Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Crowdstriker 970×120
320x100 Itcentric

Tag: #ransomware

Quale sarà l’e-commerce italiano basato su Magento che presto sarà violato?

Redazione RHC 28/10/2025

Un nuovo post sul dark web mette in vendita l’accesso amministrativo a un negozio online italiano basato su Magento. Prezzo: 200 dollari. Clienti e ordini in chiaro, e un rischio enorme per la sicurezza digitale delle aziende italiane. Un annuncio pubblicato da un utente con nickname “kazu” su un forum underground sta circolando nelle ultime ore. Nel post, l’autore mette in vendita l’accesso al pannello di amministrazione di un e-commerce italiano – completo di dashboard, clienti, ordini e analytics – a soli 200 dollari. Il venditore afferma che il sito compromesso conta 15.145 clienti registrati, 28.500 ordini e oltre 1,6 milioni di

CrowdStrike: Il 76% delle organizzazioni fatica a contrastare gli attacchi AI

Redazione RHC 28/10/2025

La preparazione delle aziende al ransomware risulta in ritardo mentre gli avversari utilizzano l’IA lungo tutta la catena d’attacco per accelerare intrusione, cifratura ed estorsione Milano – 27 ottobre 2025 – Secondo il report State of Ransomware 2025 di CrowdStrike (NASDAQ: CRWD), il 76% delle organizzazioni a livello globale fatica a eguagliare la velocità e la sofisticazione degli attacchi potenziati dall’intelligenza artificiale. Con un 89% che considera la protezione basata su IA essenziale per colmare il divario, i risultati mostrano chiaramente che a decidere sul futuro della sicurezza informatica, che siano gli avversari o i difensori, sarà chi saprà sfruttare il vantaggio

AVKiller + HeartCrypt: la combo che apre la porta ai ransomware

Redazione RHC 25/10/2025

Sul mercato dei criminali informatici è apparso uno strumento che è rapidamente diventato un’arma di produzione di massa per decine di gruppi. Si tratta di HeartCrypt, un servizio di packaging di malware che si maschera da applicazione legittima. I ricercatori di Sophos ne hanno monitorato l’attività e hanno scoperto che gli aggressori utilizzano questo meccanismo per distribuire stealer, trojan RAT e persino utility di disattivazione delle soluzioni di sicurezza, il tutto utilizzando le stesse tecniche di ingegneria sociale e sostituzione del codice. Gli esperti hanno raccolto migliaia di campioni e scoperto quasi un migliaio di server di comando e controllo, oltre duecento

La Russia e il Cybercrimine: un equilibrio tra repressione selettiva e interesse statale

Ada Spinelli 24/10/2025

L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’ordine, un riorientamento delle priorità interne e i persistenti, benché evoluti, legami tra la criminalità organizzata e lo Stato russo. Un evento chiave è stata l’Operazione Endgame, lanciata nel maggio 2024, un’iniziativa multinazionale volta a colpire gruppi di ransomware, servizi di riciclaggio e infrastrutture correlate, anche all’interno di giurisdizioni russe. In risposta, le autorità russe hanno condotto una serie di arresti e sequestri di alto profilo. Queste azioni segnano un allontanamento dalla storica posizione di

Vulnerabilità critica nel client SMB di Windows: CISA lancia l’allarme

Redazione RHC 21/10/2025

Il 20 ottobre 2025, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un’allerta urgente riguardante una vulnerabilità critica, CVE-2025-33073, presente nel client SMB di Windows di Microsoft. Questa falla, caratterizzata da un controllo degli accessi inadeguato, potrebbe comportare un aumento significativo dei privilegi per gli aggressori. La vulnerabilità rappresenta un rischio elevato per gli attacchi informatici in tutto il mondo, motivo per cui è stata segnalata con urgenza. Il CISA sollecita nel suo bollettino un’azione immediata: applicare le ultime patch di Microsoft come indicato nei loro avvisi di sicurezza o seguire la Direttiva operativa vincolante (BOD) 22-01 per

Attacco Informatico agli aereoporti europei: Everest Ransomware rivendica l’attacco

Redazione RHC 18/10/2025

Il 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply chain, che ha sfruttato la compromissione di un fornitore terzo, con effetti a cascata su tutta l’infrastruttura operativa aeroportuale. Nelle ultime ore, sul portale ufficiale della cyber gang Everest Ransomware, è comparsa una nuova sezione dedicata a Collins Aerospace (RTX) — uno dei principali fornitori mondiali nel settore aerospaziale e difensivo — con accanto a una serie di timer e annunci relativi alla pubblicazione di dati riservati. Disclaimer: Questo rapporto include screenshot

Microsoft blocca Vanilla Tempest: Falsi installer di Teams diffondevano ransomware Rhysida

Redazione RHC 17/10/2025

All’inizio di ottobre 2025, Microsoft ha interrotto un’ampia operazione malevola attribuita al gruppo Vanilla Tempest, revocando più di 200 certificati digitali utilizzati per firmare in modo fraudolento file di installazione di Microsoft Teams. Questi pacchetti falsi servivano come vettore per diffondere la backdoor Oyster e, successivamente, il ransomware Rhysida. La scoperta e le contromisure La campagna è stata individuata a fine settembre 2025, dopo mesi di attività in cui l’attore della minaccia aveva sfruttato file binari apparentemente legittimi. In risposta, Microsoft Defender Antivirus ha aggiornato le proprie firme per riconoscere e bloccare sia i falsi installer di Teams sia i malware coinvolti,

FBI sequestra BreachForums e i post degli hacker che minacciavano la Quantas

Redazione RHC 12/10/2025

Gli hacker dell‘FBI (Federal Bureau of Investigation) degli Stati Uniti ha sequestrato e distrutto un sito web accessibile al pubblico, gestito da hacker che minacciano di divulgare i dati personali dei clienti Qantas. Un collettivo di criminali informatici, Scattered Lapsus$ Hunters, avrebbe minacciato di divulgare i dati rubati da circa 40 aziende globali collegate al gigante del software cloud Salesforce, tra cui Disney, Google, IKEA, Toyota e le compagnie aeree Qantas, Air France e KLM, a meno che non venisse pagato un riscatto. A luglio, Qantas ha stimato a 5,7 milioni il numero di clienti colpiti dall’attacco informatico, ma l’amministratore delegato Vanessa

Velociraptor usato in attacchi attivi per distribuire il ransomware LockBit e Babuk

Redazione RHC 11/10/2025

Gli hacker hanno iniziato a utilizzare Velociraptor, lo strumento di analisi forense e risposta agli incidenti digitali (DFIR), per sferrare attacchi con i ransomware LockBit e Babuk. I ricercatori di Cisco Talos attribuiscono queste campagne al gruppo Storm-2603, operativo in Cina. Secondo gli analisti, gli aggressori hanno utilizzato una versione obsoleta di Velociraptor con una vulnerabilità di escalation dei privilegi (CVE-2025-6264 , punteggio CVSS 5,5) per ottenere il controllo completo sui sistemi infetti. Velociraptor è stato creato da Mike Cohen come strumento DFIR open source e successivamente acquisito da Rapid7 che ne sta sviluppando la versione commerciale. A fine agosto, i ricercatori

1000 POS di negozi USA e UK violati e messi all’asta: “accesso totale” a 55.000 dollari

Redazione RHC 09/10/2025

Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e pericoloso il mercato nero degli accessi a sistemi informatici sensibili. L’utente “nixploiter”, con un profilo già consolidato nella community underground (livello “gigabyte“, con oltre 150 post), ha recentemente messo in vendita l’accesso a più di 1000 macchine POS (Point of Sale) situate tra USA e Regno Unito. Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e

Categorie