Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
TM RedHotCyber 970x120 042543
Fortinet 320x100px

Tag: CTI

Quale Azienda Italiana Verrà Violata? In Vendita Accessi VPN e firewall aziendali nelle underground

Luca Stivali 07/03/2025

Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi variano da 100 a 1000 dollari, la discriminante? la geolocalizzazione e il tipo di accesso che si vuole acquisire. Lo screenshot pubblicato nel post fa chiaramente riferimento ad un firewall Fortinet 600D. Aziende in allerta L’accesso non autorizzato a firewall e VPN aziendali rappresenta una minaccia critica per la sicurezza informatica, poiché consente agli attaccanti di aggirare i meccanismi di protezione perimetrale e accedere direttamente alle risorse interne di un’organizzazione.

Possibile violazione al Ministero degli Affari Esteri dell’Ucraina: il gruppo Qilin Ransomware rivendica l’attacco

Pietro Melillo 07/03/2025

Il gruppo Qilin Ransomware sostiene di aver compromesso i sistemi del Ministero degli Affari Esteri dell’Ucraina, sottraendo corrispondenza privata, informazioni personali e decreti ufficiali. Secondo quanto dichiarato dagli attaccanti, parte di questi dati sarebbe già stata venduta a terzi. Al momento, non è possibile confermare la veridicità di queste affermazioni poiché l’organizzazione non ha ancora pubblicato alcun comunicato stampa ufficiale sul proprio sito web in merito all’incidente. Di conseguenza, quanto riportato in questo articolo deve essere trattato esclusivamente come fonte di intelligence. Dettagli della presunta violazione Stato delle indagini Conclusioni Al momento, la presunta violazione rivendicata dal gruppo Qilin Ransomware rimane non

Analisi dettagliata dell’attacco “Fast Propagating Fake Captcha” e la distribuzione di LummaStealer

Sandro Sana 07/03/2025

Negli ultimi anni, il panorama delle minacce informatiche è mutato radicalmente, grazie anche all’evoluzione delle tecniche di attacco e alla crescente diffusione di malware disponibili come Malware-as-a-Service (MaaS). Uno degli esempi più recenti di questa tendenza è LummaStealer, un malware progettato per sottrarre informazioni sensibili dagli endpoint compromessi, in particolare credenziali memorizzate nei browser e portafogli di criptovalute. Tra ottobre 2024 e febbraio 2025, LummaStealer è stato distribuito attraverso un ingegnoso stratagemma che ha fatto leva su pagine di verifica CAPTCHA false, inducendo le vittime a compiere azioni che hanno portato all’infezione del sistema. Questo articolo analizza in dettaglio il funzionamento dell’attacco,

L’UE Rafforza la Sicurezza Informatica: Nuova Proposta per la Gestione delle Crisi

Redazione RHC 06/03/2025

L’Unione Europea ha aggiornato il quadro generale per la gestione delle crisi di sicurezza informatica, chiarendo i ruoli dei membri UE e delle entità coinvolte a livello comunitario. La proposta delinea le funzioni specifiche da attuare lungo l’intero ciclo di vita della crisi, con l’obiettivo di garantire una risposta coordinata ed efficace. Le principali aree d’azione includono la preparazione alle crisi, la condivisione della consapevolezza situazionale e la capacità di prevedere eventi informatici. Inoltre, il progetto prevede l’adozione di strumenti avanzati per il rilevamento delle minacce e strategie di mitigazione, deterrenza e contenimento per affrontare e superare eventuali attacchi. Henna Virkkunen, Vicepresidente

Lazarus ricicla 1 miliardo di dollari in criptovalute in 2 settimane nel colpo del secolo!

Redazione RHC 06/03/2025

Gruppo hacker del famigerato gruppo Lazarus, legato alla Corea del Nord, è riuscito a riciclare oltre 1 miliardo di dollari, rubati dall’exchange di criptovalute Bybit. Tuttavia, una parte dei fondi rubati resta ancora sotto osservazione da parte degli analisti, il che fa sperare in un loro parziale recupero. Secondo i ricercatori di Lookonchain, Nansen e Arkham, gli hacker hanno svuotato completamente il loro portafoglio, che al momento dell’attacco conteneva quasi 1,5 miliardi di dollari. La maggior parte di questi fondi è stata riciclata tramite l’exchange decentralizzato THORChain, che di recente ha avuto problemi finanziari. Il 4 marzo, il CEO di Bybit Ben Zhou ha rivelato che dei

Ministero dell’Interno Italiano sotto attacco? Accessi email in vendita nei forum underground!

Sandro Sana 06/03/2025

Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Ministero dell’Interno italiano (dominio “@interno.it”). La notizia, al momento non confermata da fonti istituzionali, desta particolare preoccupazione poiché, qualora fosse fondata, potrebbe comportare serie implicazioni a livello di sicurezza nazionale. Dettagli del Possibile Breach Attendibilità della Fonte BreachForums è noto per ospitare annunci di compravendita di dati sottratti, spesso veritieri, ma non mancano casi di “fake listing” finalizzati a truffare possibili acquirenti. Attualmente, non risultano prove tangibili (come dump di dati o screenshot comprovanti la compromissione)

Ora il Ransomware arriva per posta ordinaria! L’innovazione si firma Bianlian. Scopri i retroscena

Redazione RHC 05/03/2025

Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BIANLIAN GROUP” e che l’indirizzo del mittente è un edificio per uffici a Boston, Massachusetts. Le lettere venivano inviate ai dirigenti aziendali e recavano la dicitura “Urgente, leggere immediatamente”. Secondo i timbri postali, la spedizione è avvenuta il 25 febbraio 2025 dall’ufficio postale di Boston. Il contenuto delle lettere è focalizzato sul campo di attività del destinatario. Le lettere inviate alle organizzazioni sanitarie affermano che i dati dei pazienti e dei dipendenti sono

Attacco Informatico a Generali España. Ancora un attacco alla Supply Chain

Redazione RHC 05/03/2025

Generali España, filiale del gruppo assicurativo Assicurazioni Generali S.p.A., ha subito un accesso non autorizzato ai propri sistemi informatici. La notizia è stata diffusa da VenariX en Español, una piattaforma che monitora le minacce informatiche. Generali, tra le più grandi compagnie assicurative al mondo, è presente in Spagna con una vasta gamma di prodotti assicurativi e finanziari. Secondo quanto riportato, la società sta lavorando per mitigare i rischi e proteggere i dati sensibili dei clienti. Non sono stati ancora diffusi dettagli su eventuali conseguenze o furti di informazioni. Questo è quanto riportato all’interno della print screen presente nel tweet di VenariX: “siamo

Doxxing nel Dark Web: La Vendetta che Nessuno Può Evitare

Diego Bentivoglio 05/03/2025

Nel Dark Web, l’anonimato è la valuta più preziosa. È ciò che distingue i predatori dalle prede, che consente ai cyber criminali di operare senza paura di conseguenze, che alimenta la convinzione di essere intoccabili. Ma cosa succede quando qualcosa si spezza? Quando coloro che costruiscono il proprio potere sulla paura di essere esposti diventano, a loro volta, vittime dello stesso meccanismo? Negli ultimi anni, alcuni dei più noti protagonisti del cybercrime hanno vissuto sulla propria pelle il paradosso del doxxing: credendo di poter agire impunemente, sono stati smascherati e costretti alla fuga, a volte dalla legge, altre volte dagli stessi ambienti

Black Basta e Cactus utilizzano Teams e OneDrive per le loro operazioni. I dettagli degli attacchi

Redazione RHC 05/03/2025

I team Managed XDR e Incident Response di Trend Micro hanno recentemente scoperto campagne coordinate dai gruppi ransomware Black Basta e Cactus che utilizzano una variante condivisa del malware BackConnect (rilevata come QBACKCONNECT) per stabilire un accesso persistente.  Combinazione di Ingegneria sociale e malware Questi attacchi dimostrano una combinazione potenzialmente dannosa di ingegneria sociale, abuso di strumenti legittimi e sfruttamento dell’infrastruttura cloud. La catena di attacco inizia con un’ondata di e-mail che inonda le caselle di posta delle vittime, seguita da tentativi di furto d’identità tramite Microsoft Teams.  Gli aggressori utilizzano innanzitutto tecniche di ingegneria sociale per ottenere l’accesso iniziale, ingannando le

Categorie