Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
LECS 970x120 1
Fortinet 320x100px

Tag: attacchi informatici

Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC 28/09/2025

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira. Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti. La vulnerabilità sfruttata e il ruolo delle credenziali rubate Gli

Nuova ondata di email dannose associate al gruppo Hive0117

Redazione RHC 27/09/2025

F6 ha segnalato una nuova ondata di email dannose associate al gruppo Hive0117. Hive0117 è attivo da febbraio 2022 e utilizza il trojan RAT DarkWatchman. Il gruppo maschera le sue campagne come messaggi provenienti da organizzazioni legittime, registra infrastrutture di posta e domini di controllo e talvolta li riutilizza. Secondo F6, l’attività di DarkWatchman è stata rilevata il 24 settembre, dopo diversi mesi di silenzio. Gli attacchi sono stati effettuati sotto le mentite spoglie del Federal Bailiff Service dall’indirizzo mail@fssp[.]buzz. Invii simili sono stati osservati a giugno e luglio. L’analisi ha rivelato i domini 4ad74aab[.]cfd e 4ad74aab[.]xyz. Gli attacchi hanno preso di

Rhadamanthys Stealer: introduce una funzione AI per estrarre seed phrase dalle immagini

Redazione RHC 26/09/2025

Rhadamanthys è uno stealer di informazioni avanzato comparso per la prima volta nel 2022. Caratterizzato da un ciclo di sviluppo rapido — con almeno dieci rilascio diversi dall’esordio — il malware viene promosso e commercializzato nei forum sotterranei. Nonostante il divieto imposto per il suo uso contro soggetti russi e/o di ex repubbliche sovietiche, il prodotto è ancora disponibile sul mercato clandestino; il prezzo parte da 250 dollari per 30 giorni di accesso, cifra che ne favorisce la diffusione tra i criminali informatici. Funzionalità e tecniche di evasione Rhadamanthys è progettato per raccogliere una vasta gamma di dati: informazioni di sistema, credenziali,

Active Directory nel mirino! Come i criminal hacker rubano NTDS.dit

Redazione RHC 26/09/2025

Active Directory (AD) contiene le chiavi digitali dell’organizzazione: l’accesso non autorizzato a questo servizio espone informazioni sensibili e credenziali che possono condurre a una compromissione totale del dominio. Tra gli asset più critici c’è il file NTDS.dit, che memorizza l’insieme dei dati di dominio e gli hash delle password. Questo articolo ricostruisce un caso reale in cui attori ostili hanno ottenuto privilegi elevati, hanno estratto NTDS.dit e hanno tentato la sua esfiltrazione eludendo controlli comuni. Il valore strategico di NTDS.dit In un ambiente Windows dominato da Active Directory, il file NTDS.dit (NT Directory Services Directory Information Tree) rappresenta il database centrale del

Hanno dormito nelle reti per 393 giorni! Gli hacker statali cinesi e la backdoor BRICKSTORM

Redazione RHC 25/09/2025

Secondo Google Threat Intelligence, il gruppo di spionaggio UNC5221, legato alla Cina, ha effettuato una serie di intrusioni con successo nelle reti aziendali da marzo di quest’anno, sfruttando vulnerabilità precedentemente sconosciute nei prodotti Ivanti. Gli attacchi hanno portato all’introduzione di backdoor che hanno permesso agli aggressori di mantenere l’accesso all’infrastruttura delle vittime per una media di 393 giorni. Gli esperti hanno attribuito le azioni al gruppo UNC5221 e ad altri gruppi cinesi di cyberspionaggio correlati. Secondo il rapporto, UNC5221 ha iniziato a sfruttare attivamente le vulnerabilità nei dispositivi Ivanti già nel 2023. Google sottolinea che questo gruppo non è associato a Silk

Malware Fezbox: il pacchetto NPM che ruba cookie con i QRCode

Redazione RHC 25/09/2025

I ricercatori hanno scoperto un pacchetto dannoso chiamato fezbox in npm che ruba i cookie delle vittime. Per garantire che l’attività dannosa rimanga inosservata, vengono utilizzati codici QR per scaricare il malware dal server degli aggressori. Secondo i ricercatori di Socket, gli aggressori hanno trovato un nuovo utilizzo per i codici QR: nascondere codice dannoso al loro interno. Gli analisti hanno segnalato che il pacchetto contiene istruzioni nascoste per scaricare un’immagine JPG con un codice QR, che viene poi elaborato per lanciare un payload offuscato come parte della seconda fase dell’attacco. Al momento della scoperta del malware, il pacchetto era stato scaricato

GitHub rafforza la sicurezza npm contro gli attacchi alla supply chain

Redazione RHC 24/09/2025

GitHub ha annunciato importanti modifiche al sistema di autenticazione e pubblicazione npm, volte a rafforzare la protezione contro gli attacchi alla supply chain. Gli aggiornamenti sono stati motivati dalla recente campagna Shai-Hulud, un worm dannoso e auto-propagante incorporato in centinaia di librerie npm. Non solo si replicava in altri pacchetti, ma scansionava anche i dispositivi degli sviluppatori alla ricerca di dati sensibili, tra cui chiavi e token, e li trasmetteva agli aggressori. In risposta all’incidente, GitHub ha annunciato che avrebbe presto eliminato i meccanismi di autorizzazione legacy e introdotto controlli più rigorosi. Le modifiche principali includono l’autenticazione a due fattori obbligatoria per

Il Gruppo Warlock: nuovo attore nel mercato dei ransomware

Redazione RHC 23/09/2025

Il gruppo Warlock, noto anche come Storm-2603 e GOLD SALEM, è passato dall’essere un nuovo arrivato a un attore di spicco nel mercato dei ransomware in pochi mesi. I ricercatori di Sophos riferiscono che l’attività del gruppo è iniziata a marzo 2025 e che a settembre aveva già creato un proprio portale di fuga di dati, “Warlock Client Data Leak Show”, dove sono state pubblicate 60 vittime. Gli aggressori operano in tutto il mondo, colpendo piccole agenzie governative e aziende commerciali a multinazionali in Nord e Sud America ed Europa. Warlock ricevette particolare attenzione dopo gli incidenti di agosto: i criminali si

AI nelle mani degli hacker criminali: il gioco è cambiato, e noi siamo in svantaggio

Ivan Garzaro 23/09/2025

Negli ultimi mesi, durante le mie attività di ricerca e studio, mi sono imbattuto in una realtà tanto sorprendente quanto preoccupante: la facilità con cui è possibile individuare sistemi esposti in rete, anche appartenenti a organizzazioni che – per missione o settore – dovrebbero avere una postura di sicurezza particolarmente solida. Non si parla di tecniche da film o attacchi sofisticati: in molti casi, basta un sabato sera più noioso degli altri mentre il resto della famiglia dorme, un motore di ricerca specializzato o una scansione mirata per scoprire interfacce di gestione accessibili, server mal configurati, credenziali di default mai cambiate, servizi

Quando Unicode diventa arma e la posta ti tradisce arriva Inboxfuscation

Redazione RHC 22/09/2025

I malintenzionati stanno sempre più utilizzando le funzionalità della casella di posta in arrivo di Microsoft Exchange per garantirsi la persistenza e rubare informazioni sensibili all’interno dei network aziendali. Inboxfuscation, sviluppato da Permiso, è un framework che dimostra come gli aggressori possano sfruttare il motore delle regole di Exchange come arma, creando meccanismi di persistenza furtivi che eludono sia la revisione umana sia il rilevamento basato sul codice. Inboxfuscation sfrutta tecniche di offuscamento basate su Unicode per generare regole di posta in arrivo dannose, che riescono a bypassare i sistemi di sicurezza tradizionali. Nel passato le regole dannose per la posta in

Categorie