Operazione Epic Fury: Sophos avverte di rappresaglie informatiche globali
Indice dei contenuti
Oggi abbiamo ricevuto un importante avviso di sicurezza (Security Advisory) da Sophos. A causa dell’attuale situazione geopolitica relativa all’“Operazione Epic Fury” e del conseguente aumento della minaccia cyber, vogliamo trasmettervi questo avviso direttamente.
Di seguito troverete la versione tradotta dell’avviso. Se desiderate leggere la versione originale in inglese, potete sempre passare alla versione inglese di questa pagina.
Intelligence Report - Escalation del conflitto in Medio Oriente
Panoramica
Il 28 febbraio 2026, gli Stati Uniti (USA) e Israele hanno lanciato l’“Operazione Epic Fury”, che comprendeva una serie coordinata di attacchi contro siti di missili militari, impianti di produzione e la marina iraniana.
In risposta, il governo iraniano ha segnalato la sua intenzione di rappresaglia e ha lanciato attacchi contro le basi militari israeliane e statunitensi nella regione. L’Iran ha imposto un blocco di Internet per limitare il flusso di informazioni in entrata e in uscita dal Paese, una misura che spesso adottano in periodi di conflitto o disordini interni.
Mentre l’Iran valuta le sue opzioni, aumenta la probabilità che gruppi proxy e hacktivisti intraprendano azioni, compresi attacchi informatici, contro obiettivi militari, commerciali o civili affiliati a Israele e agli Stati Uniti. Tali attività includerebbero molto probabilmente defacement di siti web, attacchi Distributed Denial-of-Service (DDoS), l’amplificazione di vecchie fughe di dati (presentate come nuovi incidenti) e tentativi rudimentali di compromettere i sistemi industriali connessi a Internet. L’Iran potrebbe anche optare per operazioni informatiche offensive dirette.
L’Iran ha una lunga storia nell’uso di attacchi informatici dirompenti come segnale di rappresaglia, di sfida e di determinazione. Queste operazioni mirano a imporre costi e a creare incertezza, poiché l’Iran raramente annuncia o si assume apertamente la responsabilità, suggerendo invece talvolta l’attribuzione attraverso immagini o messaggi utilizzati da profili fittizi (personas) affiliati. Impiega regolarmente gruppi proxy e falsi hacktivisti o cybercriminali come copertura per eseguire attacchi, avanzare rivendicazioni pubbliche e amplificare le narrazioni attraverso i social media e le piattaforme di messaggistica. Le agenzie governative, le infrastrutture critiche e le organizzazioni del settore finanziario potrebbero essere esposte a un rischio maggiore a causa delle passate operazioni informatiche iraniane. Un esempio notevole è l’uso del profilo “HomeLand Justice” per condurre attacchi politicamente motivati con malware Wiper e “hack-and-leak” contro entità governative albanesi dal 2022.
L’Iran ha impiegato più di una dozzina di profili simili in operazioni mirate contro Israele, con un aumento delle attività in seguito al conflitto Israele-Hamas nell’ottobre 2023. Diversi gruppi operati dall’Iran sono stati riattivati dopo gli attacchi di Israele all’Iran iniziati il 13 giugno 2025.
Sebbene i gruppi di minacce informatiche iraniani legati all’esercito e all’intelligence siano noti per esagerare i loro successi, possono comunque rappresentare una minaccia credibile. Questi gruppi sfruttano attivamente le opportunità per ottenere l’accesso alle organizzazioni bersaglio, portando spesso al furto di dati, ad attacchi ransomware o Wiper e al successivo rilascio pubblico delle informazioni rubate.
Cosa dovreste fare
In previsione di attacchi di rappresaglia, Sophos raccomanda ai clienti – specialmente a quelli che operano negli Stati Uniti e in Medio Oriente – di aumentare la propria vigilanza. Le organizzazioni dovrebbero mantenere un’elevata consapevolezza rispetto alle attuali campagne di phishing, al password-spraying e ad altri attacchi alle credenziali.
Inoltre, è fondamentale mantenere il focus sulle pratiche di sicurezza di base, come l’applicazione di patch ai sistemi connessi a Internet contro vulnerabilità note, l’implementazione e la manutenzione di soluzioni antivirus, e il monitoraggio delle soluzioni Endpoint Detection and Response (EDR).
Le organizzazioni dovrebbero inoltre rivedere i propri piani di continuità aziendale (Business Continuity) e i processi di ripristino per prepararsi ad attacchi di tipo ransomware o malware Wiper.
Cosa sta facendo Sophos MDR (Managed Detection Response)
Sophos monitora attivamente le minacce legate all’escalation del conflitto e collabora a stretto contatto con partner del settore pubblico e privato.
Riferimenti:
- https://www.cisa.gov/shields-up
- https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/iran
- https://www.ncsc.gov.uk/guidance/actions-to-take-when-the-cyber-threat-is-heightened
- https://www.enisa.europa.eu/publications/boosting-your-organisations-cyber-resilience
Abbiate cura di voi in questi tempi turbolenti e restate vigili digitalmente come nella vita reale.
Alla prossima volta, auguro a tutti voi di essere al sicuro.
Joe
