Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un vero e proprio fattore abilitante del business. Viviamo in un contesto in cui un attacco ransomware può paralizzare completamente un’azienda, comprometterne la reputazione e, nei casi più gravi, portarla al fallimento. Oggi parleremo di un’altra storia, un’altra azienda che non ce l’ha fatta e che è fallita dopo aver combattuto fino all’ultimo contro un attacco informatico devastante.

La grande azienda tedesca Einhaus Group, specializzata in servizi assicurativi e di telefonia mobile, ha annunciato l’avvio di una procedura fallimentare.

La causa del crollo è stato un attacco informatico avvenuto nel marzo 2023, dalle cui conseguenze l’azienda non è mai riuscita a riprendersi.

Una mattina di metà marzo dell’anno scorso, il fondatore dell’azienda, Wilhelm Einhaus, si recò in ufficio e trovò una foto terribile. Su ogni stampante c’era un foglio di carta con un messaggio: “Vi abbiamo hackerato. Cercate ulteriori informazioni sul darknet“. Come si scoprì in seguito, l’attacco era stato effettuato dal gruppo di criminali informatici Royal. Gli aggressori avevano crittografato tutti i sistemi informatici dell’azienda, senza i quali era impossibile lavorare.

Gli hacker hanno chiesto un riscatto di circa 230.000 dollari in bitcoin per ripristinare l’accesso ai dati. La dirigenza di Einhaus Group si è trovata di fronte a una scelta difficile. Da un lato, gli esperti di sicurezza informatica sconsigliano vivamente di pagare gli estorsori, poiché ciò non farebbe altro che incoraggiare le loro attività. Dall’altro, senza computer funzionanti, l’azienda subiva ingenti perdite quotidiane.

Alla fine, l’azienda ha deciso di pagare il riscatto perché i danni causati dal downtime superavano la cifra richiesta. Secondo le stime di Einhaus, il danno totale causato dall’attacco si aggirava sulle sette cifre, ovvero diversi milioni di euro.

Il Gruppo Einhaus era tutt’altro che una piccola azienda. Aveva partnership con grandi aziende come Cyberport, 1&1 e Deutsche Telekom. Prima dell’attacco, impiegava 170 dipendenti. Tuttavia, riprendersi dal cyberattacco si è rivelato incredibilmente difficile.

L’azienda ha dovuto adottare drastiche misure di riduzione dei costi. Il personale è stato ridotto da oltre cento dipendenti a soli otto. Allo stesso tempo, i lavoratori rimasti hanno dovuto elaborare le domande e gestire la documentazione quasi manualmente: è difficile immaginare come ci siano riusciti.

A metà del 2024, l’azienda ha venduto la sua sede centrale e liquidato diversi investimenti nel tentativo di rimanere a galla. Sembrava esserci un barlume di speranza quando le forze dell’ordine tedesche hanno arrestato tre presunti hacker e confiscato criptovalute per un valore di ben sei cifre in euro.

Tuttavia, questa notizia non ha portato sollievo all’azienda interessata. La procura si è rifiutata di restituire i fondi confiscati fino al completamento delle indagini, nonostante i disperati tentativi del Gruppo Einhaus di riavere indietro i propri soldi tramite vie legali. Inoltre, questa azienda non è l’unica ad attendere la restituzione dei fondi: ci sono altre vittime dello stesso gruppo di hacker che si trovano in una situazione simile.

Di conseguenza, tre società collegate al Gruppo Einhaus hanno formalmente presentato istanza di fallimento. La liquidazione è solitamente il passo successivo, sebbene non sia sempre inevitabile. Wilhelm Einhaus, 72 anni, ha dichiarato di non avere intenzione di andare in pensione, anche se dovesse accadere il peggio. È pronto a “ricominciare tutto da capo”, ha detto.

La storia di Einhaus Group non è un caso isolato. La scorsa settimana è emerso il fallimento dell’azienda di trasporti britannica Knights of Old, attiva da 158 anni, che non è riuscita a sopravvivere a un attacco ransomware. A causa di un attacco informatico del gruppo Akira, l’azienda ha cessato l’attività e 700 persone hanno perso il lavoro.

Questi casi dimostrano chiaramente quanto i moderni attacchi informatici possano essere distruttivi per le aziende. Anche se un’azienda accetta le richieste degli hacker e paga il riscatto, ciò non garantisce il ripristino della normale operatività e può portare alla rovina finanziaria.

L'articolo Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti proviene da il blog della sicurezza informatica.

Un esperto di ransomware ha rivelato che gli hacker criminali minacciano sempre più spesso di ricorrere alla violenza fisica contro i dipendenti delle aziende prese di mira e le loro famiglie, per costringere le organizzazioni vittime a pagare i riscatti.

Secondo un sondaggio condotto da Censuswide per conto di Semperis su 1.500 professionisti della sicurezza informatica e dell’IT, i metodi più comuni per esercitare pressione da parte degli aggressori sono ancora quelli tradizionali, tra cui il blocco dei sistemi (52%) e la distruzione dei dati (63%). Quasi la metà dei professionisti intervistati (47%) provenienti da diversi Paesi ha riferito che gli aggressori hanno anche minacciato di presentare un reclamo contro di loro alle autorità di regolamentazione e di informarli che l’azienda stava cercando di nascondere loro informazioni su una grave violazione dei dati.

Ma la conclusione più allarmante a cui sono giunti i ricercatori sulla base del sondaggio è stata che il 40% degli intervistati aveva ricevuto minacce di violenza fisica da parte degli aggressori. “Le minacce di violenza fisica sono davvero spaventose”, ha dichiarato al Register Jeff Wichman, direttore della risposta agli incidenti presso Semperis . “Sono terrorizzato da quello che succederà dopo”.

Prima di guidare il team di risposta di Semperis, Wichman era un negoziatore professionista nel campo dei ransomware. Afferma che non è raro che gli aggressori contattino i dirigenti delle aziende prese di mira per minacciarle. “Minacciavano le loro famiglie: sapevano quali siti web visitavano, cosa facevano a casa”, spiega Wichman. “Gli aggressori sapevano dove vivevano i dirigenti, dove si trovavano le loro famiglie, quale scuola frequentavano i loro figli”.

Secondo l’esperto, le minacce di violenza fisica sono solitamente di natura generica, volte ad aumentare la tensione. “Se ti dico ‘Attaccherò i tuoi figli a scuola’, aumenterai la sicurezza a scuola. E se dico semplicemente ‘Prenderò la tua famiglia’, avrai paura di andare al supermercato, al cinema, ovunque”, spiega Wichman. Quel che è peggio è che l’esperto ritiene che in futuro tali minacce diventeranno più frequenti e ancora più gravi.

Nel complesso, il rapporto annuale di Semperis dipinge un quadro piuttosto cupo. La maggior parte degli intervistati (78%) ha subito attacchi ransomware nell’ultimo anno. Questa percentuale è leggermente inferiore rispetto al 2024 (83%). Tuttavia, nonostante il calo del numero complessivo di attacchi, le aziende impiegano più tempo per riprendersi dagli incidenti. Solo il 23% degli intervistati ha dichiarato di essersi ripreso entro un giorno (rispetto al 39% dell’anno scorso), mentre il 18% ha impiegato da una settimana a un mese. “Questo perché gli aggressori cercano di danneggiare l’infrastruttura il più possibile e le organizzazioni sono costrette a ripristinarla dai backup o addirittura da zero”, afferma Wichman.

Il rapporto rileva inoltre che, in media, il 15% delle organizzazioni che hanno pagato il riscatto non ha mai ricevuto chiavi funzionanti per decrittare i dati e che il 3% delle aziende colpite ha visto le proprie informazioni “trapelate” anche dopo il pagamento del riscatto. “Non credo che un’organizzazione possa pagare il riscatto e pensare di essere al sicuro”, afferma Wichman. “Ho visto molti casi in cui gli aggressori hanno promesso di cancellare i dati rubati, ma in realtà non l’hanno fatto. Si tratta di informazioni preziose che possono essere rivendute. Perché non ricavarci qualche soldo extra?”

L'articolo “Sappiamo Dove Vivono i Tuoi Figli!”. L’Incubo Ransomware si Aggrava proviene da il blog della sicurezza informatica.

Il mondo digitale non ha confini visibili. Per ogni sito che consultiamo, per ogni applicazione che usiamo ogni giorno, esistono intere porzioni di rete nascoste, invisibili ai motori di ricerca e protette da alti livelli di anonimato e di cifratura. Tra queste, quella che affascina di più il pubblico dei non addetti ai lavori è quella che chiamiamo Dark Web. Un universo parallelo fatto di forum chiusi, marketplace sotterranei e archivi di dati rubati. Un luogo dove si muovono figure con nomi in codice, dove l’economia si regge sulle criptovalute e sulla fiducia fra criminali, e dove il Threat Intelligencer trova uno dei suoi campi di azione fra i più delicati.

Contrariamente all’immaginario collettivo, il Dark Web non è un unico “posto”. È composto da una moltitudine di servizi, spesso ospitati sulla rete Tor, che operano al di fuori del web tradizionale. Ci sono forum come Exploit, Breached (nella sua forma originale e nelle sue reincarnazioni) o XSS, che funzionano come hub di discussione tra cybercriminali, scambiando consigli su exploit, malware e tecniche di evasione. Ci sono marketplace come Genesis Market (oggi smantellato dall’FBI ma rinato sotto altre forme), specializzati nella vendita di “identità digitali” complete, raccolte tramite infostealer come RedLine o Raccoon.

A rendere questi ambienti particolarmente difficili da investigare è la combinazione di tre elementi: l’anonimato garantito dai network onion, l’uso estensivo di criptovalute, e le barriere d’ingresso sociali. Non basta conoscere l’indirizzo di un sito onion: in molti casi, l’accesso è vincolato a inviti, referenze, una prova delle proprie competenze tecniche (come il coding di un malware funzionante) o un pagamento di “entry fee” non rimborsabili. Alcuni forum prevedono un meccanismo di reputation scoring interno, che impedisce a chiunque di partecipare a discussioni avanzate senza aver prima dimostrato affidabilità criminale.

In queste community, la figura del mediatore (escrow) è cruciale. Agisce come una sorta di notaio informale, garantendo che il venditore non sparisca con il pagamento prima della consegna. L’uso dell’escrow è comune anche per servizi illeciti: campagne Phishing-as-a-Service, accessi a reti RDP compromesse, botnet noleggiate per attacchi DDoS, e perfino custom builds di ransomware pronti per essere usati da operatori affiliati.

Uno degli strumenti più evidenti del crimine informatico moderno è il leak site, ovvero un sito pubblico (ma comunque ospitato nel Dark Web) dove gruppi ransomware pubblicano i dati sottratti alle vittime che si rifiutano di pagare un riscatto. L’elenco è lungo e in continua espansione: LockBit, ALPHV/BlackCat, Cl0p, RansomedVC, per citare i più attivi del 2024.

Ogni leak site è strutturato in modo simile: una homepage che elenca le vittime recenti con countdown alla pubblicazione completa, una sezione “sample” dove vengono mostrati i primi file come prova dell’avvenuta compromissione, e in alcuni casi un motore di ricerca interno per accedere ai dati già pubblicati. Questi contenuti, oltre a violare la privacy delle vittime e danneggiare la reputazione delle aziende, forniscono anche materia prima per ulteriori campagne criminali: spear phishing, furti d’identità, truffe a catena.
1 esempio di leak site

Monitorare questi ambienti è uno degli aspetti centrali della Threat Intelligence (TI) moderna. Le aziende che investono in un programma TI maturo sanno che un’attività reattiva – basata su antivirus e firewall – non è più sufficiente. Occorre essere proattivi: sapere chi sono gli attori ostili, come operano, quali strumenti stanno usando e quali obiettivi stanno prendendo di mira.
2 esempio di data leak di una banca. Notare la coppia di chiavi RSA

Un team di Threat Intelligencers non si limita a leggere quello che accade: colleziona, analizza e correla informazioni ottenute da fonti OSINT (open source), da feed commerciali, ma soprattutto da fonti chiuse del Dark Web. Questo lavoro è svolto con l’ausilio di strumenti specializzati ed utilizzando anche personas digitali: identità fittizie costruite per infiltrarsi nei forum senza destare sospetti.

Gli analisti cercano segnali deboli: una discussione che suggerisce l’interesse verso un certo settore industriale, un account che vende accessi VPN con il nome della propria azienda tra le vittime, un malware che sembra progettato per bypassare le protezioni di un sistema specifico. In questi casi, il tempo è essenziale. La possibilità di reagire prima della fase di attacco, la cosiddetta left of boom, può significare evitare un disastro.

Nel 2024, una multinazionale del settore sanitario ha rilevato l’offerta di accessi privilegiati alla propria rete interna su un forum underground. Grazie al monitoraggio attivo, il team TI ha scoperto che si trattava di credenziali compromesse di un fornitore terzo. In 36 ore sono riusciti a revocare gli accessi, notificare il fornitore e rafforzare le difese. Quell’accesso era destinato a un attacco ransomware. È stato disinnescato prima ancora che il gruppo criminale potesse agire.

Un altro caso significativo riguarda l’uso di doxing: la pratica di pubblicare informazioni sensibili su dipendenti di alto livello per esercitare pressione. In un attacco del gruppo RansomedVC a una banca europea, sono state rese pubbliche le email interne tra il CEO e il consiglio d’amministrazione, nel tentativo di spingerli a pagare in fretta. Il team TI, monitorando i leak site e i canali Telegram affiliati al gruppo, ha potuto anticipare la pubblicazione completa e preparare una strategia di comunicazione e risposta.

Il Dark Web non è solo un mondo oscuro da cui difendersi, ma una finestra sulla minaccia futura. Un osservatorio privilegiato che permette di capire in anticipo cosa bolle in pentola. Nuove vulnerabilità (come la CVE-2024-21413, sfruttata appena pubblicata per compromettere Microsoft Outlook), tool automatizzati per attacchi massivi, servizi di phishing con modelli generati dall’AI in tempo reale. Tutto questo nasce e si evolve in quei forum. Ignorarli significa lasciare che l’avversario giochi sempre in anticipo.

Per questo sempre più aziende italiane stanno integrando la Threat Intelligence nei propri processi di sicurezza, trasformandola da attività specialistica a componente strategica della gestione del rischio. Non si tratta solo di danni tecnici: un attacco informatico può compromettere il brand, la fiducia dei clienti e la continuità operativa, rendendo essenziale includere queste attività nel Business as Usual. Il lato oscuro della rete è reale, affollato e in continua evoluzione. Con gli strumenti giusti, le competenze adeguate e un approccio metodico, il lavoro quotidiano e silente del Threat Intelligencer vi mette in grado non solo di difendervi, ma anche di guardare il nemico negli occhi prima che sia lui a bussare alla vostra porta.

L'articolo Dentro il Dark Web. Threat Intelligencer At work proviene da il blog della sicurezza informatica.

Our next member meeting is today, 8/3 at 8pm. The agenda page is up.

Contact us if you want to add anything or bring it up at the meeting.

It will be a video meeting at our community bridge page.

Previous meeting:

• agenda: masspirates.org/wiki/July_13th…
• recording: youtu.be/r-TOtiFxrBo

masspirates.org/blog/2025/08/0…

Dear Friend of Press Freedom,

It’s been 129 days that Rümeysa Öztürk is facing deportation by the United States government for writing an op-ed it didn’t like, and the 47th day that Mario Guevara has been imprisoned for covering a protest. Read on for more, and click here to subscribe to our other newsletters.

Lose the law license, keep the lapel pin

This week we filed an ethics complaint with the Washington, D.C., attorney disciplinary commission against Federal Communications Commission Chair Brendan Carr, calling for him to be disbarred.

Carr’s approval of the $8 billion merger between Paramount Global and Skydance Media, which came after Paramount agreed to pay President Donald Trump $16 million to settle his frivolous lawsuit, was the last straw. It’s clear that Carr is abusing his power to help the president, whose face he wears as a lapel pin (seriously), use the court system to extract payments that U.S. senators and plenty others have called illegal bribes.

“Trump’s shakedown of Paramount could not have worked without a credible threat that the administration would not approve Paramount’s merger with Skydance unless it paid up,” Freedom of the Press Foundation (FPF) Advocacy Director Seth Stern told Status. “It seems obvious to us that a licensed attorney should not be able to help his boss make a mockery of the legal system by laundering bribes through the courts without consequence.”

Read the complaint here.

FPF sues over Qatari plane secrecy

Two months ago, Attorney General Pam Bondi issued a memo giving the Trump administration permission to accept a $400 million jet from Qatar to use as Air Force One.

The memo argued this was permissible as long as the plane was transferred to the Trump presidential library foundation at the end of Trump’s term. But the document, and Bondi’s basis for that politically convenient conclusion, have never been made public.

FPF, represented by watchdog group American Oversight, filed a Freedom of Information Act lawsuit this week to force the Justice Department to release the memo. Read more here.

Google search exploited to censor reporting on censorship

On a Friday afternoon in mid-June, independent journalist Jack Poulson made a curious discovery: An article that we published about the aggressive attempts of a San Francisco-based tech executive named Maury Blackman to censor Poulson’s reporting about his sealed domestic violence arrest had, itself, disappeared from Google search results.

After Poulson alerted us to the issue, we investigated, and found that the article vanished from Google search because of a novel maneuver that apparently hasn’t been publicly well documented before: a sustained and coordinated abuse of Google’s “Refresh Outdated Content” tool. Now that Google says it has fixed the glitch so it can’t be further exploited, we can reveal what we found. Read more here.

The libel-proof president

Trump’s latest frivolous lawsuit, against The Wall Street Journal over its reporting on his ties to Jeffrey Epstein, faces plenty of legal obstacles.

One of them should be the “libel-proof plaintiff” doctrine, which theorizes that some people are so reputationally damaged, either across the board or on a certain topic, that even false statements about them can’t make it quantifiably worse.

As Stern wrote for The Palm Beach Post, the doctrine is often used against private litigants with long criminal records. That’s a tough sell to judges who believe in rehabilitation, which is likely why the doctrine is rarely applied. A better use may be as an added layer of defense to libel suits by disgraced politicians and public figures like Trump. Read the op-ed here.

What we’re reading

’If You Can Keep It’: Weakening whistleblower protections (NPR). The Trump administration is trying to portray journalism as a threat to national security. FPF’s Lauren Harper debunked these claims on “1A.”

Anna Gomez’s lonely fight (Columbia Journalism Review). Despite the FCC’s obligation to refrain from censorship, Commissioner Anna Gomez says a local station manager instructed reporters to “be extra careful about how they described the administration, because they couldn’t afford to be dragged before the FCC.” Also listen to FPF’s June conversation with Gomez here.

This U.S. citizen recorded an immigration arrest. Officers told him to delete it or face charges. (Reason). The constitutional right to record law enforcement applies equally to immigration officers, and this story shows why.

The fight for free speech goes corporate (Columbia Journalism Review). “People can’t trust a news outlet that is bribing the same officials it’s supposed to hold accountable,” FPF’s Stern said.

A more perfect media (Free Press). Read this new report on corporate influence on the media from Free Press (not the Bari Weiss one). It accompanies their new Media Capitulation Index.

freedom.press/issues/lose-the-…

@Roma

Oltre un milione di persone presenti a Tor Vergata per il Giubileo dei Giovani "è un numero più che attendibile perché le aree, come si vede dall'aereo, sono tutte piene e sono aree che possono contenere" quel numero.

Così il prefetto di Roma, Lamberto Giannini, parlando con i cronisti nella sala grandi eventi della Questura di Roma.

ansa.it/sito/notizie/topnews/2…

Prefetto Roma, 'oltre un milione di persone a Tor Vergata' - Ultima ora - Ansa.it

Oltre un milione di persone presenti a Tor Vergata per il Giubileo dei Giovani "è un numero più che attendibile perché le aree, come si vede dall'aereo, sono tutte piene e sono aree che possono contenere" quel numero. (ANSA)

^{Agenzia ANSA}

Comincio a credere si potrebbe fare un "baby-verso", ovvero un fediverso circoscritto a istanze che mostrano solo contenuti per minori.

Un bacino social in cui farsi le ossa prima di cominciare a navigare in mare aperto.