Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Banner Ransomfeed 970x120 1
Enterprise BusinessLog 320x200 1

Tag: attacchi informatici

Bilanciare velocità e sicurezza! Questa la vera sfida del Vibe Coding

Redazione RHC 30/09/2025

Il settore della sicurezza informatica sta vivendo una svolta: l’intelligenza artificiale sta diventando non solo uno strumento per gli sviluppatori, ma anche un’arma per gli aggressori. E di questo ne abbiamo parlato abbondantemente. Questo concetto è stato portato all‘attenzione da Ami Luttwak, CTO di Wiz, spiegando che le nuove tecnologie ampliano inevitabilmente la superficie di attacco e che l’integrazione dell’IA nei processi aziendali accelera sia lo sviluppo che l’emergere di vulnerabilità. Secondo Luttwak, accelerare lo sviluppo attraverso il vibe coding e l’integrazione di agenti di intelligenza artificiale spesso porta a bug nei meccanismi principali, come il sistema di autenticazione. Questo perché gli

Attacchi globali ai dispositivi Cisco: le Agenzie Cyber avvertono della crisi in corso

Redazione RHC 29/09/2025

Le principali agenzie di tutto il mondo, hanno lanciato l’allarme per una minaccia critica all’infrastruttura di rete: le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA) e Firepower sono state colpite da una raffica di attacchi. L’allerta fa seguito all’emissione della Direttiva di Emergenza 25-03 da parte della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti , che impone a tutte le agenzie civili federali di rivedere e proteggere urgentemente i propri dispositivi per fermare una campagna di attacchi su larga scala. L’incidente ha coinvolto lo sfruttamento di diverse vulnerabilità precedentemente sconosciute nei sistemi Cisco, consentendo l’esecuzione remota di codice arbitrario

Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download

Antonio Piazzolla 29/09/2025

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un annuncio sponsorizzato porta a una pagina di download, l’utente scarica un file chiamato MSTeamsSetup.exe e lo avvia. Ma i dettagli fanno la differenza, e sono proprio questi dettagli che rendono l’operazione tanto insidiosa. Il file non è un normale eseguibile malevolo, è firmato digitalmente. Per molti, questo è sinonimo di affidabilità. In realtà, gli attaccanti hanno trovato un modo per sfruttare la fiducia nella firma digitale a proprio vantaggio: utilizzano certificati “usa-e-getta”,

Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC 28/09/2025

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira. Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti. La vulnerabilità sfruttata e il ruolo delle credenziali rubate Gli

Nuova ondata di email dannose associate al gruppo Hive0117

Redazione RHC 27/09/2025

F6 ha segnalato una nuova ondata di email dannose associate al gruppo Hive0117. Hive0117 è attivo da febbraio 2022 e utilizza il trojan RAT DarkWatchman. Il gruppo maschera le sue campagne come messaggi provenienti da organizzazioni legittime, registra infrastrutture di posta e domini di controllo e talvolta li riutilizza. Secondo F6, l’attività di DarkWatchman è stata rilevata il 24 settembre, dopo diversi mesi di silenzio. Gli attacchi sono stati effettuati sotto le mentite spoglie del Federal Bailiff Service dall’indirizzo mail@fssp[.]buzz. Invii simili sono stati osservati a giugno e luglio. L’analisi ha rivelato i domini 4ad74aab[.]cfd e 4ad74aab[.]xyz. Gli attacchi hanno preso di

Rhadamanthys Stealer: introduce una funzione AI per estrarre seed phrase dalle immagini

Redazione RHC 26/09/2025

Rhadamanthys è uno stealer di informazioni avanzato comparso per la prima volta nel 2022. Caratterizzato da un ciclo di sviluppo rapido — con almeno dieci rilascio diversi dall’esordio — il malware viene promosso e commercializzato nei forum sotterranei. Nonostante il divieto imposto per il suo uso contro soggetti russi e/o di ex repubbliche sovietiche, il prodotto è ancora disponibile sul mercato clandestino; il prezzo parte da 250 dollari per 30 giorni di accesso, cifra che ne favorisce la diffusione tra i criminali informatici. Funzionalità e tecniche di evasione Rhadamanthys è progettato per raccogliere una vasta gamma di dati: informazioni di sistema, credenziali,

Active Directory nel mirino! Come i criminal hacker rubano NTDS.dit

Redazione RHC 26/09/2025

Active Directory (AD) contiene le chiavi digitali dell’organizzazione: l’accesso non autorizzato a questo servizio espone informazioni sensibili e credenziali che possono condurre a una compromissione totale del dominio. Tra gli asset più critici c’è il file NTDS.dit, che memorizza l’insieme dei dati di dominio e gli hash delle password. Questo articolo ricostruisce un caso reale in cui attori ostili hanno ottenuto privilegi elevati, hanno estratto NTDS.dit e hanno tentato la sua esfiltrazione eludendo controlli comuni. Il valore strategico di NTDS.dit In un ambiente Windows dominato da Active Directory, il file NTDS.dit (NT Directory Services Directory Information Tree) rappresenta il database centrale del

Hanno dormito nelle reti per 393 giorni! Gli hacker statali cinesi e la backdoor BRICKSTORM

Redazione RHC 25/09/2025

Secondo Google Threat Intelligence, il gruppo di spionaggio UNC5221, legato alla Cina, ha effettuato una serie di intrusioni con successo nelle reti aziendali da marzo di quest’anno, sfruttando vulnerabilità precedentemente sconosciute nei prodotti Ivanti. Gli attacchi hanno portato all’introduzione di backdoor che hanno permesso agli aggressori di mantenere l’accesso all’infrastruttura delle vittime per una media di 393 giorni. Gli esperti hanno attribuito le azioni al gruppo UNC5221 e ad altri gruppi cinesi di cyberspionaggio correlati. Secondo il rapporto, UNC5221 ha iniziato a sfruttare attivamente le vulnerabilità nei dispositivi Ivanti già nel 2023. Google sottolinea che questo gruppo non è associato a Silk

Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode

Redazione RHC 25/09/2025

I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori. Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco. Al momento della scoperta del malware, il pacchetto era stato scaricato

GitHub rafforza la sicurezza npm contro gli attacchi alla supply chain

Redazione RHC 24/09/2025

GitHub ha annunciato importanti modifiche al sistema di autenticazione e pubblicazione npm, volte a rafforzare la protezione contro gli attacchi alla supply chain. Gli aggiornamenti sono stati motivati dalla recente campagna Shai-Hulud, un worm dannoso e auto-propagante incorporato in centinaia di librerie npm. Non solo si replicava in altri pacchetti, ma scansionava anche i dispositivi degli sviluppatori alla ricerca di dati sensibili, tra cui chiavi e token, e li trasmetteva agli aggressori. In risposta all’incidente, GitHub ha annunciato che avrebbe presto eliminato i meccanismi di autorizzazione legacy e introdotto controlli più rigorosi. Le modifiche principali includono l’autenticazione a due fattori obbligatoria per

Categorie