Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Fortinet 970x120px
LECS 320x100 1

Tag: botnet

AyySSHush colpisce duro! Oltre 9.000 router Asus son finiti nella Botnet in una campagna stealth

Redazione RHC 30/05/2025

Oltre 9.000 router Asus sono stati hackerati dalla botnet AyySSHush, che attacca anche i router SOHO di Cisco, D-Link e Linksys. Questa campagna dannosa è stata scoperta dai ricercatori di GreyNoise a metà marzo 2025. Gli esperti sostengono che gli attacchi potrebbero essere collegati ad hacker governativi, anche se il rapporto non cita alcun gruppo specifico. Secondo gli esperti, gli attacchi AyySSHush combinano la forza bruta per indovinare le credenziali, bypassare l’autenticazione e sfruttare vecchie vulnerabilità per hackerare i router Asus, inclusi i modelli RT-AC3100, RT-AC3200 e RT-AX55. Nello specifico, gli aggressori sfruttano una vecchia vulnerabilità di iniezione di comandi, la CVE-2023-39780, per aggiungere la

ViciousTrap: la botnet che ha infettato oltre 5.000 router in 84 Paesi

Redazione RHC 27/05/2025

Gli analisti di Sekoia hanno scoperto che il gruppo di hacker ViciousTrap ha compromesso circa 5.300 dispositivi di rete edge in 84 paesi, trasformandoli in una botnet simile a un grande honeypot. Gli aggressori hanno sfruttato una vecchia vulnerabilità critica, lil CVE-2023-20118, per hackerare i router Cisco Small Business RV016, RV042, RV042G, RV082, RV320 e RV325. Si nota che la maggior parte dei dispositivi compromessi (850) si trovano a Macao. “La catena di infezione consiste nell’esecuzione di uno script shell chiamato NetGhost, che reindirizza il traffico in arrivo da porte specifiche su un router compromesso verso un’infrastruttura simile a un honeypot controllata dagli aggressori, consentendo loro

L’Operazione Endgame continua: arrestati 16 hacker russi, distrutti 300 server e smantellato DanaBot

Redazione RHC 26/05/2025

Nel corso della lunga operazione internazionale Endgame, le forze dell’ordine hanno smantellato la botnet DanaBot e hanno emesso mandati di arresto nei confronti di 16 cittadini russi. L’eliminazione di DanaBot faceva parte dell’operazione Endgame, iniziata l’anno scorso. Ricordiamo che all’operazione Endgame  presero parte in quel periodo rappresentanti della polizia di Germania, USA, Gran Bretagna, Francia, Danimarca e Paesi Bassi. Inoltre, esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD hanno fornito informazioni operative alle autorità, condividendo con le forze dell’ordine dati sull’infrastruttura botnet e sul funzionamento interno di vari malware. Nel 2024, le autorità hanno segnalato

DanaBot smantellato: l’arma digitale russa che ha colpito anche l’Ucraina

Redazione RHC 23/05/2025

Il Dipartimento di Giustizia degli Stati Uniti ha svelato pubblicamente un’accusa rivolta contro cittadini russi accusati appunto di aver sviluppato, gestito e operato il malware-as-a-service (MaaS) DanaBot, che CrowdStrike ha identificato con il nome di SCULLY SPIDER – un avversario eCrime con base in Russia. Attivo dal 2018, DanaBot si è evoluto da trojan bancario a piattaforma botnet utilizzabile a noleggio, utilizzata per eCrime, spionaggio e attacchi DDoS – incluse attività contro entità ucraine. Le sub-botnet 24 e 25 sono risultate avere legami con l’intelligence russa, e ciò sottolinea come le infrastrutture di eCrime possano essere riutilizzate per operazioni sostenute dallo Stato.

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

Redazione RHC 16/04/2025

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state registrate su Downdetector, indicando problemi di connessione ai server, difficoltà di login e impossibilità di riprodurre contenuti musicali. Malfunzionamenti diffusi su Spotify Anche gli utenti di Spotify Premium hanno riscontrato malfunzionamenti, evidenziando la portata del disservizio. La natura del problema non è stata immediatamente chiarita. Spotify ha confermato di essere a conoscenza delle difficoltà e di essere al lavoro per risolverle. Tuttavia, non sono stati forniti dettagli sulle cause né sui tempi

Android TV posseduti da Vo1d: il tuo telecomando sta lavorando per gli hacker?

Redazione RHC 04/03/2025

La botnet Vo1d, che attacca i dispositivi Android TV, continua a crescere rapidamente e ha già infettato più di 1,5 milioni di dispositivi in ​​226 Paesi. Secondo i ricercatori di XLab, la botnet utilizzata per organizzare reti proxy anonime, ha raggiunto il picco il 14 gennaio 2025, con 800.000 bot attivi in ​​quel momento. Il primo attacco su larga scala di Vo1d è stato registrato da specialisti Dott. Web nel settembre 2024, quando furono identificati 1,3 milioni di dispositivi infetti in 200 Paesi. Tuttavia, la campagna attuale dimostra che la botnet ha solo ampliato la sua portata dalla sua scoperta. Gli sviluppatori di Vo1d

Router Cisco sotto attacco: una RCE critica sta distribuendo malware avanzato!

Redazione RHC 26/02/2025

Una vulnerabilità critica legata all’esecuzione di codice remoto (RCE), CVE-2023-20118, che colpisce i router Cisco Small Business, è diventata una nuova arma per i criminali informatici che distribuiscono webshell e payload backdoor avanzati. La vulnerabilità, causata da una convalida errata degli input nell’interfaccia di gestione basata sul Web dei router, consente ad aggressori non autenticati di eseguire comandi arbitrari inviando richieste HTTP appositamente predisposte. Questa falla è stata sfruttata attivamente dalla fine di gennaio 2025, come osservato dal team Threat Detection & Research (TDR) di Sekoia.io. Tra il 22 e il 31 gennaio 2025, alcuni aggressori hanno sfruttato questa vulnerabilità per distribuire

Microsoft 365 Sotto Attacco! Spraying Password sui sistemi legacy da Una Botnet di 130.000 Dispositivi

Redazione RHC 26/02/2025

Specialisti di SecurityScorecard loro segnalano , un’enorme botnet composta da oltre 130.000 dispositivi compromessi sta conducendo attacchi di password spraying sugli account Microsoft 365 in tutto il mondo. L’attacco prende di mira il meccanismo di autenticazione legacy Basic Authentication (Basic Auth), consentendo agli aggressori di aggirare l’autenticazione a più fattori (MFA). I criminali informatici utilizzano credenziali rubate tramite un keylogger. L’attacco viene eseguito tramite tentativi di accesso non interattivi tramite Basic Auth, che consente agli aggressori di eludere il sistema di sicurezza. Gli esperti avvertono che le organizzazioni che si affidano esclusivamente al monitoraggio degli accessi interattivi restano vulnerabili. L’accesso non interattivo, spesso utilizzato

L’FBI Demolisce il Cybercrime: Sequestrati Cracked.io, Nulled.to e altri ancora!

Redazione RHC 30/01/2025

L’FBI ha sequestrato tre dei principali forum di hacking e criminalità informatica: Nulled.to, Cracked.to e Cracked.io, nell’ambito di un’operazione mirata ai facilitatori del cybercrime. Oltre a questi, le autorità hanno rimosso altri tre domini — StarkRDP.io, Sellix.io e MySellix.io — reindirizzando i loro record DNS ai server dell’FBI. Ota tali siti un banner con la dicitura: “Questo sito web è stato sequestrato”. Gli avvisi fanno riferimento a un’operazione denominata “Operation Talent”, un’iniziativa internazionale delle forze dell’ordine guidata dall’FBI e supportata da Europol, la Polizia Postale Italiana, la Polizia Federale Australiana e l’Ufficio Federale di Polizia Criminale tedesco. L’operazione, avviata il 29 gennaio

Nuova botnet Mirai sfrutta vulnerabilità Zero-Day nei DVR DigiEver

Redazione RHC 27/12/2024

I ricercatori di sicurezza informatica di Akamai hanno identificato una nuova rete botnet basata su Mirai che sta sfruttando attivamente una vulnerabilità legata all’esecuzione di codice in modalità remota nei DVR DigiEver DS-2105 Pro. La vulnerabilità è Zero-day, non le è stato ancora assegnato un CVE e non è stata rilasciata alcuna correzione. Questo fatto rende i dispositivi delle vittime un facile bersaglio per gli hacker. L’attacco informatico è iniziato in ottobre e ha colpito diversi videoregistratori e router di rete TP-Link dotati di software obsoleto. Una delle vulnerabilità utilizzate nella campagna è stata presentata dal ricercatore TXOne Ta-Lun Yen alla conferenza DefCamp a Bucarest. Secondo lui, il problema riguarda molti dispositivi DVR.

Categorie