Maxi fuga di dati in Svizzera: ecco cosa è successo dopo l'attacco ransomware a Radix

La fondazione Radix, organizzazione non profit con sede a Zurigo impegnata nella promozione della salute e nella collaborazione con diverse amministrazioni federali svizzere, è stata vittima di un attacco ransomware che ha portato al furto e alla successiva pubblicazione di una vasta quantità di dati sensibili sul dark web. L’attacco è avvenuto il 16 giugno 2025 ed è stato rivendicato dal gruppo Sarcoma, uno dei più recenti e aggressivi gruppi ransomware emerso nell’ultimo anno, già responsabile di attacchi a realtà di rilievo internazionale come Unimicron e TMA Group.

Secondo quanto dichiarato da Radix, nonostante l’adozione di elevati standard di sicurezza, i cybercriminali sono riusciti a infiltrarsi nei sistemi dell’organizzazione, esfiltrando e criptando dati per un totale di 1,3 terabyte, tra cui documenti digitalizzati, contratti, comunicazioni e informazioni finanziarie. Dopo il mancato pagamento del riscatto, il gruppo Sarcoma ha pubblicato l’intero archivio sul proprio sito di leak nel dark web il 29 giugno 2025.

Nello svolgimento delle sue normali attività, Radix collabora con numerosi uffici federali svizzeri e proprio per questo l’attacco ha avuto ripercussioni anche su dati appartenenti all’amministrazione federale. La Swiss National Cyber Security Center (NCSC) ha avviato un’indagine per identificare quali unità e quali dati siano stati effettivamente coinvolti. Le autorità svizzere hanno precisato che Radix non dispone di accesso diretto ai sistemi informatici della Confederazione, escludendo quindi una compromissione diretta delle infrastrutture federali.

Radix ha affermato di aver revocato tempestivamente l’accesso ai dati sensibili una volta scoperto l’attacco e di essere in procinto di ripristinare i dati criptati tramite backup. L’organizzazione ha inoltre informato personalmente le persone potenzialmente coinvolte, sottolineando che, allo stato attuale delle conoscenze, non risultano compromessi dati sensibili appartenenti a organizzazioni partner.

Il gruppo Sarcoma, attivo da ottobre 2024, ha mostrato la capacità di far uso di tecniche sofisticate, tra cui exploit zero-day, strumenti di amministrazione remota (RMM), phishing mirato, sfruttamento di vulnerabilità note e attacchi supply-chain. Una volta ottenuto l’accesso, il malware si propaga lateralmente sfruttando connessioni RDP, individua altri sistemi vulnerabili, esfiltra dati e li cripta, rinominando i file con l’estensione .sarcoma.

L’attacco a Radix rappresenta un esempio emblematico dei rischi legati alla gestione della sicurezza dei fornitori terzi. Le autorità svizzere hanno ribadito l’importanza di valutare non solo la propria postura di sicurezza, ma anche quella dei propri partner e fornitori, adottando pratiche di vendor risk assessment e integrando i fornitori nei piani di risposta agli incidenti. In caso di violazione di un partner, come avvenuto con Radix, è fondamentale agire rapidamente e comunicare in modo trasparente con tutte le parti potenzialmente coinvolte.

Radix invita inoltre tutti gli interessati a mantenere alta l’attenzione nei prossimi mesi, poiché i dati pubblicati potrebbero essere sfruttati da criminali informatici per condurre campagne di phishing, furto d’identità e altri tipi di attacchi mirati.