Qilin domina le estorsioni informatiche: NCC Group registra 651 incidenti
Qilin è stato il gruppo più attivo nelle estorsioni informatiche nel primo mese dell’anno, con 108 attacchi attribuiti — circa il 17% del totale segnalato dagli analisti. Lo rileva il bollettino mensile di NCC Group, che ha contato complessivamente 651 incidenti, una diminuzione del 17% rispetto al mese precedente.
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.
Commento dell’analista
Marco Santini, analista indipendente con precedenti esperienze in ambito finanziario, avverte che una flessione nei numeri aggregati non esclude la possibilità di colpi particolarmente dannosi.
Sul piano normativo, la persistenza di attacchi contro infrastrutture essenziali rafforza l’urgenza di rafforzare i controlli interni e le pratiche di compliance.
Chi è Qilin e come opera
Qilin è attivo da circa tre anni e si è fatto notare per un modello operativo molto scalabile: il ransomware-as-a-service. Il gruppo fornisce strumenti e infrastrutture a una rete di affiliati che eseguono le intrusioni quotidiane. Questo meccanismo amplia la portata degli attacchi ma rende più difficile attribuire responsabilità tecniche e organizzare risposte difensive efficaci: le indagini si trovano spesso a districare una catena di attori parziali e dolorosamente opaca.
Distribuzione geografica e settoriale delle vittime
Secondo i report di Cisco Talos, la maggior parte delle vittime si trova negli Stati Uniti (333 organizzazioni segnalate), seguita da Canada, Regno Unito, Francia e Germania.
Il Regno Unito, in particolare, registrava circa 24 vittime nella rilevazione autunnale di Talos.
Gli obiettivi spaziano su più settori: infrastrutture critiche, servizi professionali, industria, IT e consumer discretionary. Questa dispersione rende la mitigazione più complessa e aumenta il rischio di effetti a catena nella supply chain: un attacco a un fornitore può riverberarsi su molte organizzazioni collegate.
Settori maggiormente colpiti
Qilin tende a mirare a realtà dove la continuità operativa e la sensibilità dei dati aumentano il potenziale di estorsione. L’industria è stata il più bersagliato (32% degli incidenti), seguita dal settore consumer discretionary (23%) e da quello IT (11%).
Panorama competitivo: altri gruppi in attività
Accanto a Qilin, molte altre famiglie criminali sono risultate attive: Akira con 68 attacchi, Sinobi 56, INC Ransom 47 e Cl0p 46.
La molteplicità di attori alimenta un flusso costante di segnalazioni provenienti da leak site, forum del dark web e canali social, complicando la lettura delle tendenze reali.
La sovrapposizione delle fonti rende necessario un lavoro di verifica rigoroso: falsi positivi, segnalazioni duplicate o attribuzioni incerte generano “rumore” che può confondere le analisi e mascherare campagne coordinate rispetto ad attività episodiche.
Un caso esemplare: attacco al capitolo Local 100 del Transport Workers Union
Tra gli episodi recenti, Qilin ha rivendicato la compromissione del capitolo Local 100 del Transport Workers Union of America, sostenendo di aver pubblicato dati relativi a circa 41.000 lavoratori attivi e 26.000 ex dipendenti. I file contenevano informazioni personali identificabili — contatti, salari, dettagli sui benefici sanitari e sui piani pensionistici — elementi che possono alimentare frodi, furti d’identità e attacchi di social engineering, compromettendo la fiducia degli iscritti.
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.0
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.1
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.2
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.3
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.4
Tuttavia, il calo nel conteggio mensile non significa che il rischio sia sceso. Attacchi isolati ma di grande impatto continuano a mettere sotto pressione infrastrutture critiche: nelle ultime settimane sono state rivendicate violazioni a danno di enti sindacali e strutture sanitarie, con potenziali esposizioni di dati sensibili appartenenti a migliaia di persone.5
