Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’analisi tecnica

L’attacco ad Acea è diverso dagli altri: ecco perché e il ruolo cruciale del broker di dati

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti Ransomware
Indirizzo copiato

Il gruppo criminale WorldLeaks ha rivendicato un attacco informatico nei confronti dell’italiana Acea. La pubblicazione dei dati rubati potrebbe avvenire stanotte. Vediamo come agisce questo gruppo e perché è differente dagli altri attacchi ransomware

Pubblicato il 30 lug 2025
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

07062023151544acea

Nella giornata di ieri, 29 luglio 2025, il gruppo criminale WorldLeaks è tornato al centro dell’attenzione nel panorama cyber italiano rivendicando pubblicamente un nuovo attacco ransomware contro Acea, una delle principali multiutility italiane.

Il gruppo ha quindi imposto un countdown sul proprio sito nel dark web per la pubblicazione dei dati esfiltrati, confermando un modello operativo ormai sempre più comune: la figura del “data broker” come attore centrale della filiera criminale.

Aggiornamento del primo agosto 2025: Il gruppo WorldLeaks ha mantenuto la promessa fatta nella rivendicazione, rendendo pubblicamente disponibili circa 2,9 terabyte di dati esfiltrati durante l’attacco ad Acea.

Il materiale diffuso comprende una vasta collezione di documenti interni, tra cui file Word organizzati in cartelle tematiche che contengono password di amministrazione, riferimenti a credenziali d’accesso e dettagli operativi relativi ai fornitori dell’azienda.

La gravità dell’esposizione aumenta per la natura sensibile delle informazioni, ora accessibili liberamente in rete, con potenziali implicazioni sia sul piano della sicurezza informatica sia della protezione dei dati dei partner coinvolti.

Non solo ransomware: l’evoluzione dei broker di dati

WorldLeaks non si comporta come i classici gruppi RaaS (Ransomware-as-a-Service) che sviluppano e distribuiscono i payload.

Piuttosto, si colloca a valle della catena del cybercrimine, nel ruolo di intermediario o broker, gestendo la monetizzazione dei dati rubati da altri attori, spesso specializzati nell’accesso iniziale (Initial Access Brokers – IAB) o nella distribuzione dei ransomware.

Questo threat actor avvia la sua attività all’inizio del 2025 come re-branding del gruppo Hunters International che, appunto nello stesso periodo, ha annunciato il suo ritiro dalla scena.

Nel caso specifico di Acea, non è chiaro se WorldLeaks sia stato l’operatore diretto dell’attacco o se stia gestendo la diffusione dei dati per conto terzi.

Per ora si può anche ipotizzare che stia cercando ricavi dal precedente attacco che ha coinvolto Acea due anni fa, ad opera di BlackBasta. Questo comportamento è coerente con una struttura criminale modulare, in cui diversi attori collaborano in modo flessibile:

  • gli IAB vendono accessi a reti compromesse;
  • i gruppi ransomware gestiscono il deployment del payload (in questo caso verosimilmente un locker con doppia estorsione);
  • i data broker come WorldLeaks trattano la parte finale: la pubblicazione, la negoziazione, la rivendita e il ricatto tramite la minaccia della data leak.

Tattiche, tecniche e procedure (TTPs) di WorldLeaks

Sebbene le TTPs di WorldLeaks non siano completamente note, è possibile identificare alcuni pattern comportamentali:

  • modalità di esposizione: i dati vengono pubblicati progressivamente su un leak site nel dark web per aumentare la pressione sulla vittima;
  • rivendicazioni multiple: WorldLeaks ha già colpito altre realtà italiane ed estere, spesso in un arco temporale ravvicinato, segno di una pipeline costante di dati da monetizzare;
  • collaborazioni opache: in alcuni casi emergono similitudini nei tool di cifratura o nei pattern di esfiltrazione che suggeriscono la presenza di una partnership con gruppi ransomware noti, anche se il nome di WorldLeaks non è associato a un locker proprietario;
  • insider Threats: ci sono indicazioni (da analisi OSINT) secondo cui il gruppo potrebbe acquistare dati direttamente da insider o operatori infedeli, sfruttando anche piattaforme Telegram o canali dark web specializzati nella compravendita di accessi o informazioni privilegiate.

Indicatori di compromissione (IoC) e correlazioni note

Sebbene World Leaks non rilasci sistematicamente IoC tecnici (come hash o indirizzi IP), alcuni osservatori di threat intelligence hanno correlato le sue attività a campagne che utilizzano tool noti come:

  • Cobalt Strike per il post-exploitation,
  • Esfiltrazione tramite Rclone, MEGA, oppure canali TLS custom su porta 443,
  • Utilizzo di loader come SmokeLoader o Gootloader in fasi precedenti.

La difficoltà nell’attribuzione certa degli attacchi rende fondamentale l’uso di tecniche di threat hunting basate su comportamenti anomali (es. accessi fuori orario, spike di traffico in uscita, persistence non standard), piuttosto che solo su IoC statici.

Contro attori come WorldLeaks serve un nuovo approccio difensivo

L’esistenza di attori come WorldLeaks complica la gestione della crisi in caso di attacco: anche in assenza di un riscatto pagato, i dati rubati possono essere comunque venduti o esposti.

Le difese devono quindi concentrarsi non solo sul contenimento del ransomware, ma anche sulla prevenzione dell’esfiltrazione e sul monitoraggio continuo delle fonti OSINT e dark web, per rilevare precocemente la presenza di dati aziendali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Dario Fadda
Research Infosec, fondatore Insicurezzadigitale.com

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Cybercognitivismo e fattore umano

  • cyber resilienza

    Cybercognitivismo: il fattore umano è responsabile di sette cyber attacchi su 10

    12 Mag 2025

    di Fabrizio Saviano

    Condividi
  • Un quadro preoccupante emerge dal report Acn di settembre: ritornano gli attacchi hacktivisti; Cosa fotografa l'Acn nell'Operational summary di ottobre 2025

  • il report mensile

    Operational Summary Acn di luglio: ritmo record delle vulnerabilità nel 2025

    20 Ago 2025

    di Mirella Castigli

    Condividi
  • Sanzione privacy Acea controllo fornitori

  • telemarketing

    Sanzione privacy ad Acea: costa caro il mancato controllo sulle pratiche ingannevoli dei fornitori

    09 Mag 2025

    di Rosario Palumbo

    Condividi