Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
970x120
Banner Ransomfeed 320x100 1

Tag: cyber attacco

Lazarus APT: 3 RAT avanzati per organizzazioni finanziarie di criptovalute

Redazione RHC 02/09/2025

Di recente, un sottogruppo avanzato legato al noto autore della minaccia Lazarus è stato individuato, mentre distribuiva tre diversi trojan di accesso remoto (RAT) all’interno di organizzazioni operanti nel settore finanziario e delle criptovalute che erano state compromesse. L’accesso iniziale è stato realizzato prevalentemente attraverso campagne di ingegneria sociale condotte su Telegram, dove gli attaccanti fingevano di essere dipendenti legittimi di importanti società commerciali. Siti web di incontri contraffatti, tra cui falsi portali come Calendly e Picktime, attirano le vittime, che vengono raggiunte tramite un exploit zero-day di Chrome che consente l’esecuzione silenziosa di codice sul loro computer. Gli aggressori, una volta

Iran Cyber Army: spear-phishing contro i governi di mezzo mondo (Italia inclusa!)

Redazione RHC 29/08/2025

Una recente analisi di Cyber Threat Intelligence (CTI) condotta da DREAM ha svelato i dettagli di una complessa campagna di spear-phishing avvenuta nell’agosto 2025. L’attacco, attribuito a un gruppo allineato all’Iran, noto come Homeland Justice, ha sfruttato un’infrastruttura già compromessa per raggiungere obiettivi sensibili a livello globale. La peculiarità di questa operazione risiede nell’utilizzo di un account di posta elettronica violato appartenente al Ministero degli Affari Esteri dell’Oman, che ha fornito una copertura di legittimità per le comunicazioni malevole. Le e-mail di phishing contenevano un allegato dannoso, un documento di Microsoft Word, che rappresentava il primo anello della catena di infezione. All’interno

Storm-0501: Quando il Ransomware si sposta nel Cloud

Luca Galuppi 28/08/2025

Microsoft lancia l’allarme: il gruppo di cybercriminali Storm-0501 si è evoluto. Niente più attacchi “classici” alle macchine on-premise, niente più ransomware che cripta file locali. Ora la minaccia si sposta direttamente sopra di noi, nel cloud, là dove molte aziende pensavano di essere al sicuro. Il passaggio è epocale: non servono più gli eseguibili malevoli che infettano server e PC. Storm-0501 oggi sfrutta le stesse funzionalità native del cloud per fare il lavoro sporco. Si parla di: Il risultato? Una pressione feroce, che non passa per il solito “decryptor a pagamento”, ma per un ricatto diretto: o paghi, o i tuoi dati

Un devastante Attacco informatico paralizza la rete governativa del Nevada

Redazione RHC 27/08/2025

La rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello Stato e costretto la maggior parte degli uffici a chiudere al pubblico. Restano operativi solo i servizi essenziali e i dipendenti coinvolti in processi critici. L’ufficio del governatore ha riferito che, da quando è stato rilevato l’incidente, gli specialisti hanno lavorato 24 ore su 24 per ripristinare il servizio. Sono stati utilizzati percorsi temporanei e soluzioni alternative per mantenere l’accesso a diverse risorse. Allo stesso tempo, le autorità sottolineano che l’obiettivo principale non è la

Una campagna di UNC6395 mira all’esfiltrazione dei dati Salesforce tramite token OAuth compromessi

Redazione RHC 27/08/2025

E’ stata condotta una campagna sofisticata per esfiltrare dati mirata alle istanze Salesforce delle aziende, la quale ha portato all’esposizione di informazioni sensibili di varie organizzazioni. Ciò è avvenuto attraverso token OAuth compromessi, associati all’applicazione di terze parti Salesloft Drift. Il threat actor, identificato come UNC6395, ha raccolto credenziali e dati sensibili nel periodo compreso tra l’8 e il 18 agosto 2025. Questo ha dimostrato una notevole conoscenza delle procedure di sicurezza operative, in quanto sono state eseguite query SOQL su diversi oggetti Salesforce. UNC6395 ha eseguito query SOQL (Salesforce Object Query Language) sistematiche per enumerare ed estrarre dati da oggetti Salesforce

Nessun Miracolo! L’Università Pontificia Salesiana cade vittima del ransomware

Redazione RHC 26/08/2025

Nella notte del 19 agosto l’infrastruttura informatica dell’Università Pontificia Salesiana (UPS) è stata vittima di un grave attacco informatico che ha reso temporaneamente inaccessibili il sito web e tutti i servizi digitali dell’Ateneo. L’incidente ha determinato un blocco immediato delle attività online, generando disagi per studenti, docenti e personale amministrativo. Non sappiamo se si tratti di ransomware ma le parole “valutare i danni e avviare le operazioni di ripristino” del comunicato stampa fanno pensare a questo. A seguito dell’attacco, l’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale sono prontamente intervenute per condurre le indagini necessarie e adottare le misure di contenimento.

Stai pianificando il passaggio da Windows a Linux? Allora passa, APT36 è già lì ad aspettarti!

Redazione RHC 25/08/2025

APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno dal 2013 e utilizza regolarmente e-mail di spear phishing e furti di credenziali per accedere a sistemi chiusi. Questa volta, gli aggressori hanno implementato una nuova tecnica di infezione, utilizzando file “.desktop” di Linux camuffati da documenti che scaricano malware da Google Drive e stabiliscono un canale di comando e controllo nascosto. Secondo CloudSEK, l’attacco inizia con l’invio di archivi ZIP contenenti file falsi con un’icona PDF, sebbene in realtà si tratti di

I tuoi reni in vendita nel DarkWeb! L’attacco ransomware a DaVita colpisce 2,4 milioni di pazienti

Redazione RHC 24/08/2025

DaVita, un’azienda americana che gestisce una rete di oltre 2.600 centri di emodialisi negli Stati Uniti, ha segnalato una grave perdita di dati personali dei pazienti a seguito di un attacco ransomware. Secondo i dati aggiornati, l’incidente ha colpito circa 2,4 milioni di persone, sebbene la notifica iniziale al Dipartimento della Salute e dei Servizi Umani degli Stati Uniti indicasse una cifra di 2,7 milioni. Secondo le informazioni ufficiali, la violazione si è verificata il 24 marzo ed è durata fino al 12 aprile 2025. Quel giorno, gli aggressori sono stati costretti a lasciare l’infrastruttura aziendale, ed è stato allora che DaVita

Un nome di un file può compromettere un sistema Linux? Gli hacker cinesi dicono di sì

Redazione RHC 24/08/2025

I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno dell’archivio stesso. La campagna inizia con un invio di massa di email progettate come invito a partecipare a un sondaggio sui cosmetici con la promessa di un bonus in denaro. La particolarità di questo attacco è che il codice dannoso è incorporato direttamente nel nome del file, non nel suo contenuto. Quando si tenta di elaborare un nome del genere con script non sicuri, vengono iniettati dei comandi. Il trucco funziona grazie

Orange segnala grave incidente di sicurezza in Francia. Nelle underground messi in vendita 6000 record

Redazione RHC 30/07/2025

La società francese di telecomunicazioni Orange, che serve quasi 300 milioni di clienti in tutto il mondo, ha segnalato un grave incidente di sicurezza che ha causato interruzioni ai servizi chiave in Francia. L’incidente è stato rilevato la sera del 25 luglio dagli specialisti della divisione Cyberdefense di Orange, dopodiché il sistema interessato è stato immediatamente isolato dal resto dell’infrastruttura. Nonostante la rapida risposta, la localizzazione della minaccia ha causato interruzioni temporanee nel funzionamento delle piattaforme aziendali e dei servizi individuali per i consumatori, incluso l’accesso alla gestione dei servizi e alle funzioni amministrative interne. Le interruzioni hanno interessato principalmente i clienti

Categorie