L’assedio digitale: Come Direwolf ha fatto crollare Pergamon Status
La crepa nel ghiaccio – L’attacco ransomware a Pergamon Status Diş Ticaret AŞ
Fondata nell’aprile 2001, Pergamon Status Diş Ticaret AŞ è quotata in borsa dal 12 novembre 2014, sotto il codice PSDTC sul mercato di Borsa İstanbul. Con sede a İzmir, l’azienda opera nel commercio estero di beni di consumo durevoli e non durevoli. Può sembrare piccola, con soli 22 dipendenti, ma svolge un ruolo strategico nella rete logistica e doganale della Turchia.
Secondo le fonti finanziarie disponibili a luglio 2025, la capitalizzazione di mercato di Pergamon Status oscilla tra 740 e 855 milioni di lire turche (circa 15,8–18,2 milioni di euro). Il fatturato annuale registrato è di 32,58 milioni TRY (≈ 958.000 €), con un utile netto pari a 36,23 milioni TRY (≈ 1,07 milioni €). Il prezzo per azione al 18 luglio si attesta a 106,50 TRY (≈ 3,13 €).
Con oltre 130.000 dichiarazioni doganali elaborate, 976 clienti attivi e 19 fornitori, Pergamon Status è un punto nodale nella catena di fornitura internazionale. Tra i partner principali figurano Keller & Kalmbach GmbH, Würth Industrie Service GmbH & Co KG, e Artistic Fabric Mills (Private) Ltd.
Nel maggio 2025, però, entra in scena una minaccia silenziosa: il gruppo ransomware Direwolf. Specializzato in tecniche di doppia estorsione, Direwolf utilizza algoritmi avanzati di crittografia come ChaCha20 e Curve25519, rubando dati e minacciando di pubblicarli su portali Tor se la vittima non paga il riscatto in criptovaluta.
Tra il 27 maggio e l’8 luglio 2025, Direwolf ha annunciato 21 vittime. Il tempo medio tra l’infezione e la pubblicazione dei dati è di 13,1 giorni. Nel caso di Pergamon Status, sono stati trafugati circa 50 GB di dati sensibili: database Oracle, bilanci, documentazione doganale, dichiarazioni fiscali e report ISO. Un campione dei file è stato pubblicato il 20 luglio, con minaccia di diffusione totale il 30 luglio.
Il team IT dell’azienda ha rilevato i file crittografati il 20 luglio alle 12:55 UTC — troppo tardi. Il silenzio era già stato rotto. L’assedio era iniziato.
L’infiltrazione silenziosa – Quando il ghiaccio ha cominciato a cedere
Il 20 luglio 2025, il gruppo Direwolf ha pubblicato un campione di file sul proprio portale Tor, dando ufficialmente inizio al ricatto. Quello stesso giorno, alle 12:55 UTC, il team IT di Pergamon Status ha individuato file criptati all’interno della rete interna: l’attacco era già stato eseguito.
Basandosi sulle TTP (tecniche, tattiche e procedure) note di Direwolf, gli analisti hanno ricostruito una probabile sequenza cronologica dell’incidente:
15 luglio 2025, ore 03:20 UTC (stimato): Oltre 800 tentativi falliti di accesso RDP da IP sospetti, probabilmente da servizi bulletproof hosting. Una prima fase di ricognizione automatizzata.
15–18 luglio: Scan mirato della rete, con mappatura di porte RDP aperte e condivisioni SMB/CIFS — per identificare debolezze infrastrutturali.
18 luglio: Utilizzo di strumenti come Mimikatz per rubare credenziali e acquisire accesso domain admin via Pass-the-Hash.
18–20 luglio: Movimento laterale verso sistemi chiave — SAP S/4HANA e database Oracle — eludendo antivirus e firewall tradizionali.
20 luglio, ore 05:00 UTC (stimato):Circa 50 GB di dati sensibili (bilanci, dichiarazioni doganali, archivi fiscali) vengono esfiltrati tramite HTTPS. Stima di banda: 500 Mbps; tempo di trasferimento: 3–4 ore.
20 luglio, ore 00:45 UTC: Avvio della crittografia con ChaCha20-Poly1305.
20 luglio, ore 00:52 UTC: Compare il file howl.txt in ogni cartella — il messaggio di riscatto.
Pergamon Status rileva la minaccia solo al termine del processo. L’infiltrazione era silenziosa, efficace, chirurgica. Con un ultimatum di 48 ore, Direwolf fissa la data della pubblicazione completa al 30 luglio 2025.
Il ghiaccio si era rotto. L’inverno digitale era arrivato.
Dopo il colpo – Echi da una rete distrutta
Il 20 luglio 2025, alle 12:55 UTC, il team IT di Pergamon Status individua il file howl.txt sui propri server: l’attacco era compiuto. Direwolf aveva pubblicato un campione di 50 GB di dati sensibili e ora minacciava la diffusione completa per il 30 luglio se il riscatto non fosse stato pagato entro 48 ore.
I danni non erano solo digitali, ma operativi, reputazionali e legali:
Interruzione dei processi logistici(stima): Il sistema SAP S/4HANA, motore delle spedizioni mensili verso laboratori e studi odontoiatrici, era fuori uso. Ordini bloccati, clienti disorientati.
Comunicazione con i partner interrotta(stima): Con 976 clienti attivi e 19 fornitori, l’azienda ha dovuto ricorrere a canali provvisori per tentare di mantenere la rete commerciale.
Attivazione delle unità di crisi(stima): Esperti di cybersecurity da Germania o Regno Unito vengono convocati a İzmir, avviando l’analisi forense e la gestione dell’emergenza.
Notifica obbligatoria alle autorità(stima): In base alla normativa turca sulla protezione dei dati (KVKK), la violazione deve essere notificata all’Autorità per le Tecnologie dell’Informazione (BTK) entro 72 ore.
Ma i danni erano anche invisibili:
Accessi fantasma nei sistemi, backup compromessi, timer attivo nel dark web.
Pergamon Status era di fronte a una scelta impossibile:
Pagare e tacere?
O resistere e affrontare le conseguenze?
Qualunque fosse la decisione, il conto alla rovescia era già iniziato — e la reputazione globale della società era appesa a un filo.
Il prezzo del ghiaccio – Quanto è costata davvero l’offensiva di Direwolf?
L’attacco sferrato da Direwolf il 20 luglio 2025 ha provocato non solo danni ai sistemi di Pergamon Status, ma anche ferite finanziarie profonde. Tra estorsione, interventi tecnici, perdita operativa e obblighi legali, il bilancio è milionario. Ecco una stima verosimile del costo totale, basata su dati comparabili e fonti pubbliche.
Richiesta di riscatto
Direwolf, come da precedenti casi documentati, formula richieste attorno ai 500.000 USD — circa 460.000 euro, equivalenti a 16 milioni di lire turche al cambio di luglio 2025.
Costi di gestione dell’incidente
Secondo Cloudwards.net, le aziende colpite da ransomware sostengono in media 2,73 milioni USD di spese per risposta all’emergenza, consulenze forensi, ripristino, comunicazione pubblica e assistenza legale. Equivalente in valuta turca: circa 88 milioni TRY.
Perdita operativa
Con una stima di 24 giorni di blocco totale delle attività, e un fatturato giornaliero di circa 2.600 euro (≈ 90.000 TRY), il danno diretto da inattività ammonta a circa 2,2 milioni TRY.
Sanzioni e obblighi regolatori
Il quadro normativo turco (KVKK) prevede sanzioni per la mancata protezione dei dati personali. Stimando un impatto pari al 2% del fatturato annuo, si arriva a circa 20.000 euro (≈ 700.000 TRY) tra multe e spese legali.
Totale stimato dei danni
≈ 107 milioni TRY
(≈ 3,3 milioni EUR)
Un bilancio devastante — anche nel migliore dei casi, senza pagamento del riscatto. Le perdite indirette (reputazione, fiducia dei clienti, futuro contenzioso) non sono neppure incluse in questo calcolo.
L’ultima linea di difesa – Una vittoria dimenticata firmata Cy-Napea®
Il fumo aleggiava ancora sulla rete devastata di Pergamon Status quando un nuovo campione si fece avanti: Cy-Napea®, la fortezza scintillante di Aurora Consolidated Ltd. Nata dalle braci di innumerevoli battaglie informatiche, Cy-Napea® era pronta a proteggere ogni corridoio digitale con il suo arsenale SaaS unificato — Protezione avanzata contro le minacce, EDR/XDR/MDR, backup immutabili e molto altro. Mentre l’ombra di Direwolf incombeva su İzmir, i difensori trovarono speranza in queste mura digitali.
Nel cuore della notte, quando scoccò la prima freccia di phishing, entrò in azione il Training sulla consapevolezza della sicurezza informatica di Cy-Napea®. Dipendenti, un tempo ignari, si mossero come sentinelle:
Un addetto agli acquisti si bloccò davanti a una fattura di spedizione contraffatta.
Un coordinatore logistico riconobbe i segnali di una finta chiamata dal supporto IT.
Il personale si riunì attorno al canale di emergenza, segnalando l’attività sospetta prima che venisse compromessa anche una sola credenziale.
Il firewall umano si attivò, chiudendo la breccia molto prima che Direwolf potesse affondare i suoi artigli.
Tra le trincee delle caselle di posta, la Protezione avanzata delle e-mail di Cy-Napea® dispiegò una rete di filtri alimentati da intelligenza artificiale:
I link dannosi si dissolsero in ombre innocue
I tentativi di impersonificazione vennero segnalati con allarmi lampeggianti
L'“aggiornamento urgente” contraffatto da un presunto corriere non raggiunse mai nessuno — l’esca di Direwolf rimase intatta, l’amo spezzato a mezz’aria
Quando un nemico riuscì a superare le difese, i motori EDR/XDR/MDR di Cy-Napea® ruggirono. Processi insoliti — echi degli algoritmi di crittografia ChaCha20 — furono individuati in tempo reale. I dispositivi infetti vennero isolati automaticamente. I threat hunter, guidati dalla telemetria approfondita di Cy-Napea®, seguirono ogni passo degli intrusi — chiudendo i tunnel di esfiltrazione molto prima che 50 GB di dati sensibili potessero raggiungere la rete pubblica.
E nelle rarissime notti peggiori, quando la crittografia travolse server non protetti, entrò in gioco la funzione Backup Immutabili & Ripristino One-Click di Cy-Napea®:
Snapshot in air-gap tornarono operativi
I sistemi SAP e Oracle vennero ripristinati all’istante
Ciò che poteva essere settimane di agonia si ridusse a poche ore di schermi lampeggianti e applausi liberatori
Avvertenza legale:
Questa simulazione si basa su dati pubblici da Ransomware.live, HookPhish, StockAnalysis.com, Simply Wall St, Investing.com, İş Yatırım, FT.com e fonti ufficiali Cy-Napea®. I risultati reali possono variare.
Fonti:
