Negli ultimi giorni si sono registrati una serie di attacchi ransomware che hanno preso di mira realtà di settori diversi — dalla tecnologia ai servizi, dalla produzione tessile all’industria alimentare — con gruppi criminali che rivendicano le intrusioni sui propri “siti di leak” nel dark web. Questo articolo verrà aggiornato con gli ultimi eventi segnalati di Febbraio 2026:.
Per rimanere aggiornato consigliamo di visitare la nostra WatchList dedicata.
Prysmian Group nel mirino di 0APT
Data: 4 febbraio 2026
Il gruppo ransomware 0APT ha dichiarato di aver compromesso Prysmian Group, multinazionale italiana leader nei cavi per telecomunicazioni e nelle infrastrutture sottomarine.
Secondo quanto pubblicato, gli attaccanti sarebbero entrati in possesso di blueprint tecnici e documentazione legata alle infrastrutture undersea, un aspetto particolarmente critico vista la rilevanza strategica di questo tipo di asset per le reti di comunicazione globali.
Un attacco di questo tipo solleva interrogativi non solo sulla sicurezza aziendale, ma anche su impatti geopolitici e infrastrutturali.
Comune di Battipaglia colpito dal gruppo Medusa
Data: 3 febbraio 2026
Il gruppo ransomware Medusa ha inserito il Comune di Battipaglia tra le vittime rivendicate. Il target rientra nel filone ormai consolidato di attacchi contro la Pubblica Amministrazione locale, spesso considerata più vulnerabile a causa di sistemi legacy e risorse limitate per la cyber‑security.
La compromissione di un ente comunale comporta rischi elevati:
- esposizione di dati personali dei cittadini
- interruzione dei servizi pubblici
- possibili ricatti economici e reputazionali
Ferretti Construction vittima del ransomware Akira
Data: 2 febbraio 2026
Il gruppo Akira ha rivendicato un attacco contro Ferretti Construction, storica azienda italiana di ingegneria e costruzioni con oltre 100 anni di attività.
Il settore delle costruzioni è sempre più preso di mira dai ransomware, soprattutto per la presenza di progetti, contratti e documentazione tecnica di alto valore economico.
Akira si conferma uno dei gruppi più attivi e aggressivi del periodo, con una strategia basata su double extortion: cifratura dei dati e minaccia di pubblicazione.
AUGUSTEA.COM sotto attacco del gruppo Cl0p
Data: 30 gennaio 2026
Il noto gruppo ransomware Cl0p ha indicato AUGUSTEA.COM come nuova vittima. Cl0p è tristemente famoso per attacchi su larga scala e per lo exploit di vulnerabilità zero‑day in software enterprise.
Il coinvolgimento di questo gruppo è spesso indice di data breach massivi, con furto di informazioni aziendali e commerciali destinate ai leak site del dark web.
Clop colpisce RSTRT.IT
Nella giornata del 24 gennaio 2026 alle 20:20, il gruppo ransomware Clop ha rivendicato un attacco ai danni di RSTRT.IT. Clop è noto per operazioni mirate contro aziende e infrastrutture digitali, spesso accompagnate da furti di dati e richieste di riscatto. Al momento non sono stati diffusi dettagli ufficiali sull’entità delle informazioni compromesse.
Safepay prende di mira lcpublishinggroup.com
Sempre il 24 gennaio 2026, il gruppo Safepay ha indicato come vittima lcpublishinggroup.com, dominio riconducibile a LC Publishing Group S.p.A.
LC Publishing Group S.p.A. è una società internazionale di digital publishing e servizi di informazione, con sede a Milano, fondata nel 2011. L’azienda opera nel settore dei contenuti digitali e delle piattaforme informative, rendendo potenzialmente sensibili i dati gestiti e distribuiti.
LockBit 5 colpisce Frandent e Depot Napoli
Il gruppo LockBit 5, evoluzione di una delle famiglie ransomware più aggressive degli ultimi anni, ha rivendicato due attacchi:
- Frandent.it (21 gennaio 2026)
L’azienda Frandent, fondata da Ezio Bruno e attiva nel proprio settore da anni, è stata inserita nei leak site del gruppo. Come spesso accade in questi casi, l’attacco sarebbe accompagnato dal furto di dati aziendali, utilizzati come leva per il pagamento del riscatto. - DepotNapoli.com (15 gennaio 2026)
DEPOT Napoli, noto come primo Fetish Cruising Bar della città partenopea, è stato anch’esso colpito. L’episodio dimostra come nemmeno le realtà legate all’intrattenimento e alla nightlife siano escluse dal radar dei cybercriminali.
TheGentlemen prende di mira trasporti e food
Il gruppo TheGentlemen ha invece rivendicato due attacchi di alto profilo:
- SITA Sud (20 gennaio 2026)
Azienda attiva nel trasporto pubblico su gomma nel Sud Italia, SITA Sud opera in diverse regioni ed è un nodo cruciale per la mobilità locale. Un attacco a questo tipo di infrastruttura rappresenta un rischio non solo economico, ma anche operativo e sociale. - San Carlo Gruppo Alimentare (20 gennaio 2026)
Storico marchio italiano e leader nel settore degli snack, San Carlo è uno dei nomi più rilevanti colpiti in questo periodo. Il settore alimentare continua a essere un obiettivo appetibile per via delle catene di produzione e distribuzione altamente sensibili ai blocchi operativi.
Sarcoma e Qilin: focus su industria e servizi
Altri gruppi ransomware hanno colpito aziende manifatturiere e di servizi:
- Sarcoma → MecMatica (20 gennaio 2026)
MecMatica, azienda italiana che fornisce soluzioni software, è stata segnalata come vittima. Il settore IT non è immune, soprattutto quando gestisce dati critici o proprietà intellettuale. - Qilin → Casadei (19 gennaio 2026)
Azienda manifatturiera, attiva nella produzione, finita nel mirino del gruppo Qilin. - Qilin → Colacem (17 gennaio 2026)
Importante realtà nel settore dei materiali da costruzione, con impatti potenzialmente rilevanti sulla supply chain. - Qilin → Fluorsid Spa (17 gennaio 2026)
Azienda operante nei servizi e nell’industria chimica, un comparto strategico spesso preso di mira per l’elevato valore dei dati e dei processi industriali.
Il giorno precedente, 13 gennaio 2026 alle 03:51, il gruppo Incransom ha rivendicato un attacco contro STIM Group, azienda che opera nel settore dei servizi tecnologici avanzati.
STIM Group si presenta come un fornitore di soluzioni complete che spaziano dal Project Management ai Global Service, offrendo supporto tecnologico integrato a clienti enterprise. Secondo quanto dichiarato dal gruppo criminale, sarebbero stati sottratti circa 100 GB di dati, una quantità significativa che potrebbe includere documentazione interna, dati di progetto e informazioni potenzialmente sensibili. [info]
Data breach all’Adriatic Port Authority: colpito il porto di Ancona
Il 14 gennaio 2026 alle ore 14:39, il gruppo ransomware Anubis ha dichiarato di aver compromesso i sistemi dell’Adriatic Port Authority, l’ente che gestisce il porto di Ancona. Secondo quanto riportato dagli attaccanti, l’attacco avrebbe portato a un data breach ai danni del dominio ufficiale www.porto.ancona.it. [info]
Softlab SpA – attacco rivendicato da Qilin
Il gruppo Qilin, tra i ransomware più attivi del periodo, ha pubblicato una rivendicazione relativa a Softlab SpA, società italiana nel settore dei servizi IT/business. L’entry di leak è comparsa l’8 gennaio 2026, indicando che Softlab è stata aggiunta all’elenco delle vittime.
Secondo i dati di threat intelligence, l’attacco è datato al 2026‑01‑08, con possibile compromissione di credenziali e superfici esterne — pur senza evidenze pubbliche di esfiltrazione di dati sensibili al momento.
MUTTI‑PARMA.COM – Clop colpisce azienda alimentare
Sempre l’8 gennaio 2026, il dominio mutti‑parma.com — sito ufficiale della storica azienda di conserve di pomodoro — è stato segnalato come vittima di ransomware Clop. L’intelligence di ransomware.live indica che l’attacco è emerso nelle liste di Clop, con attività di infostealer rilevate su più account utente. (ransomware.live)
Clop è uno dei gruppi che storicamente ha fatto registrare numeri record di vittime, sfruttando soprattutto campagne MFT (managed file transfer) e vulnerabilità note per scalare diffusione e impatto.
Nota: Clop tende a combinare crittografia con pubblicazione di dati, mettendo pressione sulle vittime affinché paghino il riscatto.
The Cressi – Qilin nel settore manifatturiero
La storica azienda The Cressi, attiva nella produzione di attrezzature da immersione, è comparsa come vittima del gruppo Qilin lo stesso 8 gennaio. La rivendicazione da parte di un gruppo filo-russo è stata pubblicata sulle piattaforme darknet associate al ransomware, anche se non è chiaro se dati o backup critici siano già stati pubblicati. (Cybernews)
Qilin è noto per attacchi di double‑extortion, dove non solo crittografa file ma estrae dati e minaccia la loro pubblicazione se non viene pagato un riscatto.
Labeltex Group – Akira nel tessile
Il 7 gennaio 2026, il gruppo Akira ha rivendicato un attacco alla Labeltex Group Srl, importante azienda tessile italiana. Secondo i rapporti, gli aggressori hanno pubblicato un messaggio minacciando di rilasciare “dati sensibili aziendali e finanziari” se non fosse soddisfatta la richiesta di riscatto. (DeXpose)
Akira è un attore ransomware emergente che ha visto una crescita significativa di attività e vittime negli ultimi mesi)
Italgrafica Sistemi – Brotherhood rivendica dati
Per Italgrafica Sistemi, il gruppo chiamato “brotherhood” ha segnalato la compromissione di circa 470 GB di file compressi e free files nell’episodio datato 6 gennaio. La menzione di file “e‑mails” indica che potrebbero esser stati rubati dati di comunicazione interna.
Nota: A causa della natura della fonte e del metodo di pubblicazione, non ci sono conferme ufficiali dalle aziende coinvolte.
