Commissione Europea violata: ShinyHunters rivendica oltre 350 GB sottratti dall'infrastruttura AWS

La Commissione Europea ha confermato ufficialmente di aver subìto un attacco informatico che ha compromesso l’account Amazon Web Services utilizzato per ospitare la presenza web istituzionale sulla piattaforma Europa.eu. L’incidente è al momento oggetto di indagine forense interna e rappresenta il secondo episodio di sicurezza significativo registrato dall’istituzione nel corso del 2026.

I fatti confermati ufficialmente

La portavoce della Commissione Europea Nika Blazevic ha dichiarato a TechCrunch che “sono state adottate misure immediate e l’attacco è stato contenuto”, confermando che i sistemi interni dell’istituzione non sono stati colpiti dal cyberattacco. L’istituzione ha pubblicato un comunicato stampa ufficiale sul portale Europa.eu, nel quale si legge che “i primi risultati dell’indagine in corso suggeriscono che dei dati sono stati sottratti da quei siti web” e che “la Commissione sta notificando le entità dell’Unione che potrebbero essere state interessate dall’incidente”.

L’attacco è stato scoperto il 24 marzo 2026 attraverso il monitoraggio ordinario dei sistemi. Come confermato da Bloomberg, l’attacco ha colpito l’account AWS dell’istituzione ed è stato rilevato e bloccato prima di potersi propagare ulteriormente. La segmentazione architetturale tra l’infrastruttura cloud pubblica e le reti interne ha impedito qualsiasi movimento laterale verso i sistemi operativi critici.

Amazon Web Services ha rilasciato una dichiarazione ufficiale, riportata da BleepingComputer, in cui precisa che “AWS non ha subìto alcun evento di sicurezza e i propri servizi hanno operato come previsto”. Questo dettaglio sposta la responsabilità della violazione verso le credenziali di accesso agli account cloud gestiti dalla Commissione, non verso un difetto dell’infrastruttura del provider.

La rivendicazione di ShinyHunters

Il 26 marzo 2026, il gruppo cybercriminale ShinyHunters ha aggiunto la Commissione Europea al proprio sito di data leak sul dark web, con un aggiornamento pubblicato il 28 marzo. La rivendicazione, documentata da Security Affairs, sostiene la sottrazione di oltre 350 GB di dati non compressi, inclusi dump di server di posta elettronica, database, documenti riservati e contratti interni.

Va precisato che, come sottolineato da Hackread, al momento in cui si scrive non esiste ancora una verifica indipendente del contenuto dei dati pubblicati dal gruppo. Gli attaccanti affermano che i file sono stati ottenuti attraverso una compromissione dei sistemi, ma non hanno fornito dettagli tecnici a supporto di tale dichiarazione. Il threat actor ha dichiarato di non voler procedere con un’estorsione finanziaria, preferendo la pubblicazione pubblica del materiale in un secondo momento: una scelta che, come analizzato da Cybernews, sposta il rischio dall’estorsione immediata al danno reputazionale e geopolitico di lungo periodo.

Il vettore di attacco è ancora sconosciuto

Il vettore di attacco non è stato ancora reso pubblico. Come evidenziato da The Tech Portal, il problema è ritenuto collegato a credenziali compromesse o controlli di accesso insufficienti, non a una falla nell’infrastruttura di AWS stessa. Gli attaccanti non hanno divulgato le modalità tecniche di accesso agli account compromessi.

Su questo punto, Kellman Meghu, Chief Technology Officer della società canadese di incident response DeepCove Cybersecurity, ha commentato a CSO Online che “c’è pochissima informazione disponibile, ma questo suona male. La realtà è che l’identity access management è difficile, e non solo in AWS. È la stessa sfida con tutta l’infrastruttura. Basta un solo errore.”

Il commento degli esperti

Nick Tausek, Lead Security Automation Architect di Swimlane, citato da Cybernews, ha osservato che se la compromissione è profonda quanto suggerito dal presunto bottino da 350 GB:

“il raggio d’azione va ben oltre un singolo account cloud administrator. L’accesso a database multipli, a dati dei dipendenti e a un server email interno apre la porta a rischi di identità, disruption operativa e attacchi di secondo livello come lo spear-phishing.”

Ilia Kolochenko, CEO di ImmuniWeb, intervistato da CSO Online, ha definito l’incidente “un grave avvertimento che la regolamentazione europea sulla cybersecurity, che alcuni esperti percepiscono come eccessiva e inutilmente complessa, non è una panacea contro le violazioni dei dati”. Kolochenko ha aggiunto che gli attaccanti “sono hacktivisti o mercenari informatici al servizio di uno Stato”, e che “in considerazione della turbolenza geopolitica globale, tali attacchi probabilmente si intensificheranno nel 2026. Il problema è che in questi casi gli attaccanti raramente valutano i propri costi e possono investire persistentemente tempo e risorse in campagne sofisticate contro le organizzazioni più protette.”

Il contesto: secondo incidente in meno di due mesi

Come documentato da BleepingComputer, il 30 gennaio 2026 era stato rilevato un attacco separato al sistema di mobile device management della Commissione, collegato a vulnerabilità di code injection nel software Ivanti Endpoint Manager Mobile e parte di un’ondata più ampia che ha colpito anche l’Autorità olandese per la protezione dei dati e l’agenzia governativa finlandese Valtori. Quell’attacco era stato contenuto in nove ore senza che alcun dispositivo mobile venisse compromesso.

Va ricordato che, come segnalato da Security Affairs, il Consiglio dell’Unione Europea ha recentemente sanzionato tre aziende cinesi e iraniane per attacchi informatici alle infrastrutture critiche degli Stati membri, e che la Commissione aveva presentato a gennaio 2026 un nuovo pacchetto legislativo sulla cybersecurity proprio per rafforzare le difese contro attori statali e gruppi criminali.

Le misure di risposta in atto

Le misure di contenimento hanno incluso la rotazione delle credenziali, la revisione degli accessi agli ambienti cloud e il rafforzamento del monitoraggio delle attività. Come riportato da Cyber Security News, i team di sicurezza stanno conducendo un’analisi forense completa per determinare l’impatto tecnico totale della violazione, con monitoraggio continuo della rete per rilevare eventuali meccanismi di accesso persistente lasciati dagli attaccanti. Le evidenze raccolte verranno applicate direttamente al rafforzamento dell’architettura cloud istituzionale.

Condividi sui Social Network:

Ultimi Articoli

Handala viola l’email personale del Direttore dell’FBI Kash Patel: la risposta dell’Iran alla guerra cyber
A cura di:Redazione Pubblicato il30 Marzo 2026

Il gruppo filo-iraniano Handala Hack Team ha pubblicato online foto e documenti estratti dall’account Gmail personale del capo dell’FBI. Una rappresaglia simbolica e strategica nel contesto del conflitto Iran-USA/Israele. Il 27 marzo 2026, il gruppo hacktivista Handala Hack Team ha rivendicato la violazione dell’account email personale di Kash Patel, Direttore del Federal Bureau of Investigation…

Leggi di più Handala viola l’email personale del Direttore dell’FBI Kash Patel: la risposta dell’Iran alla guerra cyber
Iran cyber warfare: 30 giorni di guerra digitale
A cura di:Redazione Pubblicato il30 Marzo 202630 Marzo 2026

Al trentesimo giorno di blackout Internet quasi totale, l’Iran cyber warfare continua a colpire infrastrutture critiche occidentali attraverso una rete di proxy fidati, nonostante la drastica degradazione della connettività interna. Il caso Handala, dal wiper attack su Stryker alla violazione dell’account email personale del direttore dell’FBI Kash Patel, rappresenta il punto di massima escalation di…

Leggi di più Iran cyber warfare: 30 giorni di guerra digitale
Attacchi informatici ai dispositivi medicali: rischi per pazienti e ospedali
A cura di:Maria Vittoria Zucca Pubblicato il30 Marzo 202610 Marzo 2026

Gli attacchi informatici ai dispositivi medicali rappresentano oggi una delle sfide più critiche per la sanità digitale. La crescente diffusione di IoMT, robotica e sistemi di intelligenza artificiale negli ospedali ha migliorato diagnosi, terapie e assistenza, ma ha anche ampliato la superficie d’attacco per hacker e cybercriminali. Questo articolo analizza i rischi concreti legati alla…

Leggi di più Attacchi informatici ai dispositivi medicali: rischi per pazienti e ospedali
14° Cyber Crime Conference: Roma, 6 e 7 maggio 2026 – Anticipazione Programma
A cura di:Redazione Pubblicato il27 Marzo 202626 Marzo 2026

Il cybercrime del 2026 non assomiglia a quello di cinque anni fa. Non per intensità, che era già estrema, ma per natura. Quello che stiamo osservando è una trasformazione strutturale: il crimine informatico ha cessato di essere un fenomeno tecnico-criminale circoscritto e si è evoluto in un sistema complesso in cui geopolitica, intelligenza artificiale autonoma…

Leggi di più 14° Cyber Crime Conference: Roma, 6 e 7 maggio 2026 – Anticipazione Programma
Operazione Lockheed Martin: doppio attacco iraniano, fino a 375 TB di dati e un ultimatum di 48 ore agli ingegneri
A cura di:Redazione Pubblicato il27 Marzo 2026

Nella settimana più intensa del conflitto cyber Iran-USA-Israele, il più grande contractor della difesa americano è stato colpito due volte in pochi giorni da gruppi hacker pro-iraniani. APT Iran rivendica la sottrazione di dati da Lockheed Martin, inclusi i blueprints dell’F-35. Handala ha fatto di più: ha doxxato 28 ingegneri, li ha chiamati a casa…

Leggi di più Operazione Lockheed Martin: doppio attacco iraniano, fino a 375 TB di dati e un ultimatum di 48 ore agli ingegneri
Ransomware nel settore sanitario: analisi degli attacchi e strategie di difesa
A cura di:Maria Vittoria Zucca Pubblicato il27 Marzo 202610 Marzo 2026

I ransomware nel settore sanitario hanno un impatto diretto sulla continuità operativa di ospedali, strutture sanitarie e sistemi di cura. Questo articolo fa parte di una serie dedicata all’analisi approfondita della cybercriminalità sanitaria e si focalizza specificamente sugli attacchi ransomware che colpiscono ospedali, strutture sanitarie e sistemi di cura. Ransomware nel settore sanitario: anatomia della…

Leggi di più Ransomware nel settore sanitario: analisi degli attacchi e strategie di difesa

Handala viola l’email personale del Direttore dell’FBI Kash Patel: la risposta dell’Iran alla guerra cyber

Iran cyber warfare: 30 giorni di guerra digitale

14° Cyber Crime Conference: Roma, 6 e 7 maggio 2026 – Anticipazione Programma

Operazione Lockheed Martin: doppio attacco iraniano, fino a 375 TB di dati e un ultimatum di 48 ore agli ingegneri

Ransomware nel settore sanitario: analisi degli attacchi e strategie di difesa

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine