

Data di scoperta: Luglio 2025
Tipo di attacco: Compromissione della supply chain tramite integrazioni OAuth collegate a Salesforce
Threat actor: ShinyHunters, con collegamenti a Scattered Spider

Uno degli incidenti di supply chain più estesi del 2025 ha avuto come fulcro SalesLoft, una piattaforma di sales engagement ampiamente utilizzata e integrata con Salesforce. Gli attaccanti hanno sfruttato le integrazioni OAuth per ottenere accesso su larga scala agli ambienti dei clienti.

Tra le organizzazioni colpite figurava TransUnion, che ha segnalato l’esposizione dei dati personali di 4,46 milioni di consumatori statunitensi. Altre aziende coinvolte includevano Google, Workday, Farmers Insurance, Chanel e Qantas. Gli analisti di sicurezza hanno collegato la campagna a ShinyHunters, in collaborazione con gruppi come Scattered Spider, evidenziando una crescente tendenza verso modelli di estorsione che puntano su integrazioni ad alto valore.

Punto chiave:
La violazione di SalesLoft ha dimostrato come le integrazioni SaaS considerate affidabili possano diventare potenti vettori di attacco. L’incidente ha portato a un rinnovato focus su permessi OAuth, sicurezza delle identità e governance delle applicazioni di terze parti.

Altri importanti incidenti informatici del 2025

Oltre ai casi principali, diversi altri attacchi hanno contribuito a definire il panorama globale delle minacce:

  • Attacco ad Allianz Life: oltre un milione di persone coinvolte dopo l’accesso non autorizzato a un CRM di terze parti contenente dati sensibili dei clienti.
  • Violazione della Bank Sepah: in Iran, 42 milioni di record di clienti sottratti in un attacco su larga scala attribuito al collettivo Codebreakers, con la pubblicazione dei dati dopo il rifiuto di pagare il riscatto.
  • Attacco a UNFI: l’interruzione dei sistemi di United Natural Foods Inc. ha causato ritardi nella distribuzione alimentare in Nord America dopo il blocco dei sistemi di ordinazione elettronica.

Uno sguardo al 2026

Gli attacchi informatici del 2025 hanno chiarito un punto fondamentale. La resilienza digitale non può più essere affrontata in modo isolato. Il rischio di terze parti, le integrazioni cloud, l’esposizione delle tecnologie operative e la sicurezza delle identità sono ormai elementi centrali della difesa. Con l’evoluzione delle strategie nel 2026, le lezioni di quest’anno continueranno a influenzare il modo in cui aziende, governi e regolatori affrontano la cyber security in un mondo sempre più interconnesso.

 

Contattaci