Negli ultimi giorni si sono registrati una serie di attacchi ransomware che hanno preso di mira realtà di settori diversi — dalla tecnologia ai servizi, dalla produzione tessile all’industria alimentare — con gruppi criminali che rivendicano le intrusioni sui propri “siti di leak” nel dark web. Questo articolo verrà aggiornato con gli ultimi eventi segnalati di Gennaio 2026:.
Per rimanere aggiornato consigliamo di visitare la nostra WatchList dedicata.
LockBit 5 colpisce Frandent e Depot Napoli
Il gruppo LockBit 5, evoluzione di una delle famiglie ransomware più aggressive degli ultimi anni, ha rivendicato due attacchi:
- Frandent.it (21 gennaio 2026)
L’azienda Frandent, fondata da Ezio Bruno e attiva nel proprio settore da anni, è stata inserita nei leak site del gruppo. Come spesso accade in questi casi, l’attacco sarebbe accompagnato dal furto di dati aziendali, utilizzati come leva per il pagamento del riscatto. - DepotNapoli.com (15 gennaio 2026)
DEPOT Napoli, noto come primo Fetish Cruising Bar della città partenopea, è stato anch’esso colpito. L’episodio dimostra come nemmeno le realtà legate all’intrattenimento e alla nightlife siano escluse dal radar dei cybercriminali.
TheGentlemen prende di mira trasporti e food
Il gruppo TheGentlemen ha invece rivendicato due attacchi di alto profilo:
- SITA Sud (20 gennaio 2026)
Azienda attiva nel trasporto pubblico su gomma nel Sud Italia, SITA Sud opera in diverse regioni ed è un nodo cruciale per la mobilità locale. Un attacco a questo tipo di infrastruttura rappresenta un rischio non solo economico, ma anche operativo e sociale. - San Carlo Gruppo Alimentare (20 gennaio 2026)
Storico marchio italiano e leader nel settore degli snack, San Carlo è uno dei nomi più rilevanti colpiti in questo periodo. Il settore alimentare continua a essere un obiettivo appetibile per via delle catene di produzione e distribuzione altamente sensibili ai blocchi operativi.
Sarcoma e Qilin: focus su industria e servizi
Altri gruppi ransomware hanno colpito aziende manifatturiere e di servizi:
- Sarcoma → MecMatica (20 gennaio 2026)
MecMatica, azienda italiana che fornisce soluzioni software, è stata segnalata come vittima. Il settore IT non è immune, soprattutto quando gestisce dati critici o proprietà intellettuale. - Qilin → Casadei (19 gennaio 2026)
Azienda manifatturiera, attiva nella produzione, finita nel mirino del gruppo Qilin. - Qilin → Colacem (17 gennaio 2026)
Importante realtà nel settore dei materiali da costruzione, con impatti potenzialmente rilevanti sulla supply chain. - Qilin → Fluorsid Spa (17 gennaio 2026)
Azienda operante nei servizi e nell’industria chimica, un comparto strategico spesso preso di mira per l’elevato valore dei dati e dei processi industriali.
Il giorno precedente, 13 gennaio 2026 alle 03:51, il gruppo Incransom ha rivendicato un attacco contro STIM Group, azienda che opera nel settore dei servizi tecnologici avanzati.
STIM Group si presenta come un fornitore di soluzioni complete che spaziano dal Project Management ai Global Service, offrendo supporto tecnologico integrato a clienti enterprise. Secondo quanto dichiarato dal gruppo criminale, sarebbero stati sottratti circa 100 GB di dati, una quantità significativa che potrebbe includere documentazione interna, dati di progetto e informazioni potenzialmente sensibili. [info]
Data breach all’Adriatic Port Authority: colpito il porto di Ancona
Il 14 gennaio 2026 alle ore 14:39, il gruppo ransomware Anubis ha dichiarato di aver compromesso i sistemi dell’Adriatic Port Authority, l’ente che gestisce il porto di Ancona. Secondo quanto riportato dagli attaccanti, l’attacco avrebbe portato a un data breach ai danni del dominio ufficiale www.porto.ancona.it. [info]
Softlab SpA – attacco rivendicato da Qilin
Il gruppo Qilin, tra i ransomware più attivi del periodo, ha pubblicato una rivendicazione relativa a Softlab SpA, società italiana nel settore dei servizi IT/business. L’entry di leak è comparsa l’8 gennaio 2026, indicando che Softlab è stata aggiunta all’elenco delle vittime.
Secondo i dati di threat intelligence, l’attacco è datato al 2026‑01‑08, con possibile compromissione di credenziali e superfici esterne — pur senza evidenze pubbliche di esfiltrazione di dati sensibili al momento.
MUTTI‑PARMA.COM – Clop colpisce azienda alimentare
Sempre l’8 gennaio 2026, il dominio mutti‑parma.com — sito ufficiale della storica azienda di conserve di pomodoro — è stato segnalato come vittima di ransomware Clop. L’intelligence di ransomware.live indica che l’attacco è emerso nelle liste di Clop, con attività di infostealer rilevate su più account utente. (ransomware.live)
Clop è uno dei gruppi che storicamente ha fatto registrare numeri record di vittime, sfruttando soprattutto campagne MFT (managed file transfer) e vulnerabilità note per scalare diffusione e impatto.
Nota: Clop tende a combinare crittografia con pubblicazione di dati, mettendo pressione sulle vittime affinché paghino il riscatto.
The Cressi – Qilin nel settore manifatturiero
La storica azienda The Cressi, attiva nella produzione di attrezzature da immersione, è comparsa come vittima del gruppo Qilin lo stesso 8 gennaio. La rivendicazione da parte di un gruppo filo-russo è stata pubblicata sulle piattaforme darknet associate al ransomware, anche se non è chiaro se dati o backup critici siano già stati pubblicati. (Cybernews)
Qilin è noto per attacchi di double‑extortion, dove non solo crittografa file ma estrae dati e minaccia la loro pubblicazione se non viene pagato un riscatto.
Labeltex Group – Akira nel tessile
Il 7 gennaio 2026, il gruppo Akira ha rivendicato un attacco alla Labeltex Group Srl, importante azienda tessile italiana. Secondo i rapporti, gli aggressori hanno pubblicato un messaggio minacciando di rilasciare “dati sensibili aziendali e finanziari” se non fosse soddisfatta la richiesta di riscatto. (DeXpose)
Akira è un attore ransomware emergente che ha visto una crescita significativa di attività e vittime negli ultimi mesi)
Italgrafica Sistemi – Brotherhood rivendica dati
Per Italgrafica Sistemi, il gruppo chiamato “brotherhood” ha segnalato la compromissione di circa 470 GB di file compressi e free files nell’episodio datato 6 gennaio. La menzione di file “e‑mails” indica che potrebbero esser stati rubati dati di comunicazione interna.
Nota: A causa della natura della fonte e del metodo di pubblicazione, non ci sono conferme ufficiali dalle aziende coinvolte.
