Ransomware Qilin: minaccia reale per la logistica italiana

IA nel Settore Energetico Italiano: Transizione VerdeBy 3L3C

Qilin è il ransomware che punta su manifattura e logistica. Ecco come attacca le aziende italiane e quali azioni concrete adottare per proteggere la supply chain.

ransomware qilincybersecurity industrialelogistica italianasicurezza supply chainsicurezza OTindustria manifatturiera
Share:

Qilin: quando un ransomware può fermare una filiera intera

Nel secondo semestre 2025 Qilin ha colpito oltre 40 nuove aziende al mese, con picchi sopra le 100 organizzazioni compromesse in un solo mese. Per un gruppo criminale è “solo” un numero; per chi gestisce una supply chain significa linee ferme, SLA saltati, penali contrattuali e clienti persi.

Questo riguarda da vicino la logistica e il manifatturiero italiani: Qilin prende di mira proprio questi settori, sfruttando vulnerabilità banali in VPN, accessi remoti e sistemi di backup. Chi gestisce magazzini automatici, TMS, WMS, piattaforme di tracking o integrazioni EDI sa bene quanto un blocco IT si traduca subito in un blocco fisico di merci e produzione.

In questo articolo vediamo che cos’è Qilin, come attacca concretamente le imprese industriali e logistiche, quali sono gli impatti economici e operativi e, soprattutto, quali misure pratiche adottare adesso per ridurre il rischio, con un occhio alle specificità della supply chain italiana.

Che cos’è Qilin e perché è così pericoloso per industria e logistica

Qilin è una piattaforma di Ransomware-as-a-Service (RaaS): un ecosistema criminale in cui chi sviluppa il malware lo affitta ad affiliati che lo usano per colpire le aziende e dividere i profitti.

Come funziona il modello RaaS di Qilin

Il modello è semplice e, proprio per questo, efficace:

  • il gruppo Qilin sviluppa il ransomware, gestisce l’infrastruttura, il sito di leak sul dark web e il sistema di pagamento
  • gli affiliati comprano o noleggiano l’accesso, si occupano di entrare nelle reti aziendali, muoversi al loro interno ed eseguire l’attacco
  • il riscatto viene diviso: fino all’80–85% agli affiliati, il resto agli sviluppatori

Questo meccanismo abbassa drasticamente la soglia d’ingresso nel cybercrime: non servono più competenze da “super hacker”, bastano toolkit pronti e qualche vulnerabilità non corretta.

Le tecniche usate negli attacchi Qilin

Gli attacchi Qilin seguono uno schema ormai rodato:

  1. Accesso iniziale

    • sfruttano vulnerabilità note in VPN, firewall, appliance di accesso remoto, sistemi di backup
    • utilizzano credenziali rubate via phishing o dal dark web

  2. Movimento laterale nella rete
    Una volta dentro, gli attaccanti si spostano usando spesso strumenti legittimi (ad esempio utility di amministrazione Windows). In molte aziende di logistica questo significa passare dai server gestionali ai sistemi che governano WMS, TMS, MES, SCADA e PLC.

  3. Esfiltrazione dei dati
    Prima di cifrare, Qilin seleziona e copia i dati sensibili (contratti, listini, dati di clienti, progetti, distinte base, piani di produzione). L’analisi Cisco Talos segnala l’uso perfino di applicazioni come Notepad o Paint per visualizzare i file rubati: segno di una selezione manuale e mirata.

  4. Cifratura e doppia estorsione
    La cifratura avviene spesso in due fasi (un modulo si propaga, l’altro cifra). Poi parte la classica doppia estorsione:

    • richiesta di riscatto per riavere l’accesso ai dati
    • minaccia di pubblicare i dati nel dark web per aumentare la pressione (danni reputazionali e sanzioni privacy)

Per un operatore logistico o un produttore italiano questo si traduce in uno scenario molto concreto: WMS bloccato, sistemi di picking fermi, trasporti non pianificabili, EDI con i clienti in tilt.

Perché Qilin punta il manifatturiero (e la logistica)

Le analisi mostrano che il manifatturiero è il settore più colpito da Qilin, con circa un quarto delle vittime. Subito dietro troviamo servizi professionali e commercio all’ingrosso. Non è casuale.

Tre motivi chiave:

  1. Dipendenza dai sistemi digitali
    In un magazzino o in una fabbrica moderna tutto è orchestrato da software: ERP, WMS, TMS, MES, sistemi di schedulazione, portali fornitori. Se questi sistemi sono cifrati, la produzione e la movimentazione merci si fermano in ore, non in giorni.

  2. Catene di fornitura complesse
    La logistica italiana lavora spesso in scenari multi-attore: fornitori, terzisti, 3PL, corrieri, piattaforme e-commerce e grande distribuzione. Un blocco in un nodo critico genera effetti domino su tutta la supply chain.

  3. Pressione sui tempi di ripartenza
    Il rispetto di SLA, consegne just-in-time, contratti con penali rende le aziende più inclini a pagare il riscatto pur di ripartire in fretta. Qilin questo lo sa e massimizza la pressione.

Per l’Italia la situazione è ancora più delicata: siamo un Paese manifatturiero con una miriade di PMI della logistica e della produzione che hanno fatto investimento in automazione e software, ma non sempre con la stessa cura sulla cybersecurity.

Impatto economico e operativo: non è “solo” un problema IT

Nel 2024 Qilin avrebbe incassato oltre 50 milioni di dollari in riscatti. Ma la cifra vera, per chi subisce l’attacco, è molto più alta, sommando costi diretti e indiretti.

Voci di costo tipiche per un’azienda industriale o logistica

  • Fermo impianto / fermo magazzino
    Linee di produzione e attività di magazzino bloccate per giorni: salari, straordinari, penali e mancati ricavi.

  • Ripristino sistemi IT e OT
    Interventi d’emergenza, consulenze specialistiche, migrazioni forzate, sostituzione hardware compromesso.

  • Dati persi o danneggiati
    In assenza di backup affidabili, si perdono storici di produzione, dati di tracciabilità, anagrafiche, personalizzazioni di sistemi.

  • Danni reputazionali e contrattuali
    Ritardi sistematici verso retailer, automotive, farmaceutico, luxury significano contratti persi e gare future compromesse.

  • Sanzioni e costi legali
    Se ci sono dati personali coinvolti, entrano in gioco GDPR, notifiche al Garante, cause civili, gestione delle comunicazioni a clienti e partner.

Un aspetto sottovalutato è che le varianti più recenti di Qilin sono progettate per cancellare le tracce e rendere complessa perfino l’analisi forense. Questo allunga i tempi di ripartenza e rende più difficile capire quali dati siano effettivamente finiti in mano agli attaccanti.

Difendersi da Qilin: misure prioritarie per supply chain e impianti

La buona notizia è che molti attacchi Qilin vanno a segno sfruttando debolezze note e correggibili. Non serve avere un SOC da multinazionale per alzare sensibilmente il livello di protezione.

1. Gestione delle vulnerabilità e degli accessi remoti

La porta d’ingresso più usata resta l’accesso remoto poco protetto.

Azioni concrete:

  • mappare tutti i servizi esposti verso Internet (VPN, firewall, gateway di backup, portali fornitori, accessi a impianti) e aggiornarli alle ultime patch
  • disattivare protocolli obsoleti o non usati
  • usare solo VPN moderne con autenticazione a più fattori (MFA)
  • evitare accessi diretti a PLC, HMI, sistemi SCADA dall’esterno: preferire bastion host e salti controllati

Per molte aziende italiane il problema non è “non avere sicurezza”, ma non sapere esattamente cosa è connesso e come.

2. Segmentazione di rete tra IT e OT

Qilin sfrutta la scarsa separazione tra sistemi d’ufficio e sistemi industriali.

Buone pratiche:

  • creare zone di rete separate per ERP, WMS, MES, SCADA, uffici, ospiti
  • limitare rigorosamente chi e cosa può parlare con i sistemi critici (principio del minimo privilegio)
  • usare firewall interni e regole chiare tra segmenti di rete

La segmentazione non è solo un tema tecnico: va progettata sulla base dei flussi reali della supply chain (da ordini cliente a spedizione, da approvvigionamento a produzione).

3. Backup davvero utili in caso di ransomware

Qilin punta spesso anche ai sistemi di backup. Avere un backup collegato h24 alla rete equivale, in pratica, a non averlo.

Elementi chiave:

  • almeno una copia di backup offline o immutabile dei dati critici (ERP, WMS, TMS, MES, documenti contrattuali)
  • procedure di ripristino testate periodicamente, non solo dichiarate sulla carta
  • priorità di ripristino definite: cosa serve per rimettere in moto produzione e logistica nelle prime 24–48 ore?

Nel contesto logistico italiano spesso basta recuperare pochi sistemi chiave (WMS, interfacce EDI, anagrafiche clienti/prodotti) per lavorare in modalità degradata ma operativa.

4. Formazione mirata e cultura della segnalazione

Il “fattore umano” resta decisivo. Molti attacchi iniziano da phishing o credenziali esposte.

Consigli pratici:

  • campagne periodiche di sensibilizzazione, brevi e concrete, rivolte non solo all’IT ma a magazzinieri, manutentori, pianificatori, operatori di trasporto
  • procedure chiare per segnalare subito attività sospette (mail strane, richieste anomale, comportamenti inconsueti dei sistemi)
  • simulazioni di attacco (phishing test, esercitazioni tabletop) che coinvolgano anche la direzione logistica e di stabilimento

Quando le persone sono abituate a segnalare senza paura di “fare brutta figura”, spesso si guadagnano minuti preziosi per contenere un incidente.

5. Piano di risposta agli incidenti orientato alla continuità operativa

Il vero discrimine non è solo “se” subiremo un attacco, ma come reagiremo.

Ogni azienda industriale o logistica dovrebbe avere un piano di risposta che includa:

  • ruoli e responsabilità chiari (chi decide cosa, chi parla con chi)
  • scenari predefiniti per isolamento di reti e sistemi senza bloccare tutto indiscriminatamente
  • procedure per passare a processi manuali o semiautomatici (es. picking su liste cartacee, piani di carico semplificati) per qualche giorno
  • comunicazione coordinata con clienti, fornitori, partner logistici

Chi lavora nella supply chain sa che la differenza tra un “disastro” e un “problema gestito” la fa spesso la capacità di continuare a spedire, anche se in modo imperfetto, mentre l’IT lavora al ripristino.

Perché agire ora è un tema di business, non di compliance

Qilin non è un caso isolato, ma il simbolo di una tendenza: il ransomware si è industrializzato e sta puntando con decisione su manifattura e logistica. Nel contesto italiano questo tocca direttamente la competitività delle nostre filiere.

Chi guida operations, supply chain, plant e logistica non può più considerare la cybersecurity “una faccenda tecnica dell’IT”. È un abilitatore di continuità operativa tanto quanto un secondo magazzino, un fornitore alternativo o un piano di disaster recovery fisico.

La priorità ora è trasformare le raccomandazioni in azioni concrete nei prossimi 3–6 mesi:

  • chiudere i buchi più evidenti (accessi remoti, sistemi non aggiornati)
  • mettere in sicurezza davvero i backup
  • progettare una segmentazione minima ma efficace
  • formare chi lavora tutti i giorni su sistemi critici e in magazzino
  • redigere un piano di risposta che tenga insieme IT, OT e supply chain

Chi lo farà per tempo non eliminerà del tutto il rischio, ma ridurrà drasticamente la probabilità di fermare impianti, magazzini e trasporti per colpa di Qilin o dei suoi “cugini”.

La domanda da porsi è semplice: se Qilin entrasse in rete domani mattina, quanto tempo impiegheremmo a rimettere in moto produzione e spedizioni? Il momento giusto per costruire la risposta, purtroppo, è oggi.