Netcrook Logo
👤 SECPULSE
🗓️ 25 Apr 2026   🗂️ Cyber Warfare     🌍 Europe

Colpisce il ransomware Qilin: il gigante tedesco delle turbine Leistritz preso di mira in una sfacciata fuga di dati

Il famigerato gruppo Qilin rivendica la responsabilità di un nuovo attacco informatico contro Leistritz Turbine Technology, facendo scattare l’allarme in tutto il settore manifatturiero europeo.

Era un’altra mattina tranquilla nei corridoi industriali della Germania - finché il nome Leistritz Turbine Technology non è apparso sul più famigerato sito di leak del dark web. La gang ransomware Qilin, un gruppo che ha perseguitato aziende in tutto il mondo, ha rivendicato la sua ultima vittima, inviando onde d’urto sia nella comunità della cybersecurity sia nel settore manifatturiero.

Fatti in breve

  • Il gruppo ransomware Qilin ha inserito Leistritz Turbine Technology come nuova vittima.
  • Nei record DNS dell’azienda non sono stati rilevati importanti servizi cloud o SaaS, a indicare un’infrastruttura principalmente on-premises.
  • Qilin ha pubblicato uno screenshot del leak, suggerendo l’esfiltrazione di dati sensibili.
  • Leistritz è un importante fornitore di tecnologie per turbine, con significativi clienti industriali e della difesa.
  • L’attacco arriva in un contesto di aumento delle campagne ransomware che prendono di mira i produttori europei.

L’anatomia di un colpo digitale

Qilin, un collettivo ransomware-as-a-service, è salito costantemente alla ribalta per le sue tattiche di doppia estorsione: cifrare i dati aziendali e minacciare di divulgare i file rubati a meno che non venga pagato un riscatto salato. Il loro ultimo bersaglio, Leistritz Turbine Technology, non è certo un pesce piccolo. In quanto attore chiave nella produzione di turbine, i clienti di Leistritz coprono settori critici, dall’energia alla difesa - rendendo la posta in gioco particolarmente alta.

L’attacco è emerso quando Qilin ha pubblicato il nome di Leistritz e uno “screenshot del leak” sul proprio portale nel dark web, una tattica pensata per fare pressione sull’azienda affinché paghi. Sebbene i contenuti precisi dei dati sottratti restino poco chiari, anche una fuga parziale potrebbe esporre tecnologie proprietarie, contratti sensibili o informazioni personali dei dipendenti.

I dettagli tecnici ricavati dai record DNS suggeriscono che Leistritz non fa grande affidamento su servizi basati su cloud - il che potrebbe rendere i suoi sistemi on-premises un bersaglio privilegiato per operatori ransomware in cerca di vulnerabilità sfruttabili. L’assenza di importanti impronte SaaS può essere un’arma a doppio taglio: se da un lato può ridurre l’esposizione a determinate minacce cloud, dall’altro significa che le difese perimetrali tradizionali devono essere solide e aggiornate.

Questa violazione rientra in una tendenza più ampia. Nell’ultimo anno i produttori europei hanno registrato un aumento marcato degli attacchi ransomware, con criminali che sfruttano le dipendenze della supply chain e l’elevato costo dei fermi operativi per forzare i pagamenti. Gruppi come Qilin sono particolarmente aggressivi, spesso selezionando i bersagli in base alla loro criticità per le infrastrutture e alla presunta disponibilità a pagare.

Per Leistritz, le conseguenze potrebbero essere gravi. Oltre al rischio immediato di perdita di dati e interruzione operativa, c’è il pericolo a lungo termine del furto di proprietà intellettuale e dell’erosione della fiducia dei clienti. L’attacco è un monito netto: nel panorama odierno delle minacce, anche le aziende con poca esposizione al cloud non sono immuni alle tattiche in evoluzione dei criminali informatici.

Guardando avanti

Mentre Leistritz si affanna per valutare i danni e ripristinare i propri sistemi, l’intero settore manifatturiero si trova di fronte a una realtà sobria. Il ransomware non è più soltanto una minaccia digitale - è un rischio esistenziale per il business. Per ogni azienda, il messaggio è chiaro: difese informatiche robuste e piani di risposta rapida non sono più opzionali, ma essenziali per la sopravvivenza.

TECHCROOK

Per ridurre l’impatto di campagne ransomware con doppia estorsione come Qilin in ambienti industriali e on‑premises, una soluzione coerente è un NAS con snapshot immutabili e backup offline. Synology DiskStation DS923+ è un NAS a 4 bay pensato per PMI e reparti IT: supporta file sharing centralizzato, versioning e snapshot, replica verso un secondo sito e backup programmati su dischi esterni, utili per ripristini rapidi dopo cifratura o sabotaggio. Offre connettività 1/10GbE (opzionale), cifratura, gestione utenti e integrazione con directory aziendali, aiutando a separare i dati critici e a mantenere copie recuperabili anche in caso di compromissione della rete. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Double: La doppia estorsione è un attacco informatico in cui i criminali sia cifrano sia rubano i dati, minacciando di divulgarli a meno che la vittima non paghi un riscatto.
  • Record DNS: I record DNS sono istruzioni digitali che indirizzano il traffico internet verso i server corretti, garantendo che siti web e servizi siano accessibili e sicuri.
  • On: L’elaborazione sul dispositivo significa che i dati vengono gestiti localmente sul tuo dispositivo, non inviati a server esterni, migliorando privacy e sicurezza.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.
Qilin ransomware Leistritz Turbine cyberattack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news