Qilin colpisce ancora: Tiger Communications nel mirino di un incubo digitale
I protagonisti – Un titano e un predatore informatico
Nel mondo della telecomunicazione analitica, Tiger Communications plc era considerata una roccaforte di affidabilità. Fondata nel 1979 a Ringwood, Hampshire (Regno Unito), l’azienda ha iniziato sviluppando hardware per centrali analogiche, per poi evolversi negli anni ’80 in un fornitore di soluzioni software per la gestione delle chiamate, controllo dei costi e analisi antifrode.
Il suo prodotto di punta, Tiger Prism, è utilizzato da enti pubblici, università e multinazionali per monitorare le reti di comunicazione, ottimizzare l’efficienza e prevenire abusi. Tiger era sinonimo di precisione e sicurezza — fino a luglio 2025.
L’attacco è arrivato da Qilin, un nome che nel cyberspazio incute timore.
Qilin è un’organizzazione cybercriminale russofona, operante secondo il modello Ransomware-as-a-Service (RaaS). Apparsa per la prima volta nel luglio 2022 con il nome Agenda, si è rapidamente trasformata in una delle entità ransomware più sofisticate e aggressive al mondo. I suoi malware, scritti in Rust e Golang, sono capaci di colpire sia ambienti Windows che Linux.
Il loro modello di business è spietatamente efficiente:
Gli affiliati ricevono fino all’85% dei pagamenti di riscatto.
Il gruppo offre pannelli di controllo automatizzati, consulenza legale e canali di leak nel dark web.
Negli ultimi sei mesi, Qilin ha condotto oltre 80 attacchi confermati — bersagliando ospedali, enti governativi, aziende manifatturiere e fornitori di infrastrutture digitali. Solo ad aprile 2025, sono stati segnalati 72 nuovi obiettivi, mentre la campagna di giugno ha compromesso altri 86.
Le loro tattiche includono:
sfruttamento di vulnerabilità critiche nei firewall Fortinet,
strategie di doppia estorsione (cifratura + minaccia di pubblicazione),
e pressioni psicologiche tramite documenti legali falsificati.
Ora, Tiger Communications è sull’orlo del precipizio. E il settore si interroga: chi sarà il prossimo?
Il prezzo del silenzio
L’impatto finanziario completo dell’attacco ransomware contro Tiger Communications non è stato ancora reso pubblico. Al 18 luglio 2025, l’azienda non ha rilasciato alcuna dichiarazione ufficiale sull’incidente, né ha confermato se siano in corso negoziazioni con gli aggressori.
Secondo gli analisti di cybersicurezza, il costo medio di un attacco ransomware nel 2024 ha superato i 4,91 milioni di dollari, considerando pagamenti di riscatto, interruzioni operative, recupero dei dati, spese legali e danni reputazionali.
Data la dimensione di Tiger, la sua base clienti internazionale e la natura dei suoi servizi — analisi delle telecomunicazioni e rilevamento delle frodi — gli esperti stimano che le perdite potenziali possano variare tra i 5 e i 12 milioni di dollari, a seconda dell’entità dell’esfiltrazione dei dati e del livello di compromissione dei sistemi. Un report di Undercode News indica che Qilin solitamente richiede pagamenti tra 500.000 e diversi milioni di dollari, e avverte che se Tiger non risponderà entro il 25 luglio 2025, i file rubati potrebbero essere pubblicati online.
Qilin: Un impero del crimine informatico
Il gruppo Qilin si è affermato come uno dei sindacati ransomware più redditizi dell’anno. Secondo Cybersecurity News, nel solo 2024 ha incassato oltre 50 milioni di dollari in pagamenti di riscatto. Un singolo attacco contro Synnovis ha comportato una richiesta di 50 milioni di dollari e la fuga di 900.000 cartelle cliniche.
Gli analisti stimano che, nel primo semestre del 2025, Qilin abbia già guadagnato tra i 35 e i 45 milioni di dollari, basandosi su log di negoziazione trapelati e strutture di pagamento agli affiliati.
Il modello operativo di Qilin è spietatamente efficiente:
Gli affiliati ricevono l’80% dei pagamenti sotto i 3 milioni di dollari, e l’85% oltre tale soglia.
Il gruppo gestisce un pannello affiliati personalizzato, con consulenti legali e media strategist per esercitare pressione sulle vittime.
L’infrastruttura supporta archiviazione dati su scala petabyte, strumenti automatizzati di spam e persino una funzione “Call Lawyer” per intimidazioni legali.
In sintesi, Qilin non è solo un gruppo di estorsione digitale — è una corporazione criminale con la lucidità di una multinazionale Fortune 500.
Anatomia di un attacco — e la difesa che avrebbe potuto fermarlo
L’attacco contro Tiger Communications è stato una operazione informatica multi-fase, condotta con precisione chirurgica dal gruppo ransomware Qilin. Secondo le analisi delle minacce, l’attacco ha seguito una struttura “kill chain” ben definita, sfruttando vulnerabilità note e payload avanzati.
Le tattiche di Qilin
1. Accesso iniziale
Sfruttamento di vulnerabilità nei Fortinet SSL VPN e nella falla CVE-2023-27532 di Veeam Backup & Replication.
Campagne di phishing e uso di credenziali rubate per aggirare l’autenticazione.
2. Esecuzione e escalation dei privilegi
Distribuzione di malware tramite script PowerShell e file camuffati.
Tecnica BYOVD (“Bring Your Own Vulnerable Driver”) per disattivare strumenti EDR.
Utilizzo di Mimikatz per estrarre credenziali di dominio e ottenere accesso SYSTEM.
3. Movimento laterale e cifratura
Espansione nella rete tramite PsExec, RDP e condivisioni SMB.
Disattivazione del Volume Shadow Copy Service (VSS) e cancellazione dei backup.
Cifratura con AES-256 CTR e ChaCha20, con estensioni come
.qiline.agenda.
Tiger Communications non disponeva di una piattaforma centralizzata per la risposta alle minacce — una lacuna critica.
Come Cy-Napea® avrebbe potuto prevenire l’attacco
Cy-Napea®, sviluppata da Aurora Consolidated Ltd., è una piattaforma modulare di cybersicurezza progettata per contrastare minacce complesse come Qilin. Ecco come avrebbe potuto intervenire:
1. Endpoint Detection and Response (EDR)
Rilevamento in tempo reale e isolamento dei processi sospetti.
Analisi comportamentale di script PowerShell e comandi di sistema.
2. Extended Detection and Response (XDR)
Correlazione dei segnali di minaccia tra endpoint, rete e cloud.
Identificazione di movimenti laterali e accessi non autorizzati.
3. Protezione anti-ransomware e ripristino
Blocco automatico dei tentativi di cifratura.
Backup immutabili e ripristino con un solo clic dei sistemi compromessi.
4. Gestione delle patch e delle vulnerabilità
Rilevamento e correzione di falle come CVE-2023-27532 e CVE-2024-21762.
Aggiornamenti automatizzati per VPN, firewall e strumenti di accesso remoto.
5. Formazione e simulazione
Addestramento contro phishing e ingegneria sociale.
Simulazioni di attacchi reali per preparare il personale.
Cy-Napea® non è solo una difesa — è una fortezza digitale per le imprese moderne.
Sintesi finanziaria
Perdite stimate per Tiger Communications: tra 5 e 12 milioni di dollari, secondo benchmark di settore e livello di compromissione.
Entrate stimate per Qilin: tra 35 e 45 milioni di dollari nel primo semestre 2025, basate su log di negoziazione trapelati e modelli di pagamento agli affiliati.
Tiger Communications non ha ancora confermato ufficialmente né le perdite né eventuali trattative con gli aggressori.
Fonti verificate
