Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
Enterprise BusinessLog 970x120 1
Banner Ancharia Mobile 1

Tag: Threat Actors

Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni

RHC Dark Lab 23/06/2025

La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è entrato pesantemente in scena nel panorama italiano. E lo ha fatto senza bussare alla porta. Nel report che pubblichiamo oggi, frutto del lavoro congiunto della nostra community e del sottogruppo DarkLab, specializzato in Cyber Threat Intelligence. Analisi con un taglio tecnico ma operativo sulla nuova campagna offensiva di AKIRA, il ransomware-as-a-service che si è fatto le ossa all’estero ed ora gioca in casa colpendo grandi e medie aziende lungo tutto lo

Attacco informatico alla ASP Palermo. Dopo i disservizi, il comunicato dell’organizzazione

Redazione RHC 22/06/2025

PALERMO, 19 GIUGNO 2025 – Dopo le difficoltà operative registrate negli ultimi giorni, l’Azienda Sanitaria Provinciale di Palermo ha confermato ufficialmente di essere stata colpita da un attacco informatico. Il comunicato, pubblicato sul sito istituzionale dell’ente, chiarisce che l’incidente si è verificato il 18 giugno 2025 e ha coinvolto circa 45 postazioni di lavoro aziendali. Secondo quanto dichiarato, non è ancora possibile individuare con certezza tutte le strutture aziendali collegate alle postazioni compromesse. Tipologie di dati potenzialmente coinvolti L’ASP di Palermo ha specificato che i dati che potrebbero essere stati esfiltrati includono: Al momento, non è possibile identificare puntualmente i soggetti coinvolti,

Crash di massa su Windows: la falla in OpenVPN che può mandare KO le infrastrutture

Redazione RHC 22/06/2025

Una vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il bug, classificato come CVE-2025-50054, è un buffer overflow che colpisce le versioni 1.3.0 e precedenti del driver ovpn-dco-win, oltre alle versioni di OpenVPN fino alla 2.5.8, dove tale driver veniva utilizzato come scheda di rete virtuale predefinita. “Quando si utilizza ovpn-dco-win, il software OpenVPN non invia traffico dati avanti e indietro tra utente e spazio kernel per la crittografia, la decrittografia e il routing, ma le operazioni sul payload avvengono nel

Darkcloux 3.0 è qui: Securonis Linux diventa più sicura (e più estrema) che mai

Redazione RHC 21/06/2025

Securonis Linux ha rilasciato il suo aggiornamento più importante: la versione 3.0 di “Darkcloux” e la patch 3.0-r1. La versione include nuove utility, componenti riprogettati e miglioramenti alla privacy e alla sicurezza. La modifica principale è la fine del supporto per l’ ambiente GNOME. Da questa versione, solo MATE rimane nella distribuzione. Il browser FireScorpion è integrato nel sistema : una versione modificata di Firefox con impostazioni di privacy migliorate, blocco degli annunci e tracker. Sono state aggiunte anche le seguenti utilità: Molti componenti sono stati completamente riscritti: Nuke2System, Paranoia, PhysicalSec, gestore password. Nelle impostazioni di sicurezza sono apparse due modalità kernel: produttiva e con la massima rigidità. Le

15 Deface in poche ore di siti italiani! Gli hacker: “Godermi la vita prima che la morte venga a prendermi”

Redazione RHC 20/06/2025

Nelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (team xnot_respondingx), che ha lasciato un messaggio in un file readme.txt presente su ciascun dominio compromesso. Tra i siti sfregiati figurano realtà di vario tipo: agenzie di servizi, istituzioni private e-commerce e portali tecnici, di seguito gli obiettivi colpiti dal defacement da parte degli hacker di xNot_RespondinGx. Tutti quanti i siti rispondono con lo stesso messaggio di errore. La frase “menikmati sisa hidup sebelum ajal menjemputku”. In lingua indonesiana e può essere tradotta in italiano come:

I Cyber attacchi potrebbero diventare missili. L’escalation tra Iran e Israele e 100 gruppi di hacker in campo

Redazione RHC 20/06/2025

Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all’infrastruttura nucleare iraniana, lo scontro tra i due Paesi ha smesso di essere nascosto e si è trasformato in una vera e propria guerra informatica. Centinaia di vittime da entrambe le parti non sono state solo il risultato di attacchi missilistici, ma sono state anche accompagnate da attacchi devastanti nello spazio digitale. In questo contesto, decine di gruppi di hacktivistisi sono attivati, scegliendo rapidamente da che parte stare nel conflitto e lanciando attacchi contro la parte avversa. Gli

Android sotto attacco: il malware Godfather ora usa la virtualizzazione per ingannare tutti

Redazione RHC 20/06/2025

È stata scoperta una nuova versione del malware Android Godfather che crea ambienti virtuali isolati sui dispositivi mobili per rubare dati dalle applicazioni bancarie. Ricordiamo che Godfather è stato individuato per la prima volta a marzo 2021 dai ricercatori di ThreatFabric. Da allora, il malware bancario ha subito cambiamenti significativi ed è molto diverso dall’ultimo campione studiato da Group-IB nel dicembre 2022. All’epoca, il malware aveva attaccato 400 applicazioni di criptovalute e servizi bancari in 16 paesi utilizzando overlay HTML. Come spiegano ora gli specialisti di Zimperium, che hanno scoperto una nuova versione del malware, il malware viene eseguito sul dispositivo in un ambiente virtuale controllato, che

Linux Alert: Il bug su udisks consente l’accesso a Root sulle principali distribuzioni

Redazione RHC 20/06/2025

Gli esperti avvertono che due nuove vulnerabilità di escalation dei privilegi locali possono essere sfruttate per ottenere privilegi di root sui sistemi che eseguono le distribuzioni Linux più diffuse. Il primo bug (CVE-2025-6018  è stato scoperto nella configurazione del framework Pluggable Authentication Modules (PAM) in openSUSE Leap 15 e SUSE Linux Enterprise 15. Il problema consente ad aggressori locali di ottenere privilegi utente allow_active. Un altro bug (CVE-2025-6019) è stato scoperto in libblockdev e consente all’utente allow_active di ottenere privilegi di root tramite il demone udisks (un servizio di gestione dell’archiviazione utilizzato di default nella maggior parte delle distribuzioni Linux). Sebbene concatenare queste vulnerabilità consenta agli

Stealth Malware: la nuova frontiera del cybercrime

Agostino Pellegrino 20/06/2025

Accessi anomali e un loader Invisibile: storia di un attacco fileless evitato per un soffio Abstract: Un caso reale di incident response porta alla scoperta di quello che chiameremo “Unknown Malware AP”, un sofisticato loader fileless basato su Python, capace di eseguire codice remoto usando Telegram e is.gd come vettori. Il malware sfugge ai rilevamenti tradizionali, ma viene individuato grazie all’intuito analitico e alla correlazione tra eventi di basso impatto. L’articolo ricostruisce la catena di compromissione, le modalità di esecuzione fileless e le tecniche di detection efficaci per intercettarlo. Introduzione Quando un cliente mi chiama con preoccupazione per delle e-mail di mancato

Reti WiFi Guest: Segmentare senza isolare è come mettere porte senza pareti.

RedWave Team 20/06/2025

Come avrete ormai capito nella nostra Rubrica WiFi su RedHotCyber, abbiamo intrapreso un viaggio tecnico e pratico nel mondo delle reti wireless, partendo dalla loro origine storica fino ad arrivare agli attacchi reali che colpiscono quotidianamente utenti e infrastrutture. Dopo aver esplorato: abbiamo iniziato ad analizzare anche le prime contromisure, come l’introduzione dei sistemi AAA combinati ai captive portal, utili a regolamentare l’accesso e tracciare gli utenti. Con questo articolo vogliamo fare un passo in più: andare oltre la semplice segmentazione delle reti e affrontare un aspetto spesso trascurato ma fondamentale, ovvero l’isolamento del traffico locale a livello Layer 2. Perché, come

Categorie