Nel tardo agosto 2025, Jaguar Land Rover (JLR), uno dei colossi dell’industria automotive europea, è stato vittima di uno dei più gravi attacchi informatici mai registrati nel settore. L’attacco ha paralizzato la produzione globale per circa cinque settimane e causato perdite economiche che si stimano tra 1,9 e 2,5 miliardi di sterline, con ripercussioni profonde sull’indotto britannico e internazionale.
Il gruppo hacker: Scattered Lapsus Hunters
L’attacco è stato rivendicato da un supergruppo hacker noto come Scattered Lapsus Hunters, nato dall’unione di tre gruppi criminali informatici: Scattered Spider, Lapsus$ e ShinyHunters. Questi gruppi sono specializzati rispettivamente in accesso iniziale sofisticato e social engineering, reclutamento di insider per furto di codice sorgente, e raccolta dati per estorsioni su larga scala.
Le tecniche usate combinano:
- Ransomware, per criptare e bloccare l’accesso ai dati e ai sistemi critici;
- Sfruttamento di vulnerabilità software, in particolare una falla nel sistema SAP NetWeaver, strumento chiave per la gestione aziendale e della supply chain di JLR;
- Social engineering avanzato, con phishing, vishing e manipolazione psicologica per sottrarre credenziali da dipendenti e insider;
- Movimenti laterali nella rete aziendale con escalation privilegiata e uso di traffico Tor per eludere i controlli;
- Esfiltrazione e pubblicazione di dati come leva per estorsioni pubbliche su canali dedicati.
Gli hacker mantengono un vero e proprio mercato interno per reclutare insider e offrire ricompense per accessi persistenti in reti VPN, Active Directory e cloud aziendali, mirando ad alto impatto e campagne internazionali estorsive.
Impatto operativo ed economico
L’attacco ha provocato una sospensione immediata della produzione nei principali stabilimenti di Halewood, Solihull, Wolverhampton, nonché in siti internazionali in Slovacchia, Cina e India, bloccando circa 5.000 veicoli a settimana per cinque settimane. Ciò ha generato perdite dirette per JLR di circa 108 milioni di sterline a settimana solo nel Regno Unito, mentre l’impatto sull’economia nazionale coinvolge oltre 5.000 organizzazioni e migliaia di lavoratori sospesi.
Le problematiche si sono estese anche a problemi di inventario e ritardi nelle vendite, aggravando la crisi della filiera automotive. Per mitigare il danno economico, il governo britannico è intervenuto con una garanzia di prestito da 1,5 miliardi di sterline.
Sistemi compromessi e dati sottratti
L’intrusione ha interessato in primo luogo il sistema SAP NetWeaver, tramite cui gli hacker hanno ottenuto accesso ai sistemi di produzione e logistica. Sono stati poi compromessi sistemi di controllo industriale e automazione delle linee, oltre ai sistemi di sviluppo software: sono stati sottratti circa 350 GB di dati, tra cui codice sorgente, registri di sviluppo, informazioni su dipendenti e dati rilevanti per la supply chain.
Nonostante le iniziali smentite, JLR ha confermato il coinvolgimento di dati personali e tecnici, impegnandosi a informare i soggetti coinvolti in linea con la normativa europea GDPR.
Misure di contenimento e recupero
Al primo segnale di compromissione, JLR ha adottato una strategia di spegnimento proattivo e isolamento dei sistemi IT globali. Sono state sospese le attività produttive per evitare danni ulteriori e sono state disconnesse e segmentate le reti compromesse per limitare i movimenti laterali degli aggressori.
Successivamente è stato avviato un piano di ripristino graduale e controllato dei sistemi e della produzione, potenziando anche la capacità IT soprattutto per servizi critici come la fatturazione e la gestione ordini.
JLR ha stretto una collaborazione con la National Crime Agency britannica, team esterni di incident response e il governo UK, quest’ultimo con un ruolo di supporto finanziario. Contemporaneamente sono state implementate misure di sicurezza rafforzate: patch di sistema, controllo degli accessi, formazione del personale e monitoraggio continuo.
Indagini forensi e analisi approfondite
L’investigazione ha coinvolto un’équipe interna e agenzie esterne specializzate in digital forensics. Sono stati analizzati approfonditamente i log di sistema, di rete e di autenticazione, con particolare attenzione al traffico sospetto verso endpoint Tor e alle attività di comando e controllo. Sono state raccolte e preservate evidenze digitali con rigorosa catena di custodia, utilizzando strumenti all’avanguardia come FTK Imager, Splunk, Wireshark, Cuckoo Sandbox, Volatility Framework e piattaforme collaborative per la gestione dei dati forensi.
Il framework di risposta seguito è stato quello del NIST Cybersecurity Incident Response, articolato nelle fasi di preparazione, identificazione, contenimento, eradicazione, recupero e lessons learned.
Conseguenze e riflessioni
Dopo circa sei settimane di stop, la produzione ha iniziato a riprendere, ma permangono dubbi sulla completa normalizzazione e sulla sicurezza a lungo termine dei sistemi JLR. Il caso, ormai divenuto tema di discussione parlamentare, mette in luce la fragilità delle catene produttive globali di fronte ad attacchi informatici sofisticati e le necessità impellenti di investimenti mirati in cybersecurity.
Il cyberattacco a Jaguar Land Rover rappresenta una delle più grandi catastrofi digitali dal punto di vista economico in UK, un duro monito per l’intero settore industriale e per le imprese nazionali e internazionali che devono affrontare le nuove sfide della sicurezza informatica.