In un esempio inquietante della fragilità digitale dei nostri tempi, McLean Mortgage Corporation – un tempo sinonimo di affidabilità nel settore dei mutui – è diventata la nuova vittima di un sofisticato attacco ransomware. La banda criminale nota come Black Basta ha esfiltrato e cifrato oltre 30.000 record di dati sensibili, lasciando dietro di sé uno scandalo che ha minato la fiducia di migliaia di clienti.

Chi è McLean Mortgage?

Fondata nel 2008 e con sede a Fairfax, Virginia, McLean Mortgage Corporation si è affermata come operatore regionale nel campo dei prestiti ipotecari. Con un organico di oltre 300 dipendenti e un fatturato stimato di 160 milioni di dollari, l’azienda offriva prodotti personalizzati per rifinanziamenti, acquisto di case, mutui per nuove costruzioni e soluzioni su misura per i primi acquirenti.

Il loro principio guida era semplice: fiducia. Una promessa di protezione e riservatezza per i dati finanziari dei propri clienti. Fino a che non è andata in frantumi.

Lo svolgimento dell’attacco

Il 17 ottobre 2024, i sistemi informatici di McLean hanno rilevato attività di rete anomale. Inizialmente considerate un malfunzionamento interno, le indagini hanno presto confermato un’intrusione malevola. Nonostante l’intervento tempestivo degli specialisti, il danno era già fatto.

Entro il 12 maggio 2025, McLean ha notificato che 30.453 individui erano stati colpiti. I dati rubati comprendevano:

• Numeri di previdenza sociale

• Patenti di guida

• Informazioni bancarie

• Documentazione fiscale e buste paga

• Richieste di mutuo

• Dati interni delle risorse umane

Il bottino totale: oltre 1 terabyte di informazioni riservate, ora potenzialmente nelle mani del crimine organizzato.

Chi sono i Black Basta?

Il gruppo Black Basta è emerso nel 2022 ed è rapidamente diventato uno dei gruppi ransomware più temuti al mondo. Operano secondo un modello di ransomware-as-a-service (RaaS), offrendo le proprie tecnologie ad affiliati in cambio di una quota dei riscatti.

Le loro operazioni seguono uno schema collaudato:

• Accesso iniziale: spesso tramite email di phishing contenenti il malware Qakbot, che funge da porta d’ingresso.

• Movimento laterale e persistenza: con strumenti come Cobalt Strike, SystemBC e Mimikatz, ottengono privilegi elevati e si diffondono nel sistema.

• Abuso di software legittimi: come AnyDesk, Quick Assist o NetSupport Manager, per mimetizzarsi e restare inosservati.

• Esfiltrazione di dati: utilizzano strumenti come Rclone o WinSCP per trasferire i dati fuori rete prima della cifratura.

• Cifratura e richiesta di riscatto: i file vengono criptati con estensione .basta e viene lasciato un messaggio di riscatto in un file chiamato readme.txt .

Sebbene il loro sito di pubblicazione dei dati sia stato chiuso all’inizio del 2025, le stesse tattiche sono ora usate da gruppi “eredi” come BlackSuit e Warlock.

Conseguenze tangibili

Oltre 30.453 persone sono state colpite dalla violazione: clienti, dipendenti e richiedenti mutui. I dati sottratti – numeri di previdenza sociale, patenti, conti bancari, buste paga, dichiarazioni fiscali – rappresentano un rischio concreto di furto d’identità, frodi finanziarie e danni a lungo termine.

Alcuni degli interessati risiedono in New Hampshire, Maine e Vermont, dove le autorità locali sono state ufficialmente informate. Poco dopo la notizia, anche il sito web di McLean Mortgage è stato disattivato, simbolo di un crollo di fiducia digitale.

L’impatto economico

Secondo gli analisti, il danno complessivo potrebbe superare i 10 milioni di dollari, così suddivisi:

• 1–2 milioni $ per indagini forensi e risposta all’incidente

• 3–5 milioni $ in spese legali, sanzioni e potenziali class action

• 500.000 $+ per 12 mesi di monitoraggio del credito offerto alle vittime

• Perdite reputazionali e commerciali: difficili da quantificare, ma potenzialmente devastanti

E non finisce qui: i dati rubati potrebbero riemergere nel dark web anche anni dopo, con nuove ondate di danni.

La risposta di McLean

L’azienda ha reagito attivando un protocollo di emergenza:

• Ha coinvolto esperti di cybersicurezza e notificato le autorità

• Ha iniziato a inviare lettere ufficiali agli interessati l’11 giugno 2025

• Ha offerto 12 mesi di protezione dell’identità gratuita tramite IDX

• Ha istituito una linea telefonica dedicata per domande e supporto

Tuttavia, molti si sono chiesti: si poteva evitare tutto questo?

Se ci fosse stato Cy-Napea®

Con l’adozione di Cy-Napea®, McLean avrebbe potuto bloccare l’attacco in più punti. Questa soluzione si basa su una strategia di difesa a quattro livelli:

1. Formazione sulla sicurezza informatica
   Simulazioni regolari aiutano i dipendenti a riconoscere phishing e comportamenti sospetti.

2. Protezione avanzata delle email
   Analisi comportamentale e sandboxing bloccano allegati e link dannosi prima che raggiungano la casella di posta.

3. Rilevamento e risposta alle minacce (EDR/XDR)
   Monitoraggio continuo dei sistemi per identificare movimenti laterali, esfiltrazioni e escalation di privilegi.

4. Backup continuo e immutabile
   Anche in caso di attacco riuscito, i dati possono essere ripristinati da copie sicure e non modificabili.

Nel caso McLean, l’attacco avrebbe potuto essere fermato già al primo livello. E se anche fosse andato oltre, il ripristino dei dati sarebbe stato rapido e senza ricatti.

Una lezione per tutti

La violazione di McLean Mortgage è un campanello d’allarme: la cybersicurezza non è un’opzione tecnica, ma una responsabilità strategica.

Quando la fiducia è il tuo capitale, una sola falla può costarti tutto.

Fonti

• Comparitech – McLean Mortgage notifica 30.000 persone di una violazione dei dati

• ClaimDepot – Indagine legale sulla violazione dei dati di McLean Mortgage

• Strauss Borrelli PLLC – Analisi giuridica dell’incidente McLean Mortgage