Cybercrime e hacker - autorità britanniche hanno arrestato quattro persone in relazione agli attacchi informatici

Cybercrime: nel Regno Unito arrestati presunti hacker, attacchi da 440 Milioni a M&S, Co-op e Harrods

A cura di:Redazione 11 Luglio 2025

La National Crime Agency (NCA) del Regno Unito ha annunciato il 10 luglio 2025 l’arresto di quattro persone in relazione a una serie di attacchi informatici su larga scala che hanno colpito i giganti del retail britannico Marks & Spencer (M&S), Co-op e Harrods all’inizio dell’anno. Gli individui, due uomini di 19 anni, un ragazzo di 17 anni e una donna di 20 anni, sono stati presi in custodia durante raid coordinati nelle loro residenze a Londra e nelle West Midlands.

Le accuse mosse contro i sospettati sono gravi e includono reati ai sensi del Computer Misuse Act, ricatto, riciclaggio di denaro e coinvolgimento nelle attività di un gruppo criminale organizzato. Durante le operazioni, gli ufficiali della National Cyber Crime Unit della NCA hanno sequestrato numerosi dispositivi elettronici per analisi forensi digitali, e tutti e quattro rimangono in custodia per ulteriori interrogatori. Paul Foster, vicedirettore e capo della National Cyber Crime Unit della NCA, ha sottolineato che l’indagine è stata una priorità assoluta per l’Agenzia e che questi arresti rappresentano un “passo significativo” nel perseguire i responsabili.

L’età relativamente giovane dei sospettati (17-20 anni) si allinea con i profili noti di gruppi come Scattered Spider, spesso descritto come un collettivo di “giovani hacker” e una “crew di cybercriminali decentralizzata”. Questa tendenza evidenzia una sfida crescente per le forze dell’ordine: l’emergere di attori con elevate competenze tecniche ma potenzialmente meno esperienza operativa o una minore aderenza alle tradizionali strutture criminali, il che può renderli più suscettibili all’errore e, di conseguenza, all’arresto.

Le accuse di “partecipazione alle attività di un gruppo criminale organizzato” sono particolarmente rilevanti. Nonostante la natura “liberamente affiliata” o “decentralizzata” di gruppi come Scattered Spider , l’approccio delle autorità indica una ferma volontà di considerare queste operazioni come parte di un’impresa criminale strutturata. Questo riflette una comprensione più profonda della cybercriminalità moderna, che spesso opera attraverso reti fluide e basate su progetti, consentendo alle forze dell’ordine di applicare sanzioni più severe e di estendere le indagini a una rete più ampia.

Il contesto dei cyber attacchi: un’offensiva mirata al settore retail

Gli attacchi informatici che hanno portato a questi arresti si sono verificati nell’aprile 2025. Il Cyber Monitoring Centre (CMC), un organismo indipendente supportato dall’industria assicurativa , ha classificato gli incidenti che hanno colpito Marks & Spencer e Co-op come un “singolo evento cyber combinato”. Questa classificazione è stata motivata dal fatto che un unico attore ha rivendicato la responsabilità per entrambi gli attacchi e che le tattiche, tecniche e procedure (TTP) impiegate erano simili. L’evento è stato inoltre categorizzato come un “evento sistemico di Categoria 2” , evidenziando la sua capacità di generare un rischio significativo per l’intero settore.

L’impatto finanziario complessivo di questi attacchi è stato stimato tra £270 milioni ($363 milioni) e £440 milioni ($592 milioni). Marks & Spencer, in particolare, ha previsto perdite fino a £300 milioni, con il recupero operativo che si prevede si estenderà nella seconda metà dell’anno. La sua capitalizzazione di mercato ha subito un calo drastico, stimato tra £500 milioni e £750 milioni.

Anche Co-op ha visto il valore delle sue azioni crollare del 30-40% in seguito all’incidente. Questi numeri colossali non sono solo la somma delle perdite individuali, ma riflettono un rischio sistemico che può destabilizzare interi settori economici, influenzando potenzialmente le politiche assicurative, la regolamentazione e gli investimenti in cybersecurity a livello di settore.

Analisi degli incidenti: vettori, minacce e impatto operativo

Gli attacchi sono stati attribuiti principalmente al gruppo ransomware DragonForce, che si ritiene operi in collaborazione con il threat actor Scattered Spider (noto anche come UNC3944). Scattered Spider è tristemente noto per le sue tattiche sofisticate di ingegneria sociale. La tattica comune impiegata è stata la “double extortion”, che prevede sia la crittografia dei sistemi che l’esfiltrazione dei dati, seguita da una richiesta di riscatto per la decrittografia e la cancellazione dei file rubati.

Marks & Spencer (M&S)

L’attacco a M&S è iniziato già a febbraio 2025 con l’accesso iniziale alla rete. Il vettore principale è stato l’ingegneria sociale, sfruttando un fornitore terzo, Tata Consultancy Services (TCS), che gestisce l’helpdesk IT di M&S. Gli attaccanti hanno impersonato personale IT interno per ingannare gli operatori dell’helpdesk, ottenendo credenziali e riuscendo a disabilitare l’autenticazione multi-fattore (MFA).

Una volta all’interno, hanno esfiltrato il file NTDS.dit del controller di dominio Windows, che contiene gli hash delle password per tutti gli utenti del dominio. Questi hash sono stati poi crackati offline per ottenere credenziali in chiaro. Utilizzando accessi Windows legittimi, si sono mossi lateralmente nella rete e, il 24 aprile, hanno distribuito il payload del ransomware DragonForce sugli host VMware ESXi, crittografando macchine virtuali che supportavano e-commerce, elaborazione pagamenti e logistica.

L’impatto operativo è stato devastante: M&S è stata costretta a sospendere gli ordini online per sei settimane , ha subito interruzioni diffuse nei pagamenti in 500 negozi e ha registrato il furto di dati personali dei clienti, inclusi nomi, dettagli di contatto, informazioni parziali di pagamento, date di nascita e cronologie ordini online. L’azienda ha dovuto ricorrere a procedure manuali per la gestione delle scorte e dei rifornimenti, causando scaffali vuoti e disagi significativi ai clienti.

Co-op

Per Co-op, l’accesso non autorizzato è stato rilevato il 22 aprile. L’accesso iniziale è avvenuto tramite un attacco di ingegneria sociale, che ha permesso il reset della password di un dipendente. Gli attaccanti hanno rubato il file Windows NTDS.dit e hanno affermato di aver avuto accesso alla rete per un periodo significativo prima di essere scoperti. L’attacco ha compromesso i dati personali del programma di adesione Co-op, tra cui nomi, date di nascita, informazioni di contatto e dettagli di adesione. L’azienda ha subito interruzioni nei pagamenti e problemi di rifornimento.

Una strategia di risposta cruciale adottata da Co-op è stata la decisione proattiva del suo team IT di disconnettere i servizi informatici, impedendo ai criminali di completare l’attacco ransomware. Gli attaccanti stessi hanno confermato che la rete Co-op “non ha mai subito ransomware” perché l’azienda “ha staccato la spina”. Questa mossa, sebbene abbia causato interruzioni immediate, è stata definita una “buona mossa” da esperti di cybersecurity, limitando i danni rispetto a M&S. Co-op ha successivamente annunciato un investimento di $50 milioni in cybersecurity per rafforzare le proprie difese.

Harrods

Harrods ha confermato un tentativo di accesso non autorizzato ai suoi sistemi nel maggio 2025. Come misura precauzionale, il negozio ha limitato l’accesso a internet nei suoi siti. I dettagli sulla gravità della violazione o sull’esposizione dei dati dei clienti non sono stati rivelati , né è stato divulgato se l’attacco abbia coinvolto ransomware o richieste di estorsione. Tuttavia, la vicinanza temporale con gli altri attacchi suggerisce un possibile collegamento allo stesso attore, con Scattered Spider come probabile colpevole.

Retailer	Attore della Minaccia Principale	Vettore d’Attacco Iniziale	Dati Compromessi (se noti)	Impatto Operativo Chiave
M&S	DragonForce / Scattered Spider	Ingegneria Sociale (Helpdesk TCS)	Nomi, contatti, parziali pagamenti, DOB, cronologia ordini	Sospensione ordini online (6 settimane), interruzioni pagamenti, scaffali vuoti
Co-op	DragonForce / Scattered Spider	Ingegneria Sociale (Reset Password Dipendente)	Nomi, DOB, contatti, dettagli membership	Interruzioni pagamenti, problemi rifornimento, shutdown proattivo dei sistemi
Harrods	Sconosciuto (possibile Scattered Spider)	Accesso non autorizzato	Non rivelato	Restrizione accesso internet (precauzionale)

Il fatto che gli attacchi a M&S e Co-op siano partiti da ingegneria sociale e dalla compromissione di terze parti o dipendenti evidenzia una vulnerabilità persistente: il fattore umano. Questa tattica aggira le difese perimetrali tradizionali, sfruttando la fiducia e l’errore umano. La gestione del rischio dei fornitori terzi e la formazione continua sull’ingegneria sociale, insieme a robuste politiche di verifica dell’identità per i servizi di helpdesk, sono cruciali.

L’esfiltrazione del file NTDS.dit di Active Directory (AD) in entrambi gli attacchi M&S e Co-op è una tecnica altamente efficace. Questo file contiene gli hash delle password di tutti gli utenti del dominio, consentendo agli aggressori di ottenere credenziali in chiaro offline e di muoversi lateralmente nella rete con account legittimi, eludendo il rilevamento. La protezione di AD con hardening rigorosi, monitoraggio avanzato dei log e MFA per gli account privilegiati è fondamentale.

La decisione di Co-op di disconnettere proattivamente i propri sistemi per prevenire la completa crittografia del ransomware , sebbene costosa in termini di interruzione immediata, ha limitato significativamente il danno complessivo. Questo dimostra l’importanza di un piano di risposta agli incidenti ben definito e della capacità di prendere decisioni rapide e drastiche per contenere la minaccia.

La risposta delle Forze dell’Ordine e le implicazioni per la sicurezza informatica

L’indagine della NCA è stata una “priorità massima” sin dagli attacchi. Paul Foster della NCA ha ringraziato M&S, Co-op e Harrods per il loro supporto alle indagini, sottolineando l’importanza della collaborazione tra vittime e forze dell’ordine. L’attività operativa è stata supportata da unità regionali di criminalità organizzata (West Midlands ROCU, East Midlands Special Operations Unit) , dimostrando un approccio coordinato e multi-agenzia alla lotta contro la cybercriminalità nel Regno Unito. Questo livello di coordinamento è cruciale per il successo delle indagini complesse, combinando l’intelligence nazionale con le capacità operative locali.

La presenza di un cittadino lettone tra gli arrestati in un gruppo principalmente associato a hacker di lingua inglese (Scattered Spider) indica che, anche per gruppi apparentemente “locali”, la portata delle operazioni cybercriminali può essere transnazionale. Questo rafforza la necessità di una robusta cooperazione internazionale tra le forze dell’ordine per contrastare efficacemente la cybercriminalità, richiedendo condivisione di intelligence e coordinamento operativo oltre i confini nazionali.

Jake Moore di ESET ha commentato che gli arresti sono un “duro colpo” per la gang, che “non eliminerà gli attacchi futuri ma interromperà le reti criminali”. Questa analisi riflette la realtà della lotta alla cybercriminalità: sebbene non si possa “eradicare” il problema, la “disruzione” delle reti è un obiettivo raggiungibile e cruciale. Gli arresti di membri chiave possono paralizzare temporaneamente le operazioni di un gruppo, costringendoli a riorganizzarsi o a sciogliersi, aumentando il rischio percepito per gli attori delle minacce.

La NCA e altre agenzie come l’FBI e Europol sconsigliano vivamente di pagare i riscatti, poiché ciò alimenta il ciclo della cybercriminalità e non garantisce il recupero dei dati. Questa posizione è una strategia chiara per interrompere il modello di business del ransomware, spostando il focus dalla reazione al pagamento alla prevenzione e al recupero robusto.

Cybercrime: lezioni cruciali per i professionisti della cybersecurity

Questi incidenti offrono diverse lezioni fondamentali per i professionisti della cybersecurity:

Persistenza dell’Ingegneria Sociale: Gli attacchi dimostrano che l’ingegneria sociale rimane un vettore di accesso iniziale estremamente efficace, capace di aggirare difese tecniche avanzate. La formazione continua del personale e l’implementazione di rigorosi protocolli di verifica per le richieste di credenziali sono indispensabili.
Gestione del Rischio dei Fornitori Terzi: La compromissione tramite un fornitore IT esterno (TCS per M&S) evidenzia la necessità di una rigorosa gestione del rischio della supply chain e di controlli di accesso segmentati per i terzi. Le organizzazioni sono tanto sicure quanto il loro anello più debole nella catena di fornitura.
Protezione dell’Active Directory: Il furto del file NTDS.dit sottolinea l’importanza critica di proteggere Active Directory con hardening, monitoraggio avanzato dei log e MFA obbligatoria per gli account privilegiati. AD rimane un obiettivo primario per gli attaccanti che cercano il controllo della rete.
Pianificazione della Risposta agli Incidenti e Continuità Operativa: Il caso Co-op dimostra il valore di una risposta proattiva (disconnessione dei sistemi) e di un robusto piano di continuità aziendale con backup sicuri per limitare i danni da ransomware e consentire un recupero rapido senza cedere al riscatto.
Trasparenza e Collaborazione: L’appello del presidente di M&S, Archie Norman, per la segnalazione obbligatoria degli incidenti e il ringraziamento della NCA per la collaborazione delle vittime evidenziano l’importanza della condivisione delle informazioni per migliorare la resilienza collettiva e fornire un quadro più accurato del panorama delle minacce. Una maggiore trasparenza può portare a una migliore intelligence sulle minacce e a difese più efficaci.
Reazione del Mercato e Danno Reputazionale: Il calo significativo del valore di mercato di M&S e Co-op in seguito agli attacchi dimostra che le conseguenze degli incidenti cyber vanno ben oltre i costi operativi diretti, influenzando la percezione degli investitori e la fiducia del pubblico. La cybersecurity è, a tutti gli effetti, una componente critica della gestione del rischio aziendale e della protezione del valore per gli azionisti.
Retailer di Lusso come Target Primario: L’identificazione di Harrods come “prime target” per gli attacchi informatici a causa della grande quantità di dati sensibili dei clienti e del potenziale danno d’immagine derivante da un’interruzione, rivela una logica di targeting specifica. Gli attori delle minacce stanno affinando le loro strategie, concentrandosi su settori dove il ritorno sull’investimento è più elevato.

Conclusioni: verso una maggiore resilienza

Gli arresti operati dalla NCA segnano un successo tangibile nella lotta contro le reti cybercriminali che hanno inflitto interruzioni devastanti nel settore retail britannico. Questi incidenti, tuttavia, sottolineano l’evoluzione continua delle tattiche degli aggressori, con l’ingegneria sociale e la compromissione dell’Active Directory che rimangono vettori primari di attacco.

La risposta proattiva di Co-op offre un modello di gestione degli incidenti che, sebbene costoso a breve termine, può limitare significativamente i danni complessivi e accelerare il recupero. La comunità della cybersecurity deve continuare a rafforzare le difese, investire nella formazione del personale, migliorare la gestione del rischio di terze parti e sviluppare piani di continuità aziendale robusti.

L’adozione di una cultura di maggiore trasparenza nel reporting degli incidenti e una collaborazione più stretta con le forze dell’ordine sono passi essenziali per costruire una resilienza collettiva più forte contro un panorama di minacce in costante evoluzione.

Fonti

CyberInsider: https://cyberinsider.com/uk-arrests-four-in-connection-with-cyberattacks-on-ms-co-op-and-harrods/
The Hacker News: https://thehackernews.com/2025/07/four-arrested-in-440m-cyber-attack-on.html
The Record Media: https://therecord.media/uk-arrests-four-ransomware-ms-harrods-co-op
National Crime Agency: https://www.nationalcrimeagency.gov.uk/news/retail-cyber-attacks-nca-arrest-four-for-attacks-on-m-s-co-op-and-harrods
ITV News: https://www.itv.com/news/2025-07-10/three-teens-and-a-woman-arrested-after-cyber-attacks-on-m-and-s-co-op-and-harrods
CityAM: https://www.cityam.com/arrests-made-after-ms-co-op-and-harrods-cyber-attacks/
BlackFog: https://www.blackfog.com/marks-and-spencer-ransomware-attack/
Specopssoft: https://specopssoft.com/blog/marks-spencer-ransomware-active-directory/
ConnectSecure: https://connectsecure.com/blog/what-the-co-op-data-breach-can-teach-msps-about-selling-vulnerability-management
Cybersecurity-Insiders: https://www.cybersecurity-insiders.com/cyber-attack-on-british-co-operative-group/
Al Jazeera: https://www.aljazeera.com/news/2025/5/2/harrods-ms-hit-by-cyberattack-what-happened-whos-behind-it
CPO Magazine: https://www.cpomagazine.com/cyber-security/harrods-hit-in-third-cyber-attack-targeting-a-uk-retailer/

Condividi sui Social Network:

Cooperazione Italia-Israele cybersecurity: partnership strategica contro minacce cyber, tensioni etiche e geopolitica nel Mediterraneo

Cybersecurity e geopolitica: il partenariato strategico Italia-Israele

A cura di:Redazione Pubblicato il16 Agosto 202515 Agosto 2025

La cooperazione tra Italia e Israele in campo di cybersecurity rappresenta uno degli esempi più significativi di partenariato tecnologico-strategico nel panorama mediterraneo contemporaneo. Entrambi i paesi si trovano ad affrontare crescenti minacce cyber, in un contesto geopolitico sempre più complesso: il 2024 ha segnato un punto di svolta, con l’Italia che ha registrato un record…

Foto passaporto rubate dal cloud: come proteggerle da furti, dark web e frodi digitali nel 2025.

Foto del passaporto rubate dal cloud: la nuova frontiera delle frodi documentali

A cura di:Redazione Pubblicato il15 Agosto 202517 Luglio 2025

L’evoluzione tecnologica ha trasformato radicalmente il panorama della sicurezza documentale, trasferendo le vulnerabilità dal mondo fisico a quello digitale. Le foto dei passaporti, un tempo protette esclusivamente da misure di sicurezza fisiche, si trovano ora esposte a una gamma di minacce informatiche senza precedenti quando migrate negli ambienti cloud. L’adozione massiva di servizi di cloud computing ha…

Cybercrime e furto miglia frequent flyer: un mercato nero da miliardi. Ecco le tecniche, i rischi e le contromisure 2025.

Cybercrime in crescita: il furto di miglia frequent flyer è la nuova minaccia

A cura di:Redazione Pubblicato il14 Agosto 202517 Luglio 2025

Il furto di miglia frequent flyer è diventato un business criminale da 3 miliardi di dollari annui, con cybercriminali che sfruttano vulnerabilità nei programmi fedeltà delle compagnie aeree per rubare e rivendere punti a prezzi scontati. Questo fenomeno in rapida crescita colpisce oltre 75 compagnie aeree a livello globale, con un aumento del 30% dei…

security awareness 2025 con statistiche phishing, training metodologie e best practice cyber security per riduzione rischio umano

Security awareness: strategie avanzate per la gestione del rischio umano nell’era digitale

A cura di:Redazione Pubblicato il14 Agosto 20254 Luglio 2025

Nell’attuale panorama della sicurezza informatica, caratterizzato da un incremento esponenziale degli attacchi cyber e dalla crescente sofisticazione delle tecniche di social engineering, la security awareness rappresenta un elemento fondamentale per la protezione delle infrastrutture critiche organizzative. La ricerca empirica dimostra che fino al 95% di tutti gli hacks e delle violazioni dei dati sono causati dall’errore umano, evidenziando come il…

Esempio di truffe beneficenza online con email di phishing durante un’emergenza.

Truffe beneficenza post-catastrofi: la guida definitiva 2025

A cura di:Redazione Pubblicato il17 Agosto 202517 Luglio 2025

Le false campagne di beneficenza proliferano drammaticamente dopo ogni catastrofe naturale, sfruttando la generosità e l’urgenza emotiva dei donatori. Nel 2024, la Polizia Postale ha documentato un aumento del 15% delle frodi digitali in Emilia-Romagna post-alluvione, con danni economici che hanno raggiunto i 181 milioni di euro. I cybercriminali attivano truffe sofisticate entro 24 ore…

Esempio di falso concorso su Instagram usato per attacchi di phishing tramite social media.

Falsi concorsi a premi su Instagram: il phishing sui social media

A cura di:Redazione Pubblicato il16 Agosto 202517 Luglio 2025

I falsi concorsi a premi su Instagram rappresentano una delle forme più insidiose di phishing attualmente in circolazione sui social media. Questi raggiri sfruttano l’attrattiva di premi apparentemente gratuiti per carpire dati personali e informazioni sensibili degli utenti, costituendo una minaccia crescente nell’ecosistema digitale del 2025. Il quadro statistico del fenomeno nel 2025 I dati…

Cybercrime: nel Regno Unito arrestati presunti hacker, attacchi da 440 Milioni a M&S, Co-op e Harrods

Il contesto dei cyber attacchi: un’offensiva mirata al settore retail