Jaguar Land Rover, il colosso del luxury automotive di proprietà di Tata Motors, ha ammesso pubblicamente di essere sotto attacco. Un incidente di sicurezza IT su scala globale sta mettendo in ginocchio le operazioni del gruppo, costringendo la holding indiana a una comunicazione ufficiale presso le borse valori locali già a partire dal 1° settembre. La dichiarazione, volutamente vaga, parla di “problemi IT globali” ai quali i tecnici starebbero lavorando “a ritmo serrato” per risolvere. Ma tra le righe si legge molto di più: l’ultimo, pesantissimo episodio di una guerra silenziosa che sta prendendo di mira il settore automotive con una precisione e una frequenza senza precedenti.
Quello di JLR non è un caso isolato, ma l’anello di una catena ben più lunga. Già all’inizio di quest’anno, il gruppo ransomware HELLCAT aveva preso di mira la casa automobilistica, exfiltrando centinaia di documenti interni e compromettendo dati del personale attraverso credenziali Jira sottratte. Un attacco che, a quanto pare, non è stato sufficiente a irrobustire le difese perimetrali e organizzative del gruppo.
L’automotive: il nuovo terreno di caccia del cybercrime
I numeri dipingono un quadro allarmante. Dal 2023 a oggi, i ricercatori di sicurezza hanno catalogato oltre 735 incidenti significativi direttamente rivolti al settore automotive. Il 2024, da solo, ha registrato più di 100 attacchi ransomware e 200 violazioni dati, numeri che eleggono l’auto come l’industria più colpita in assoluto, superando persino il settore finanziario e sanitario.
La sofisticazione tecnica e l’impatto operativo di questi attacchi sono cresciuti in modo esponenziale. A giugno 2024, il gruppo BlackSuit ha paralizzato i sistemi di CDK Global, fornitore di software per oltre 15.000 concessionarie nordamericane, costringendole a tornare a operazioni cartacee. Fonti di settore riportano che CDK abbia pagato un riscatto da 25 milioni di dollari per ripristinare i servizi, con perdite totali da interruzione business stimate attorno al miliardo.
Anche Toyota è finita più volte nel mirino. Il collettivo ZeroSevenGroup è riuscito a sottrarre 240 GB di dati, includendo profili clienti e piani business strategici. Parallelamente, Toyota Financial Services in Europa e Africa è stata attaccata dal ransomware Medusa, che ha richiesto un riscatto di 8 milioni di dollari.
Non sono immuni neppure i fornitori. Denso, fornitore di Toyota, Bridgestone Americas e Vauxhall Motors hanno subito violazioni massive, con milioni di record clienti e dati proprietari finiti nelle mani dei threat actor.
Perché proprio le case automobilistiche?
La risposta sta nella perfetta tempesta creata dalla trasformazione digitale del settore. Un veicolo moderno contiene oltre 100 milioni di righe di codice e circa 30.000 componenti individuali, la maggior parte provenienti da fornitori terzi. Questa complessità intrinseca moltiplica a dismisura la superficie d’attacco, offrendo punti di ingresso che spaziano dai sistemi produttivi (OT) ai dati sensibili dei clienti.
L’avvento dei veicoli connessi, dei sistemi autonomi e dell’infrastruttura per la mobilità elettrica ha ampliato ulteriormente il perimetro da difendere, spesso aggiornato in fretta e furia senza una cultura della sicurezza solida alle spalle. I costi del ransomware per il settore automotive sono schizzati da 74,7 a 209,6 milioni di dollari nella sola prima metà del 2023, mentre il downtime totale dei sistemi è passato da 1,3 a 1,99 miliardi di dollari.
I vettori d’attacco preferiti sono molteplici: credenziali compromesse da infostealer malware, sistemi legacy vulnerabili non progettati per resistere a minacce moderne e la natura iperconnessa delle supply chain, dove una singola breccia in un fornitore può innescare un effetto domino inarrestabile.
Cosa aspettarsi ora
Mentre Tata Motors assicura che fornirà aggiornamenti non appena disponibili da JLR, la comunità della sicurezza osserva con apprensione. L’incidente conferma una tendenza pericolosa: i criminali informatici non vanno più solo dopo i dati, ma prendono di mira l’operatività stessa. Disabilitare la produzione o la logistica di un colosso automobilistico equivale a colpirlo al cuore, con danni economici e reputazionali calcolabili in miliardi.
La sicurezza informatica smette di essere una funzione di supporto e diventa la colonna portante di tutto il business. Investire in cyber resilience deve essere l’unica strada percorribile per sopravvivere.