Il gruppo di criminali informatici ThreeAM ha rivendicato un attacco contro Leonardo S.p.A., colosso italiano attivo nei settori della difesa, dell’aerospazio e della sicurezza. L’annuncio è apparso sul Dark Web, all’interno del Data Leak Site (DLS) della cybergang, dove sono stati pubblicati dettagli su un presunto furto di dati dalle infrastrutture IT dell’azienda o da uno dei suoi fornitori.
La nostra fonte RedHotCyber sottolinea che la notizia risulta priva di comunicati stampa, per cui c’è da prenderla con le pinze. Secondo le voci, gli hacker sarebbero entrati in possesso di 160.301 file per un totale di 239 GB di dati, comprendenti materiali di formazione, manuali, guide di installazione e simulatori. Tuttavia, almeno in base ai nomi dei file rivelati, non sembrano esserci informazioni altamente sensibili.
Come spesso accade in operazioni di questo tipo, ThreeAM ha pubblicato un documento denominato “files.txt”, che elenca i file presumibilmente sottratti. Inoltre, sul sito della cybergang è comparsa una progress bar che segnala l’1% dei dati già pubblicati, un metodo utilizzato per mettere pressione sulle aziende affinché accettino di pagare un riscatto prima della diffusione completa dei dati.
Un attacco alla supply chain di Leonardo?
L’attacco potrebbe non aver colpito direttamente i sistemi di Leonardo, ma essere il risultato di una violazione della supply chain, coinvolgendo un fornitore esterno. Infatti, analizzando il file pubblicato dai cybercriminali, emerge che la directory principale coinvolta si chiama “ROTORSIM”, nome legato a un prodotto sviluppato da una joint venture tra Leonardo Helicopters (ex AgustaWestland) e un’altra azienda specializzata in supporto alla formazione e missioni in operazioni multi-dominio (aria, terra, mare, spazio e cyber).
Inoltre, il percorso dei file suggerisce che si tratti di un drive condiviso (**Z:*) e non di una directory locale (**C:*), il che rafforza l’ipotesi di un attacco a un archivio accessibile in rete da più soggetti. Pochi minuti dopo la pubblicazione della notizia sul Dark Web, Leonardo ha smentito l’attacco con un post su X (ex Twitter):
“Leonardo precisa che le indiscrezioni per cui il gruppo hacker ThreeAM avrebbe violato i sistemi informatici aziendali di Leonardo Spa sono destituite da ogni fondamento.”
Questo lascia aperta la possibilità che ThreeAM abbia preso di mira un obiettivo sbagliato o che la presunta violazione riguardi effettivamente un fornitore e non direttamente i server di Leonardo. Infatti, va sottolineato che le informazioni rilasciate fino a questo momento non sembrano compromettere direttamente la sicurezza di Leonardo o delle sue operazioni più sensibili.
Il caso è ancora in evoluzione e l’azienda potrebbe fornire ulteriori dettagli nelle prossime ore. Nel frattempo, il rischio principale rimane la possibilità che le informazioni sottratte possano essere utilizzate per attacchi futuri o per compromettere altri soggetti legati alla supply chain dell’azienda. Come sempre in queste situazioni, il monitoraggio degli sviluppi da parte di esperti di sicurezza informatica sarà fondamentale per comprendere l’effettiva portata dell’incidente.
