Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
2nd Edition GlitchZone RHC 970x120 2
Banner Ancharia Mobile 1

Tag: cyber attacchi

Bug da Oscar (score 10) per Cisco Secure Firewall Management Center

Redazione RHC 15/08/2025

Una falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a distanza, comandi shell a loro scelta con alti livelli di autorizzazione. La vulnerabilità, identificata come CVE-2025-20265 e a cui è stato assegnato il punteggio CVSS massimo di 10,0, rappresenta una delle falle di sicurezza più gravi scoperte quest’anno nell’infrastruttura firewall di Cisco. Gli aggressori possono sfruttare questa vulnerabilità inviando credenziali appositamente create durante il processo di autenticazione RADIUS consentendo loro di iniettare comandi shell dannosi che vengono successivamente eseguiti dal dispositivo di destinazione. Ciò

Fortinet VPN sotto attacco: una nuova ondata di attacchi brute-force rilevata da GrayNoise

Redazione RHC 14/08/2025

GreyNoise ha rilevato due importanti ondate di attacchi ai dispositivi Fortinet all’inizio di agosto 2025. La prima, un attacco brute-force mirato alla VPN SSL di Fortinet il 3 agosto, che poi è stato seguito da un brusco cambiamento su FortiManager il 5 agosto, con una nuova firma del traffico. I ricercatori avvertono che tali picchi di attività precedono la pubblicazione di vulnerabilità critiche nell’80% dei casi. Secondo GreyNoise, il picco del 3 agosto ha coinvolto tentativi di accesso basati su dizionario sulla VPN SSL FortiOS . L’impronta digitale della rete JA4+, che utilizza l’impronta digitale TLS per classificare il traffico crittografato, ha

Un malware ibrido creato con le AI colpisce le organizzazioni russe

Redazione RHC 14/08/2025

Nel secondo trimestre del 2025, gli specialisti del dipartimento di threat intelligence del centro di esperti di sicurezza Positive Technologies hanno registrato un aumento delle attività di gruppi di criminali informatici e hacktivisti contro organizzazioni russe. Il principale vettore di attacco è rimasto il phishing via e-mail, sia secondo scenari comuni che sfruttando vulnerabilità zero-day. È stato rilevato un aumento dei file dannosi, il cui codice era in parte generato da reti neurali: utilizzando i servizi di intelligenza artificiale disponibili, gli aggressori hanno rapidamente modificato i moduli per aggirare i sistemi di sicurezza. Il gruppo TA Tolik ha inviato archivi contenenti un

150 estensioni dannose Firefox hanno rubato criptovalute per 1 milione di dollari

Redazione RHC 10/08/2025

Gli analisti di Koi Security hanno scoperto la campagna malware GreedyBear attiva nello store dei componenti aggiuntivi di Mozilla. 150 estensioni dannose per Firefox hanno rubato agli utenti criptovalute per un valore di oltre 1 milione di dollari. I componenti aggiuntivi fraudolenti si spacciavano per estensioni di popolari portafogli di criptovalute di piattaforme note, tra cui MetaMask, TronLink, Exodus e Rabby Wallet. Inizialmente, venivano caricati sullo store senza codice dannoso per superare i controlli e venivano lasciati inattivi per un certo periodo, accumulando false recensioni positive. L’estensione non è ancora diventata dannosa. In una fase successiva dell’attacco, gli editori dell’estensione hanno rimosso

Proxy Trickster: il gruppo di hacker dilettanti che vuole i server di tutto il mondo

Redazione RHC 05/08/2025

Gli specialisti di Solar 4RAYS di Solar Group hanno scoperto un nuovo gruppo di hacker, Proxy Trickster, dedito al mining di criptovalute e al proxyjacking (intercettazione del controllo dei server per la loro conversione e vendita). Nel corso di un anno, gli aggressori hanno attaccato quasi 900 server in 58 paesi. Nel marzo 2025, gli specialisti hanno indagato su un incidente di sicurezza informatica presso un’azienda informatica e hanno scoperto l’attività di un gruppo precedentemente sconosciuto, denominato Proxy Trickster. Gli hacker ricavano il loro reddito principale dal mining di criptovalute e dal proxyjacking, attività che consiste nell’assumere il controllo di server legittimi

Il malware si camuffa in una foto innocente su Dropbox. La strategia steganografica di APT37

Redazione RHC 04/08/2025

Gli specialisti del Genians Security Center hanno scoperto una versione migliorata del malware RoKRAT, associato al gruppo nordcoreano APT37. La nuova versione si distingue per un insolito modo di nascondere il codice dannoso: nel corpo delle normali immagini JPEG. Questo approccio consente di bypassare i sistemi antivirus tradizionali, poiché la funzionalità dannosa non viene scritta direttamente sul disco, ma viene estratta nella RAM. L’infezione iniziale inizia con l’avvio di un collegamento .LNK dannoso contenuto in un archivio ZIP. Un esempio è un archivio chiamato “National Intelligence and Counterintelligence Manuscript.zip”. La sua struttura include un file .LNK di grandi dimensioni (oltre 50 MB)

Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati

Redazione RHC 28/07/2025

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei trasporti e delle assicurazioni. Questi attacchi non sfruttano le vulnerabilità software tradizionali, ma dimostrano invece una padronanza di tecniche di ingegneria sociale che consentono loro di bypassare anche i sistemi più sicuri. Secondo il Google Threat Intelligence Group, la fase iniziale dell’attacco si basa sull’impersonare un dipendente aziendale in una conversazione con il servizio di supporto IT. L’aggressore riesce a modificare la password dell’utente in Active Directory, ottenendo così l’accesso iniziale alla

Vibecoding per creare ransomware: la cybergang FunkSec utilizza l’AI per gli attacchi informatici

Redazione RHC 28/07/2025

Gli specialisti di Kaspersky Lab hanno studiato l’attività del gruppo FunkSec, apparso alla fine del 2024. Le caratteristiche principali del gruppo erano: l’utilizzo di strumenti basati sull’intelligenza artificiale (anche nello sviluppo del ransomware), un elevato grado di adattabilità e attacchi informatici di massa. Secondo gli esperti, FunkSec attacca organizzazioni del settore pubblico, nonché dei settori IT, finanziario e dell’istruzione in Europa e Asia. Gli operatori di FunkSec in genere richiedono riscatti insolitamente bassi, a volte anche solo di 10.000 dollari. Gli aggressori vendono anche i dati rubati alle loro vittime a un prezzo molto basso. Gli esperti ritengono che questo approccio consenta

Arriva Koske: il malware per Linux sviluppato con l’Intelligenza Artificiale

Redazione RHC 26/07/2025

Gli analisti di AquaSec hanno scoperto un nuovo malware per Linux. Il malware si chiama Koske e si ritiene sia stato sviluppato utilizzando l’intelligenza artificiale. Utilizza immagini JPEG di panda per iniettarsi direttamente nella memoria. I ricercatori descrivono Koske come una “minaccia Linux sofisticata” il cui comportamento adattivo suggerisce che il malware è sviluppato utilizzando modelli linguistici di grandi dimensioni (LLM) o framework di automazione. L’obiettivo principale di Koske è implementare miner ottimizzati per CPU e GPU che utilizzino le risorse di elaborazione dell’host per estrarre varie criptovalute. Poiché durante lo studio del malware sono stati scoperti indirizzi IP e frasi serbi

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino

Sandro Sana 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco nel mondo cyber: è in corso una campagna massiva di exploit contro i server SharePoint on-premises, usando una nuova catena di vulnerabilità battezzata ToolShell, fondata su due CVE freschi freschi di catalogo: CVE-2025-53770 e CVE-2025-53771. L’attacco è tutt’altro che teorico: ha già colpito università, aziende energetiche, migliaia di PMI e, secondo il Washington Post, almeno due agenzie federali USA. Si tratta di una catena RCE (Remote Code Execution) non

Categorie