Il gruppo ransomware Blackfield ha rivendicato l'attacco alla controllata taiwanese Nidec Chaun Choung Technology, chiedendo due milioni di dollari per cancellare i dati rubati. L'incidente, confermato da Nidec Corporation il 22 giugno 2026, introduce una novità nel panorama del crimine informatico: una struttura tariffaria flessibile che include estensioni giornaliere del termine a pagamento e un'opzione di acquisto immediato dei dati a prezzo scontato. Il caso rivela come l'ecosistema ransomware abbia sviluppato logiche commerciali sofisticate, calibrate per massimizzare il ricavato e abbassare la resistenza delle vittime.
- Blackfield ha rivendicato l'attacco a Nidec Chaun Choung Technology con una richiesta di riscatto di 2 milioni di dollari per la cancellazione dei dati esfiltrati.
- Il gruppo ha strutturato un "menu dei prezzi" che include estensioni della deadline a 5.000 dollari al giorno e un'opzione di download immediato dei dati per 400.000 dollari.
- Nidec ha confermato l'attacco il 22 giugno 2026, ha isolato i sistemi colpiti, ma non ha verificato l'esfiltrazione effettiva di dati personali o confidenziali online.
- È il secondo attacco ransomware in meno di due anni contro una controllata del gruppo giapponese, dopo l'incidente del 2024 alla divisione vietnamita Nidec Precision.
Come funziona il ricatto a rate: la struttura tariffaria di Blackfield
La posta in gioco non è solo l'ammontare del riscatto, ma il modo in cui è stato calibrato. Blackfield ha concesso a Nidec più di 15 giorni per rispondere e negoziare, secondo quanto riporta BleepingComputer. Questa finestra temporale supera la media dei gruppi ransomware, che spesso impongono deadline di 72-96 ore per accelerare la pressione psicologica.
La vera innovazione sta nel pricing multi-livello. A fianco dei 2 milioni di dollari per la cancellazione dei dati, Blackfield offre un'estensione della deadline di un giorno per 5.000 dollari. Questa opzione trasforma il ricatto da evento binario in relazione commerciale continuativa, dove ogni giorno di rinvio ha un costo prevedibile e relativamente contenuto rispetto al capitolato totale.
L'opzione di download immediato dei dati per 400.000 dollari completa il quadro. Il prezzo, pari al 20% della richiesta principale, può essere interpretato come un'offerta "entry level" per acquirenti terzi interessati ai dati industriali, o come una via di fuga per Nidec se il negoziato dovesse arenarsi. La fonte non specifica se questa opzione includa l'esclusiva sull'acquisto o se i dati rimangano in vendita parallela.
Cosa ha confermato Nidec e cosa resta nel campo delle ipotesi
Nidec Corporation ha emesso una dichiarazione ufficiale nella settimana precedente al rilancio della notizia, confermando l'attacco alla controllata taiwanese. La società ha precisato che il 22 giugno 2026 è stata accertata "damage derived from ransomware" su parte dei server di Nidec Chaun Choung Technology. La risposta immediata è stata l'isolamento dei sistemi: "emergency measures, including shutting down the affected server and network, were taken".
La stessa dichiarazione, riportata da BleepingComputer, contiene una formulazione cauta sul dato effettivo: "possibility of information leak, although no personal or confidential information has been confirmed to have been leaked online". Questa frase lascia aperta la porta a un'intrusione con accesso ai sistemi ma senza esfiltrazione verificata, o a un'acquisizione di dati non ancora classificata come "personale" o "confidenziale" nel senso stretto della compliance giapponese.
Blackfield ha pubblicato campioni di dati sul proprio leak site .onion, mostrando strutture di file e documenti vari. BleepingComputer ha esplicitamente dichiarato di non poter confermare la validità di questi dati di esempio. Il volume esatto dei dati esfiltrati, la natura precisa dei documenti, il vettore di accesso iniziale e lo stato attuale delle negoziazioni restano non documentati dalla fonte.
Il contesto industriale: perché Nidec è un target ad alta redditività
Nidec Corporation è uno dei principali fornitori mondiali di motori elettrici di precisione, con un fatturato di circa 17,2 miliardi di dollari, circa 100.000 dipendenti e operazioni in oltre 40 paesi. La gamma produttiva include motori per automotive, elettronica di consumo, robotica, ascensori e sistemi HVAC. Questa posizione nella supply chain globale rende ogni sua controllata un nodo potenzialmente critico per l'interruzione produttiva di clienti OEM.
Nidec Chaun Choung Technology, con sede a Taiwan, opera nel settore dei componenti elettronici e dei sistemi di raffreddamento per applicazioni industriali. La sua collocazione geografica rientra in un pattern ricorrente: grandi corporation giapponesi con controllate in Asia orientale che attraggono attenzione ransomware per la combinazione di asset tecnologici di valore e, potenzialmente, perimetri di sicurezza eterogenei tra headquarter e filiali regionali.
Il dossier non documenta impatti confermati su produzione, spedizioni o operazioni di business della controllata taiwanese. Non emerge nemmeno se altre controllate del gruppo Nidec siano state coinvolte nell'incidente.
Un precedente che pesa: il secondo attacco in due anni contro il gruppo
Il contesto rende l'incidente particolarmente rilevante per la ricorrenza. Nell'ottobre 2024, la divisione vietnamita Nidec Precision subì un attacco ransomware rivendicato contemporaneamente dai gruppi 8Base ed Everest, con oltre 50.000 file esposti. Questo precedente solleva questioni sulla resilienza del perimetro di sicurezza del gruppo e sulla possibile condivisione di infrastrutture IT tra controllate che espandono la superficie di attacco.
La ripetizione del target suggerisce che i gruppi ransomware tracciano e archiviano le vittime con dettagli operativi, e che la supply chain di una corporation globale offre molteplici punti di ingresso serializzabili nel tempo. La fonte non fornisce elementi per collegare tecnicamente i due attacchi o per verificare se siano stati condotti con strumenti o infrastrutture comuni.
"On Monday, June 22, 2026, ransomware-originated damage was confirmed in part of Nidec Chaun Choung Technology's server"
— Nidec Corporation, dichiarazione ufficiale riportata da BleepingComputer
Perché è importante
Il brief non documenta misure correttive specifiche adottate da Nidec oltre all'isolamento dei sistemi. Il dossier non specifica la natura dei dati esposti nei campioni pubblicati, né se l'attacco abbia comportato cifratura dei sistemi oltre all'esfiltrazione. Non emergono informazioni sullo storico di attività del gruppo Blackfield o sulle sue caratteristiche tecniche distintive rispetto ad altri operatori ransomware.
Il caso Blackfield-Nidec rivela una trasformazione nel modello di business del crimine informatico: il ransomware non si limita più a cifrare e chiedere, ma struttura offerte commerciali con opzioni, scadenze dilatabili e prezzi differenziati. Questo livello di sofisticazione economica riflette una maturità dell'ecosistema che le difese tradizionali, focalizzate su contenimento tecnico, potrebbero non contrastare adeguatamente se non integrate da valutazione del rischio reputazionale e da piani di risposta al ricatto che includano la dimensione negoziale.
Per le corporation con supply chain globale, l'incidente segnala che la sicurezza della controllata estera non è più un perimetro secondario: è il punto di ingresso preferenziale per attacchi che colpiscono il cuore industriale del gruppo. La fonte non specifica se Nidec abbia avviato audit di sicurezza sulle altre controllate asiatiche a seguito dell'incidente.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/blackfield-ransomware-asks-nidec-corporation-for-2-million-ransom/
- https://www.hendryadrian.com/blackfield-ransomware-asks-nidec-corporation-for-2-million-ransom/
- https://www.dexpose.io/blackfield-ransomware-strikes-nidec-chaun-choung-technology-corporation/
- https://www.ransomware.live/group/Blackfield
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments