Redazione RHC : 28 Ottobre 2025 06:39
Secondo un nuovo rapporto di Microsoft Threat Intelligence, il gruppo Storm-2657, mosso da motivazioni finanziarie, sta conducendo attacchi su larga scala contro università e aziende, utilizzando account rubati dai dipendenti per reindirizzare gli stipendi sui propri conti bancari.
Gli esperti definiscono questo tipo di attacco “pirateria delle buste paga”. Durante la campagna, gli aggressori hanno cercato di accedere a piattaforme HR basate su cloud, come Workday, per alterare i dati di pagamento delle vittime.
Un’indagine di Microsoft ha rivelato che la campagna era attiva dalla prima metà del 2025. Gli aggressori hanno utilizzato e-mail di phishing accuratamente progettate per rubare codici di autenticazione a più fattori utilizzando schemi Adversary-in-the-Middle ( AitM ).
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dopo aver ottenuto le credenziali di accesso, si sono infiltrati nelle caselle di posta dei dipendenti e nei servizi HR aziendali, dove hanno modificato i parametri di pagamento. Per nascondere le loro tracce, Storm-2657 ha creato regole di Outlook che eliminavano automaticamente le notifiche di Workday relative a qualsiasi modifica del profilo.
Microsoft ha registrato almeno 11 compromissioni di account andate a buon fine in tre università. Questi indirizzi sono stati poi utilizzati per inviare migliaia di email di phishing ad altri campus, per un totale di circa 6.000 potenziali vittime in 25 università.
Alcuni messaggi sembravano notifiche di malattia o un’indagine su un incidente nel campus. Gli oggetti includevano “Caso simile al COVID segnalato: controlla lo stato del tuo contatto” o “Segnalazione di cattiva condotta da parte del corpo docente“. Altre email imitavano le email delle risorse umane e contenevano link a documenti presumibilmente ufficiali su retribuzioni e compensi. Google Docs, uno strumento comune in ambito accademico, è stato spesso utilizzato per camuffarsi, rendendo gli attacchi difficili da rilevare.
Una volta ottenuto l’accesso, gli aggressori hanno modificato i profili delle vittime, sostituendo spesso i conti bancari utilizzati per i trasferimenti di stipendio. In alcuni casi, hanno anche aggiunto i propri numeri di telefono come dispositivi MFA , riuscendo così a mantenere il controllo del profilo all’insaputa del proprietario. Queste operazioni sono state registrate nei log di Workday come eventi “Modifica account” o “Gestisci scelte di pagamento“, ma gli utenti non ne sono stati informati a causa dei filtri e-mail.
Microsoft sottolinea che gli attacchi non sono correlati a vulnerabilità dei prodotti Workday in sé. Il problema risiede nella mancanza o nella debolezza della protezione MFA. Pertanto, l’azienda esorta le organizzazioni a migrare verso metodi di autenticazione avanzati e resistenti al phishing: chiavi FIDO2, Windows Hello for Business e Microsoft Authenticator.
Si consiglia agli amministratori di forzare questi metodi in Entra ID e di implementare l’autenticazione senza password.
La pubblicazione di Microsoft delinea le richieste di strumenti di sicurezza in grado di rilevare segnali di intrusione, da regole di posta elettronica sospette a modifiche nei dettagli di pagamento e nuovi dispositivi MFA.
L’azienda riferisce inoltre di aver già contattato alcune organizzazioni interessate, fornendo loro informazioni sui TTP utilizzati e raccomandazioni per ripristinare la sicurezza.
RedazioneMicrosoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
