Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
Banner Ransomfeed 970x120 1
320×100

Tag: Threat Actors

Un nuovo infostealer fileless viene veicolato da Telegram e dai servizi legittimi

Agostino Pellegrino 26/06/2025

TLP: AMBERAnalista: Agostino Pellegrino, Crescenzo Cuoppolo, Alessio BandiniData ultima revisione: 2025-06-24 Questo report tecnico forense documenta l’analisi completa di un infostealer multi-stadio veicolato tramite un loader fileless in Python, identificato con la sigla “AP”. L’intera catena di infezione è eseguita in memoria e sfrutta servizi legittimi pubblici (Telegram, is.gd, paste.rs) per evitare la rilevazione e semplificare l’aggiornamento remoto del payload. Il file iniziale, denominato Photos, contiene un dropper che esegue dinamicamente un secondo stadio offuscato, il quale a sua volta decodifica ed esegue in memoria un infostealer capace di esfiltrare informazioni sensibili da browser Chromium. Catena di Infezione Stadio 1 – Dropper

Citrix: nuova vulnerabilità critica da 9,2 colpisce NetScaler – attacchi in corso!

Redazione RHC 26/06/2025

Citrix ha segnalato una nuova vulnerabilità critica nelle sue appliance NetScaler, già attivamente sfruttata dagli aggressori. Il problema è identificato con l’identificativo CVE-2025-6543 e riguarda le diffuse soluzioni NetScaler ADC e NetScaler Gateway utilizzate dalle aziende per l’accesso remoto e la protezione del perimetro di rete. Come riportato nella nota ufficiale di Citrix, exploit per questa vulnerabilità sono già stati osservati in attacchi reali. CVE-2025-6543 (punteggio CVSS: 9,2) consente l’invio di una richiesta speciale da remoto e senza autenticazione, causando il malfunzionamento e l’indisponibilità del dispositivo. In particolare, si tratta di un completo disservizio che può paralizzare il funzionamento dell’infrastruttura aziendale. La vulnerabilità interessa

REvil: Condannati ma poi liberi. Il caso giudiziario più controverso di sempre

Redazione RHC 26/06/2025

Vi ricordate della famigerata cyber gang REvil? Il gruppo di hacker russi responsabile di alcuni dei più devastanti attacchi ransomware agli albori di questa minaccia globale, noti per pubblicare le loro “imprese” criminali sul celebre forum underground “Happy Blog”. Il Tribunale Dzerzhinsky di San Pietroburgo ha condannato altri quattro partecipanti al caso del gruppo di hacker REvil (alias Sodinokibi), secondo quanto riportato dai media. A tutti i condannati sono state inflitte pene detentive effettive, ma gli imputati sono stati rilasciati, avendo già scontato integralmente la pena in custodia cautelare, durante le indagini e il processo. Le attività di REvil cessarono a gennaio 2022,

Cyberbullismo e terrore digitale: perché il fumetto di Betti ti fa sentire a disagio (e fa bene così)

Andrea Gioia Lomoro 25/06/2025

Quando ho deciso di scrivere questa storia di Betti, non era certo per fare un fumetto “carino” o “facile”, da leggere in un pomeriggio assolato al mare e da dimenticare il giorno dopo. No, nasce dal bisogno urgente di raccontare una realtà che anch’io ho visto, sentito e vissuto, senza filtri, né abbellimenti. Certo non mi riferisco alla realtà del bullismo digitale, ma di quello vecchio stile anni ’70, quando i “praticoni” di una scuola di periferia, con ben poca simpatia, decisero di farmi diventare il loro bersaglio per qualche risata.  Il bullismo, oggi digitale, specie in una scuola, non è mai una

Shock in Francia: i signori di BreachForums erano ventenni cittadini Francesi!

Redazione RHC 25/06/2025

Clamoroso in Francia: smantellata una delle più grandi reti globali di cybercriminalità. Gli hacker di BreachForum erano… francesi. Le autorità francesi hanno sgominato una vasta operazione di criminalità informatica, arrestando cinque giovani hacker francesi responsabili della gestione di BreachForum, uno dei mercati underground digitali più attivi al mondo per la compravendita di dati rubati. L’operazione è stata condotta con raid sincronizzati su tutto il territorio francese. In un primo momento, si riteneva che dietro BreachForum ci fossero gruppi russi o operanti in territori russofoni. Ma le indagini della Brigata per la Criminalità Informatica (BL2C) della questura di Parigi hanno ribaltato lo scenario:

Attacco zero-click su Notepad++. HackerHood ha provato l’exploit e funziona veramente con poco

Redazione RHC 25/06/2025

È stata scoperta una pericolosa vulnerabilità nell’ultima versione del popolare editor di testo Notepad++ che consente a un aggressore di ottenere il controllo completo del sistema. La vulnerabilità è stata identificata come CVE-2025-49144 e riguarda la versione 8.8.1 del programma di installazione, rilasciata il 5 maggio 2025. Il problema è legato alla tecnica di “sostituzione di file binari”, in cui il programma di installazione accede ai file eseguibili dalla directory di lavoro corrente senza un’adeguata verifica. I ricercatori hanno scoperto che un aggressore può installare un file dannoso, come un file regsvr32.exe modificato, nella stessa cartella in cui si trova il programma di installazione. All’avvio, l’installazione scaricherà automaticamente

WhatsApp bandito dal Congresso USA: troppo rischioso per la cybersecurity

Redazione RHC 25/06/2025

A causa di potenziali problemi di sicurezza, la Camera dei rappresentanti degli Stati Uniti ha vietato l’installazione e l’uso di WhatsApp su tutti i dispositivi appartenenti al personale del Congresso. Il divieto si applica ai telefoni cellulari, ai computer portatili, ai computer desktop e a tutti i browser web utilizzati sui dispositivi governativi. Tuttavia, i membri del Congresso possono continuare a usare WhatsApp sui propri dispositivi personali, che, in base alle norme vigenti, non possono essere utilizzati per riunioni informative riservate e strutture protette. La Camera dei Rappresentanti degli Stati Uniti è la camera bassa del Congresso degli Stati Uniti, composta da

Cyberattacco in Alto Adige: blackout informatico paralizza servizi pubblici e privati

Redazione RHC 25/06/2025

Un grave attacco diaservizio ha colpito l’Alto Adige nella giornata di martedì 24 giugno, provocando un blackout diffuso che ha interessato diversi servizi telematici, sia pubblici che privati. Le prime interruzioni sono state registrate nelle tarde ore del 23 giugno e hanno coinvolto aziende, media locali, infrastrutture strategiche e cittadini comuni, impedendo l’accesso a numerosi portali e reti operative. Nel corso del pomeriggio, il presidente della Provincia autonoma di Bolzano, Arno Kompatscher, ha confermato che il malfunzionamento è stato causato da un attacco informatico. Fasi del presunto attacco informatico L’attacco informatico si è verificato tra le 23:00 del 23 giugno e le

22.000 siti a rischio: nuova vulnerabilità Motors WordPress consente l’hacking totale

Redazione RHC 25/06/2025

Gli aggressori stanno sfruttando una vulnerabilità critica nell’escalation dei privilegi nel tema WordPress Motors, che consente loro di hackerare gli account degli amministratori e assumere il controllo completo del sito di destinazione. L’attività dannosa è stata scoperta da Wordfence, che il mese scorso ha segnalato una grave vulnerabilità, la CVE-2025-4322, che colpisce tutte le versioni del tema Motors fino alla 5.6.67. Questo tema, sviluppato da StylemixThemes, ha totalizzato 22.460 vendite su Envato Market ed è molto popolare tra i proprietari di siti web dedicati al settore automobilistico. Il problema è legato al widget Registro di accesso e alla convalida errata dell’identità dell’utente durante l’aggiornamento di una

Studio legale Qilin & Associati: Il Ransomware assume Avvocati e lancia il “pacchetto intimidazione”

Redazione RHC 25/06/2025

Gli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vittime e costringerle a pagare il riscatto. La pubblicità del nuovo servizio è stata notata dagli specialisti dell’azienda israeliana di sicurezza informatica Cybereason. Secondo loro, nel pannello dei partner del ransomware è comparsa l’opzione “Chiama un avvocato”. Si sostiene inoltre che il gruppo abbia ormai una squadra di giornalisti a tempo pieno in grado di collaborare con l’ufficio legale per preparare pubblicazioni volte ad aumentare la pressione sulle vittime. Inoltre, Qilin ha recentemente

Categorie