Il gruppo hacker criminale Scattered Spider ha rivendicato l’attacco cyber contro Jaguar e Land Rover (JLR), costringendo i due colossi dell’automotive a sospendere produzioni e vendite.
L’attacco contro Jaguar e Land Rover
Lo scorso 1° settembre Jaguar e Land Rover (JLR), multinazionale automobilistica britannica di proprietà del gruppo indiano Tata, ha subìto un attacco cyber di grande portata. Gli stabilimenti inglesi di Halewood e Solihull sono stati chiusi e le produzioni sospese inizialmente fino al 9 settembre. La violazione dei sistemi informatici interni ha comportato ritardi anche nelle vendite al dettaglio.
Nonostante la compagnia abbia voluto precisare che non ci siano prove che attestino il furto dei dati dei clienti la portata complessiva dei danni non è chiara. Non è nota nemmeno l’entità dei dati eventualmente esfiltrati. Manca anche un eventuale richiesta di riscatto.
Nel frattempo, proseguono le indagini della National Crime Agency britannica. L’attacco è stato solo l’ultimo di una serie che negli ultimi mesi ha visto il Regno Unito, suo malgrado, protagonista.
C’è la rivendicazione di Scattered Spider
Il gruppo hacker criminale Scattered Spider ha rivendicato l’attacco, che avrebbe effettuato sfruttando una vulnerabilità nel sistema SAP Netweaver, un software di terze parti che JLR impiega.
Già ad inizio anno l’agenzia informatica statunitense CISA aveva lanciato un monito sulla presenza di una falla all’interno del sistema informatico. Tuttavia, non è chiaro se il gruppo automobilistico abbia applicato le necessarie patch di sicurezza.
Per questo, la crisi non rappresenta solo una sfida operativa, ma anche un danno reputazionale. Il tutto, nonostante i siti web siano rimasti comunque attivi. Tuttavia, il gruppo dovrà dimostrare di aver preso tutte le misure necessarie per difendere le produzioni, i dati dei clienti e garantire la sicurezza dei propri sistemi informatici.
Un problema reiterato
“L’incidente cyber che ha colpito Jaguar e Land Rover non è un episodio isolato“, ha dichiarato Sielte a Cybersecurity Italia. “Mostra con chiarezza quanto la moderna industria manifatturiera sia diventata dipendente da catene digitali complesse e da software di terze parti. La compromissione di questi ultimi può fermare intere linee produttive“.
Sempre secondo la compagnia di telecomunicazioni, che ha un’unità dedicata alla cybersicurezza, “la decisione di sospendere impianti e vendite è coerente con le pratiche di containment. Certamente con quelle viste in altri grandi incidenti recenti. Lì dove il danno operativo “vale spesso più del solo furto di dati“.
Dal punto di vista tecnico, l’uso di vettori come SAP NetWeaver (e vulnerabilità correlate) è una costante. Falle critiche in componenti enterprise largamente diffuse diventano rapidamente un “moltiplicatore” di rischio se restano non patchate. Questo, perché consentono esecuzioni remote o escalation di privilegi in ambienti core.
Si mette così in luce la necessità di politiche di patch management e di monitoraggio proattivo specifiche per applicazioni di business-critical.
Tendenze globali
A livello globale emergono tre trend chiave:
- aumento degli attacchi alla supply-chain software.
- Targeting mirato di settori industriali (es. automotive) dove l’interruzione crea danni immediati.
- Diffusione di strumenti sempre più accessibili e sofisticati (ransomware-as-a-service, exploit pubblici).
“Questi fattori“, ha spiegato Sielte, “hanno reso supply-chain e manifattura tra i bersagli più colpiti nel 2024–2025. Il tutto naturalmente favorito dal contesto geopolitico, tra tensioni regionali e conflitti informatici“.
Un fattore, quello del contesto geopolitico, che porta al proliferare dei rischi di attacchi mirati a infrastrutture critiche e settori strategici. Anche gruppi criminali sfruttano la compromissione di sistemi essenziali come leva economica o reputazionale, perciò servono contromisure preventive efficaci.
Le raccomandazioni pratiche di Sielte: “Serve un approccio stratificato“
Sielte, attraverso il team di Sielte Cyber security, ha poi indicato alcuni fattori per ridurre l’impatto di eventi come questo. Le linee guida in trend ed in linea con le odierne necessità suggeriscono un approccio stratificato. Un approccio che non sia “single-vendor”, bensì un mix di capability (competenze e tecnologia) che si integrano via API e algoritmi AI per fornire visibilità, prioritizzazione e risposta automatica.
Per contenere e mitigare eventi di questa portata è necessario adottare un approccio stratificato e operativo. Bisogna evitare soluzioni “single-vendor” e costruire invece un ecosistema integrato di capability interconnesso e correlato.
Queste componenti devono essere orchestrate da pipeline di intelligence e modelli AI che correlano singoli comportamenti apparentemente leciti, telemetria, threat-feed e criticità di business. L’ottica è quella di produrre risk-score dinamici in base al contesto dell’azienda.
Naturalmente cercando di prioritizzare le remediation e attivare risposte automatiche (isolamento, applicazioni di policy, orchestrazione patch, playbook SOAR). Il tutto, mantenendo sempre il controllo e la supervisione umana.
Tra le solution odierne, “è necessario introdurre visibilità e controllo delle infrastrutture“. Da qui, nelle modalità da preferire si possono valutare una serie di layer di security. Nel dettaglio:
- Asset discovery & amp. Risk management — mappare automaticamente tutti gli asset (on-prem/Cloud) e assegnare un risk-score dinamico per priorizzare interventi. AI: correlazione telemetria + threat intel per scoring automatico.
- Attack Surface Management (ASM) — monitoraggio continuo dell’esposizione esterna (domini, API, servizi) per identificare servizi esposti e misconfigurazioni. AI: classificazione automatica delle leak/alert pubblici.
- Endpoint security + Zero Trust — EDR comportamentale su host critici, micro-segmentazione e policy Zero Trust per accessi privilegiati. AI: behavioral modelling per rilevare deviazioni e attivare isolamento automatico.
- Vulnerability management proattivo — scansioni continue, prioritizzazione business-aware delle patch e virtual patching per sistemi legacy. AI: prioritizzazione basata su exploitabilità reale e valore dell’asset.
- Detection &. Response orchestration (SIEM/SOAR evoluto) — centralizzare log/telemetria e usare playbook automatizzati per containment e forensics. AI: riduzione falsi positivi e suggerimento di azioni contestualizzate per il SOC.
