Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
970x120
Fortinet 320x100px

Categoria: Cybercrime e Dark Web

Oracle sotto attacco: scoperta una vulnerabilità RCE pre-auth che compromette interi sistemi

Redazione RHC 22/11/2025

Una vulnerabilità, contrassegnata come CVE-2025-61757, è stata resa pubblica Searchlight Cyber giovedì scorso. I ricercatori dell’azienda hanno individuato il problema e hanno informato Oracle, che ha portato alla sua divulgazione. Oracle ha corretto CVE-2025-61757 con le patch di ottobre 2025 e ha confermato che si tratta di un problema critico che può essere facilmente sfruttato senza autenticazione. L’azienda di sicurezza l’ha descritta come una vulnerabilità critica di esecuzione di codice remoto pre-autenticazione in Oracle Identity Manager. L’exploit, che concatena una vulnerabilità di bypass dell’autenticazione e l’esecuzione di codice arbitrario, può consentire a un aggressore di compromettere completamente il sistema. Searchlight Cyber ha

CrowdStrike: licenziato un insider per aver fornito dati sensibili agli hacker criminali

Redazione RHC 22/11/2025

Negli ultimi mesi il problema degli insider sta assumendo un peso sempre più crescente per le grandi aziende, e un episodio ha coinvolto recentemente CrowdStrike. La società di cybersecurity ha infatti allontanato un dipendente ritenuto responsabile di aver condiviso con un gruppo di pirati informatici informazioni riservate sui sistemi interni dell’azienda. Esaminati da TechCrunch, gli screenshot rivelavano dashboard interne, fra cui figurava un pannello Okta Single Sign-On (SSO) che i dipendenti adoperavano per accedere alle applicazioni dell’azienda. Sebbene gli hacker abbiano affermato di aver ricevuto cookie di autenticazione, CrowdStrike sostiene che il suo centro operativo di sicurezza ha rilevato l’attività prima che

Sysmon verrà finalmente integrato in Windows 11 e Windows Server 2025 nel 2026

Redazione RHC 22/11/2025

Microsoft ha annunciato che integrerà il popolare strumento Sysmon direttamente in Windows 11 e Windows Server 2025 nel 2026. L’annuncio è stato fatto dal creatore di Sysinternals, Mark Russinovich. Sysmon (System Monitor) è uno strumento gratuito di Microsoft Sysinternals per il monitoraggio e il blocco di attività sospette in Windows. Gli eventi vengono registrati nel registro eventi di Windows, rendendo lo strumento indispensabile per rilevare minacce e diagnosticare problemi. Per impostazione predefinita, Sysmon tiene traccia di eventi di base come la creazione e la terminazione dei processi, ma è possibile utilizzare file di configurazione personalizzati per monitorare manomissioni dei processi, query DNS,

Sneaky2FA: il phishing che ruba credenziali con attacchi browser-in-the-browser

Redazione RHC 22/11/2025

Gli specialisti di Push Security hanno notato che la piattaforma di phishing Sneaky2FA ora supporta attacchi browser-in-the-browser, che consentono la creazione di finestre di accesso false e il furto di credenziali e sessioni. Sneaky2FA e gli altri PhaaS (phishing-as-a-service) Sneaky2FA è uno dei servizi PhaaS (phishing-as-a-service) più diffusi tra i criminali informatici. Insieme a Tycoon2FA e Mamba2FA, Sneaky2FA e mira principalmente al furto di account Microsoft 365. Questo kit di phishing è noto per gli attacchi che utilizzano SVG e la tattica “attacker-in-the-middle”: il processo di autenticazione viene inoltrato tramite una pagina di phishing al servizio reale, consentendo agli aggressori di intercettare

TamperedChef: malware tramite falsi installer di app

Redazione RHC 21/11/2025

La campagna su larga scala TamperedChef sta nuovamente attirando l’attenzione degli specialisti, poiché gli aggressori continuano a distribuire malware tramite falsi programmi di installazione di applicazioni popolari. Questa truffa, mascherata da software legittimo, aiuta a ingannare gli utenti e a ottenere un accesso persistente ai dispositivi. Il team Acronis sottolinea che l’attività continua: vengono scoperti nuovi file e l’infrastruttura associata rimane operativa. Il metodo si basa sull’ingegneria sociale. Utilizza nomi di utility note, annunci con clic falsi, ottimizzazione per i motori di ricerca e falsi certificati digitali. I ricercatori Darrell Virtusio e József Gegenyi spiegano che questi elementi aumentano la fiducia negli

Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura

Redazione RHC 21/11/2025

Un’importante interruzione dell’infrastruttura di Cloudflare ha messo inaspettatamente alla prova la solidità del cloud e dei suoi sistemi di sicurezza per molte aziende. Il 18 novembre, le interruzioni del servizio hanno causato la disconnessione di siti web in tutto il mondo più volte e alcuni clienti hanno tentato di abbandonare temporaneamente la piattaforma per mantenere la disponibilità delle risorse. Questa manovra forzata ha anche comportato la perdita per diverse ore da parte delle applicazioni web del tradizionale filtro del traffico dannoso, che Cloudflare in genere blocca ai margini della rete. I problemi sono iniziati intorno alle 6:30 EST (11:30 UTC), quando sulla

Garante Privacy in crisi: il Segretario Generale lascia dopo la richiesta sulle email dei dipendenti

Redazione RHC 21/11/2025

Il Segretario Generale del Garante per la protezione dei dati personali, Angelo Fanizza, ha rassegnato le proprie dimissioni a seguito di una riunione straordinaria tenuta questa mattina nella sala Rodotà. Lo riporta ilfattoquotidiano, specificando che l’incontro, convocato in un clima già teso, si è trasformato in uno dei momenti più critici per l’Autorità dalla sua istituzione. Al centro della vicenda c’è una disposizione che Fanizza aveva rivolto a Cosimo Comella, dirigente responsabile della sicurezza informatica. L’ordine prevedeva la raccolta integrale delle email di tutti i dipendenti a partire dal marzo 2001 – si parla di un archivio di 24 anni – oltre

Sturnus, il trojan bancario che intercetta i messaggi di WhatsApp, Telegram e Signal

Redazione RHC 21/11/2025

Gli specialisti di ThreatFabric hanno scoperto un nuovo trojan bancario, Sturnus. Il malware è in grado di intercettare i messaggi provenienti da app di messaggistica crittografate end-to-end (Signal, WhatsApp, Telegram) e di ottenere il pieno controllo dei dispositivi tramite VNC. I ricercatori segnalano che Sturnus utilizza uno schema di comunicazione avanzato con i server di comando e controllo: una combinazione di crittografia in chiaro, RSA e AES. Una volta installato, il malware si connette al server di comando e controllo, registra la vittima e crea due canali di comunicazione: HTTPS crittografato per i comandi e l’esfiltrazione dei dati e un WebSocket crittografato

Dipendenti Infedeli: licenziato, rientra in azienda e resetta 2.500 password all’insaputa dell’azienda

Redazione RHC 21/11/2025

Un impiegato si è dichiarato colpevole di aver hackerato la rete del suo ex datore di lavoro e di aver causato danni per quasi 1 milione di dollari dopo essere stato licenziato. Secondo l’accusa, il trentacinquenne Maxwell Schultz, che aveva perso l’accesso ai sistemi aziendali, si è spacciato per un altro appaltatore e si è così reinfiltrato nella rete aziendale. Gli atti del Dipartimento di Giustizia non menzionano il nome dell’organizzazione, il che è tipico nei casi di malintenzionati. I media locali, citando fonti, hanno riferito che l‘organizzazione potrebbe essere Waste Management, con sede a Houston, ma l’azienda stessa non ha risposto

MONOLOCK: il nuovo gruppo ransomware “silenzioso” che rifiuta leak site e affiliate panel

Luca Stivali 21/11/2025

Il panorama ransomware sta cambiando. Gli attori più esposti — LockBit, Hunters International, Trigona — hanno pagato il prezzo della sovraesposizione, tra operazioni internazionali, infiltrazioni, leak volontari e collassi operativi. Dopo anni dominati da modelli quasi industriali — affiliate panel, leak site, chat pubbliche e marketing aggressivo — emergono gruppi che rifiutano la logica “LockBit-style” e si spingono verso un approccio più opaco, minimale, quasi “da operatore SIGINT”. Low profile, tecnici, quasi “professionali”, che adottano strategie di invisibilità operativa. Il caso più recente è MONOLOCK, un nuovo gruppo ransomware apparso su DarkForums il 19 ottobre 2025 con un manifesto che sembra scritto più da un red team

Categorie