Giu 17, 2025 Redazione Attacchi, In evidenza, Malware, News, RSS 0

---

Un attacco ransomware avvenuto nel maggio 2025 ai danni di una società finanziaria asiatica ha destato l’attenzione dei ricercatori di Symantec per l’utilizzo di strumenti poco convenzionali. I criminali informatici hanno impiegato tool più tipici di scenari di penetration testing e spionaggio informatico che di attacchi estorsivi tradizionali. L’attacco è stato attribuito al gruppo responsabile di Fog ransomware, una minaccia attiva da almeno un anno e già nota per i suoi comportamenti fuori dagli schemi.

Nel corso dell’intrusione, durata circa due settimane prima della cifratura dei dati, gli attaccanti hanno utilizzato strumenti come Syteca, software di monitoraggio poco noto, e GC2 che sfrutta Google Sheets e SharePoint per il command and control. Tra le utility impiegate anche Adaptix C2, Stowaway e strumenti classici come PsExec e SMBExec per il movimento laterale all’interno della rete. Al termine di ogni fase, gli operatori hanno eliminato le tracce delle proprie attività, segno di un’operazione ben pianificata e volta alla furtività.

La vera anomalia, secondo Symantec, è stata la creazione di un servizio permanente dopo l’attacco ransomware, allo scopo di mantenere l’accesso alla rete compromessa. Una scelta rara per campagne a scopo puramente estorsivo che lascia intravedere finalità ulteriori rispetto al semplice guadagno economico.

Fog ransomware è stato individuato per la prima volta nel maggio 2024, in attacchi rivolti soprattutto a istituti scolastici statunitensi. Inizialmente si diffondeva tramite VPN compromesse, ma nella seconda metà del 2024 ha iniziato a sfruttare una vulnerabilità critica in Veeam Backup & Replication (CVE-2024-40711, CVSS 9.8). Da aprile 2025 il gruppo ha cambiato approccio, adottando messaggi email come vettore iniziale e introducendo tattiche provocatorie come note di riscatto con riferimenti satirici all’agenzia DOGE di Elon Musk.

Nell’attacco più recente, non è stato possibile determinare con certezza il vettore d’ingresso, ma alcuni elementi fanno pensare a un coinvolgimento dei server Microsoft Exchange. Gli strumenti utilizzati per esfiltrare dati e mantenere il controllo includono FreeFileSync, MegaSync e Process Watchdog, oltre agli agenti già citati. Tutto ciò rafforza l’ipotesi che l’azione non fosse esclusivamente finalizzata al ransomware, ma che potesse includere componenti di spionaggio industriale.

Il report di Symantec suggerisce infatti che la componente ransomware potrebbe essere stata solo una copertura per un’operazione più ampia, con finalità di intelligence economica o geopolitica. “Questi elementi fanno pensare che l’obiettivo dell’attacco potesse essere l’acquisizione di informazioni, mentre il ransomware sarebbe servito a confondere o monetizzare l’azione” – concludono i ricercatori, che hanno pubblicato anche un set di indicatori di compromissione. “Ciò che è certo è che si tratta di un toolkit insolito per questo tipo di attacco e merita l’attenzione di tutte le aziende che vogliono rafforzare le proprie difese” – si legge nel report.

---

---

---

https://www.securityinfo.it/2025/06/17/fog-ransomware-un-ransomware-anomalo-a-una-finanziaria-asiatica/?utm_source=rss&utm_medium=rss&utm_campaign=fog-ransomware-un-ransomware-anomalo-a-una-finanziaria-asiatica

L’ecosistema digitale contemporaneo presenta un panorama di minacce informatiche sempre più sofisticate e pervasive, rendendo imperativa l’adozione di strategie difensive multilayer per salvaguardare l’integrità, la confidenzialità e la disponibilità degli asset informazionali aziendali. L’Intelligenza Artificiale generativa è emersa come il principale driver degli investimenti in cybersecurity nel 2025, con il 78% delle organizzazioni che riferisce la necessità di rivedere completamente la propria strategia di sicurezza.

Il mercato globale della cybersecurity è proiettato verso una crescita esponenziale, passando da 215 miliardi di dollari nel 2025 a 697 miliardi entro il 2035, con un CAGR dell’11,3%. Questa espansione riflette l’urgenza crescente delle organizzazioni di proteggersi contro un threat landscape in continua evoluzione, caratterizzato dall’emergere di attacchi multi-vettoriali, dall’integrazione di AI nelle tecniche offensive e dall’espansione delle superfici di attacco derivanti dalla trasformazione digitale.

Secondo l’ultimo ENISA Threat Landscape Report, sono state identificate sette minacce primarie: attacchi contro la disponibilità, ransomware, minacce ai dati, malware, social engineering, manipolazione dell’informazione e interferenze, e attacchi alla supply chain. L’approccio alla cybersecurity aziendale deve necessariamente abbracciare una filosofia olistica, integrando componenti tecnologiche, procedurali e umane in un framework coerente e dinamicamente adattabile alle evoluzioni del threat landscape.

Migliori pratiche di sicurezza di rete per PMI

Le piccole e medie imprese costituiscono il tessuto connettivo dell’economia moderna, rappresentando simultaneamente obiettivi privilegiati per i cyber-criminali data la frequente inadeguatezza delle loro difese perimetrali. CompTIA’s 2025 State of Cybersecurity report evidenzia come la cybersecurity sia diventata un imperativo business con considerazioni che coinvolgono tutti i livelli organizzativi.

La definizione di una security policy aziendale rappresenta il prerequisito fondamentale per qualsiasi iniziativa di hardening infrastrutturale. Tale documento deve articolare chiaramente ruoli, responsabilità e procedure operative, stabilendo parametri di accesso granulari e protocolli di gestione degli incidenti. L’adozione del principio del “least privilege” costituisce il cardine dell’architettura autorizzativa, limitando sistematicamente i permessi utente al minimo indispensabile per l’espletamento delle funzioni lavorative.

L’architettura Zero Trust sta guadagnando slancio significativo, con l’81% delle organizzazioni che pianifica di implementarla entro il 2026, spinta da un mercato che dovrebbe raggiungere i 38,37 miliardi di dollari nel 2025. L’autenticazione multi-fattoriale emerge quale baluardo imprescindibile contro le compromissioni credenziali, implementando meccanismi di verifica stratificati che combinano elementi di conoscenza, possesso e inerenza biometrica.

La formazione del personale rappresenta un pilastro strategico spesso sottovalutato, considerando che l’errore umano costituisce il vettore primario di compromissione organizzativa. Con oltre 989.000 attacchi di phishing riportati nel solo Q4 del 2024, i programmi di security awareness mirati devono affrontare tecniche di social engineering avanzate, incluse quelle potenziate dall’AI.

L’implementazione di backup incrementali automatizzati, con replica geograficamente distribuita e test periodici di ripristino, garantisce continuità operativa anche in scenari di compromissione catastrofica. La strategia “3-2-1” (tre copie dei dati, su due supporti diversi, con una conservata offline) rappresenta il gold standard per la protezione informazionale, mitigando efficacemente rischi ransomware e disastri naturali.

Firewall e sistemi di rilevamento delle intrusioni: protezione della rete aziendale avanzata

L’architettura perimetrale moderna trascende il paradigma tradizionale del firewall statico, abbracciando soluzioni Next-Generation Firewall (NGFW) che integrano funzionalità di deep packet inspection, prevenzione delle intrusioni e intelligence sulle minacce. Le organizzazioni stanno adottando sempre più browser sicuri come componente essenziale della loro strategia di sicurezza, con il 2025 identificato come l’anno di adozione su larga scala.

I sistemi di rilevamento delle intrusioni (IDS) e prevenzione (IPS) costituiscono complementi imprescindibili dell’ecosistema difensivo, monitorando continuamente il traffico di rete per identificare pattern anomali e attività malevole. L’approccio ibrido che combina detection basata su signature e analisi comportamentale massimizza l’efficacia rilevativa, riducendo simultaneamente il tasso di falsi positivi attraverso correlazione contestuale degli eventi.

Un trend emergente significativo è l’aumento degli attacchi multi-vettoriali e multi-stage, che rappresentano una delle tendenze più allarmanti nel panorama cybersecurity del 2025. L’implementazione di Web Application Firewall (WAF) specializzati protegge specificamente le applicazioni web-facing da vulnerabilità OWASP Top 10, includendo SQL injection, cross-site scripting e attacchi di inclusion remota.

La gestione centralizzata delle policy attraverso Security Information and Event Management (SIEM) platforms facilita la correlazione cross-platform degli eventi di sicurezza, abilitando risposta automatizzata agli incidenti e forensics post-breach. L’integrazione con threat intelligence feeds arricchisce la capacità predittiva del sistema, anticipando campagne malevole emergenti attraverso indicatori di compromissione aggiornati in tempo reale.

Evoluzione delle minacce post-quantum: L’emergere della crittografia post-quantum comporterà un incremento degli attacchi PQC incorporati nel traffico web criptato, poiché molti prodotti di sicurezza di rete non sono ancora in grado di ispezionare tale traffico. Le organizzazioni devono prepararsi implementando soluzioni in grado di identificare, bloccare e decrittare gli algoritmi post-quantum.

Segmentazione della rete per una maggiore sicurezza

La micro-segmentazione rappresenta l’evoluzione dell’approccio perimetrale tradizionale, implementando controlli granulari di accesso all’interno dell’infrastruttura di rete attraverso Virtual LAN (VLAN), Software-Defined Networking (SDN) e zero-trust architecture. L’architettura zero-trust elimina il concetto di “trusted network”, richiedendo autenticazione e autorizzazione esplicite per ogni richiesta di accesso alle risorse.

Il 2025 vedrà l’adozione diffusa di soluzioni SASE (Secure Access Service Edge) single-vendor, che offrono alle organizzazioni la possibilità di accedere alle applicazioni SaaS fino a 5 volte più velocemente rispetto all’accesso diretto via internet. L’implementazione di Identity and Access Management (IAM) centralizzato facilita l’enforcement di policy granulari, integrando attributi utente, dispositivo e contestuali nella determinazione autorizzativa.

La definizione di zone di sicurezza differenziate attraverso criteri funzionali, di criticità e di conformità regolatoria ottimizza l’allocazione delle risorse protettive. La segregazione del traffico guest, IoT e amministrativo mediante VLAN dedicate e Access Control List (ACL) specifiche minimizza l’esposizione reciproca tra segmenti eterogenei.

Sicurezza delle reti 5G e Edge Computing: Con il continuo rollout delle reti 5G nel 2025, si introducono nuove sfide di cybersecurity caratterizzate da superfici di attacco ampliate, rischi di intercettazione dati e vulnerabilità infrastrutturali. Le organizzazioni devono prioritizzare crittografia robusta, protocolli di autenticazione forti e strumenti di monitoraggio di rete in tempo reale.

L’implementazione di Network Access Control (NAC) automatizza l’applicazione di policy di segmentazione dinamica, quarantenando dispositivi non conformi agli standard di sicurezza aziendale e applicando remediation automatizzata quando possibile. L’integrazione con sistemi di Mobile Device Management (MDM) estende i controlli ai dispositivi BYOD, garantendo compliance continuativa.

Aggiornamenti e patch di sicurezza: come gestirli

La gestione sistematica degli aggiornamenti software rappresenta un aspetto critico della postura di sicurezza aziendale, richiedendo bilanciamento tra urgenza security e stabilità operativa. NIST ha recentemente aggiornato il Privacy Framework 1.1, mantenendo l’allineamento con il Cybersecurity Framework (CSF) 2.0 rilasciato nel febbraio 2024.

Il CSF 2.0 è ora organizzato attorno a sei funzioni chiave: Identify, Protect, Detect, Respond, Recover, e la nuova funzione Govern, che enfatizza la cybersecurity come fonte primaria di rischio aziendale. L’implementazione di Patch Management frameworks strutturati garantisce applicazione tempestiva delle correzioni critiche minimizzando disruption dei servizi business-critical.

La classificazione delle vulnerabilità secondo framework standardizzati (CVSS, EPSS) prioritizza l’intervento correttivo basandosi su exploitability, impatto potenziale e contesto ambientale specifico. L’integrazione con vulnerability scanners automatizzati facilita l’identificazione proattiva delle esposizioni, correlando inventory asset con database di vulnerabilità aggiornati continuamente.

Trend emergenti nel vulnerability management: L’avvento del quantum computing rappresenta una minaccia a lungo termine ma critica, con il 95% dei professionisti che considera l’impatto sui sistemi crittografici come “molto alto”, nonostante solo il 25% delle aziende abbia integrato questa minaccia nella propria strategia di risk management.

L’orchestrazione del deployment attraverso strumenti di Configuration Management (Ansible, Puppet, Chef) garantisce consistenza applicativa across l’infrastruttura eterogenea, riducendo errori manuali e accelerando time-to-remediation. L’implementazione di rollback procedures automatizzate mitiga rischi di instabilità indotta da patch problematiche.

Analisi delle minacce emergenti e trend 2025

Ransomware Evolution e Statistics: Gli attacchi ransomware negli Stati Uniti hanno subito un’impennata drammatica del 149% nei primi cinque settimande del 2025 rispetto allo stesso periodo del 2024, passando da 152 a 378 attacchi documentati. A livello globale, gli attacchi ransomware sono aumentati del 126% nel primo trimestre 2025, con il Nord America che rappresenta il 62% di tutti gli incidenti riportati.

Le tendenze attuali mostrano l’emergere di “EDR killers”, strumenti specificamente progettati per terminare software difensivi, e una crescente cooperazione tra attori nation-state nordcoreani e gruppi ransomware. I pagamenti medi dei riscatti sono aumentati del 500%, passando da 400.000 dollari nel 2023 a 2 milioni nel 2024.

Supply Chain Security: Gli attacchi alla supply chain stanno guadagnando prominenza, con il 15% delle violazioni dei dati nel 2023 che ha coinvolto terze parti o fornitori. L’attacco a Blue Yonder nel 2024, che ha colpito clienti importanti come Starbucks e Morrisons, evidenzia l’effetto moltiplicatore di questi attacchi.

Artificial Intelligence Security: L’AI generativa è diventata la principale preoccupazione percepita tra il 28% dei professionisti della cybersecurity, con l’80% che riporta discussioni regolari sull’AI a livello di board. Gli strumenti AI come ChatGPT possono ora imitare lo stile di scrittura aziendale così accuratamente da rendere difficile distinguere email fraudolente da comunicazioni legittime.

Post-Quantum Cryptography: Mentre MITRE stima che un computer quantistico capace di rompere la crittografia RSA-2048 sia improbabile prima del 2055-2060, l’urgenza della migrazione alla crittografia post-quantum è sottolineata dalle scadenze governative che vanno dal 2025 al 2035. Il World Economic Forum ha sviluppato un framework di governance per i computer quantistici per aiutare le organizzazioni nella transizione verso un’economia quantum-safe.

Multi-Cloud Security Challenges: Gli ambienti multi-cloud complessi, che tipicamente operano attraverso AWS, Azure, GCP e data center privati, complicano la visibilità uniforme delle minacce a causa di configurazioni, log e framework di policy unici per ogni piattaforma.

Raccomandazioni strategiche per il 2025

Implementazione di Cybersecurity-as-a-Service (CaaS): Nel 2025, più aziende si rivolgeranno al CaaS per gestire la crescente complessità della sicurezza interna, evidenziando la necessità di soluzioni scalabili e on-demand per combattere le minacce in evoluzione.

Convergenza IT-OT Security: L’integrazione dei domini di tecnologia operativa (OT) tradizionalmente air-gapped con le reti IT nel contesto dell’Industria 4.0 espone nuove vulnerabilità che richiedono soluzioni specializzate per il monitoraggio end-to-end.

Workforce Management: La carenza di professionisti qualificati rimane una sfida critica, con la forte domanda e i requisiti specialistici che rendono difficile per le aziende riempire ruoli critici in cybersecurity. Nel 2025, più donne entreranno nel campo della cybersecurity, portando nuove prospettive ed esperienze per guidare il cambiamento.

Regulatory Compliance Evolution: NIST ha recentemente pubblicato Special Publication 800-61r3, che fornisce raccomandazioni per l’incident response integrate con il CSF 2.0, e continua a sviluppare profile specifici per settori come la manifattura di semiconduttori.

La governance del processo richiede metriche quantitative di performance (Mean Time To Patch, Patch Coverage Ratio) e reportistica executiva che evidenzi l’evoluzione della postura di sicurezza nel tempo. L’integrazione con risk management frameworks aziendali quantifica l’esposizione residua e guida gli investimenti in cybersecurity verso le aree di maggiore impatto, considerando le minacce emergenti e le tecnologie disruptive che caratterizzeranno il panorama della sicurezza informatica nei prossimi anni.

Fonti

https://www.ictsecuritymagazine.com/articoli/rete-aziendale/

Giu 10, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Prodotto, Scenario, Tecnologia 0

---

In un contesto nazionale in cui il cyber crime colpisce sempre più duramente le piccole e medie imprese, c’è bisogno di una soluzione pratica, trasparente e accessibile anche a chi non abbia particolari competenze tecniche, né le risorse per rivolgersi ai big del settore.

È questa, in sintesi, la proposition di Helmon, startup italiana che si propone come una risposta tecnologica pensata per il segmento più esposto e fragile del sistema economico nazionale, quello delle piccole e medie imprese.

Nata nel 2024 da una joint venture tra CDP Venture Capital e Cy4Gate, Helmon ha l’obiettivo dichiarato di democratizzare l’accesso alla cybersecurity, rendendo disponibili anche alle PMI strumenti avanzati di protezione e gestione del rischio, finora appannaggio esclusivo delle grandi imprese.

Perché le PMI italiane sono così vulnerabili

L’Italia è oggi uno dei paesi più colpiti da attacchi informatici a livello globale: secondo i dati più recenti, pur rappresentando solo l’1,8% del PIL mondiale, subisce infatti il 10% degli attacchi cyber globali.

Il bersaglio principale, dicevamo, sono per l’appunto le PMI, che costituiscono il 99,4% delle imprese italiane (fonte: Istat), e quindi la quasi totalità del tessuto produttivo nazionale.

Il dato più drammatico riguarda quello che accade dopo un attacco grave: sei imprese su dieci cessano l’attività. E a rendere difficile lo scenario contribuiscono diversi fattori.

Il primo è un quadro normativo sempre più complesso e frammentato (NIS2, DORA, GDPR, Cyber Resilience Act), che richiede l’utilizzo di soluzioni tecnologiche spesso non integrate e poco accessibili.

A ciò si aggiunge la crescente sofisticazione degli attaccanti, potenziati dall’uso dell’intelligenza artificiale, e la crescente digitalizzazione dei processi che comporta un perimetro d’attacco in costante espansione.

Se a ciò aggiungiamo la bassa percentuale di PMI dotate di copertura assicurativa cyber, meno del 5%, e l’inadeguatezza delle polizze tradizionali, ecco spiegato il quadro nel quale ha deciso di muoversi Helmon.

Helmon: automazione, semplicità, integrazione

Il modello operativo di Helmon è stato progettato per rispondere in maniera pragmatica a queste criticità.

La piattaforma si articola su tre pilastri: cyber protection, cyber resilience e cyber insurance. Alla base c’è Cyberon, il motore tecnologico proprietario che alimenta tutte le funzioni core del sistema.

Il processo inizia con la fase di assessment, che Helmon ha automatizzato in maniera innovativa: è infatti sufficiente inserire i pochi dati che vedete nell’immagine qui sotto per attivare l’analisi iniziale.

Questa si basa su fonti di dati interne ed esterne. Internamente, viene utilizzato un database proprietario sviluppato da Pronto Cyber; esternamente, si attinge a fonti OSINT e CLOSINT, dati amministrativi e feed di threat intelligence.

L’algoritmo proprietario (attualmente in fase di brevetto) elabora questi dati per generare un “cyber dossier” consultabile online, contenente la mappa della superficie d’attacco, la stima del rischio economico e le principali vulnerabilità rilevate.

Remediation e deployment

La fase di remediation viene gestita attraverso un catalogo di servizi predefiniti, che Helmon costruisce in funzione delle esigenze delle PMI.

A ogni servizio corrispondono deliverable chiari e SLA puntuali. La loro erogazione è affidata a MSSP selezionati, sia italiani sia internazionali, in grado di rispettare standard di qualità elevati. Helmon mantiene il controllo attraverso un processo di quality assurance industriale, che prevede audit periodici e KPI condivisi con i partner.

Il deployment dei servizi è interamente digitalizzato: il cliente accede alla propria area riservata sulla piattaforma, seleziona i pacchetti desiderati e ne attiva l’esecuzione con un clic.

Alcuni servizi richiedono la fornitura di informazioni aggiuntive (come la whitelist di IP per attività di ethical hacking), ma l’intero processo è progettato per ridurre al minimo l’impatto operativo sull’azienda cliente.

Una volta che il servizio è attivo, il sistema aggiorna automaticamente il profilo di rischio. Le scansioni e le analisi vengono poi ripetute periodicamente, in modo da intercettare evoluzioni del perimetro o nuove vulnerabilità.

Copertura assicurativa e prevenzione continua

Un elemento distintivo dell’offerta Helmon è rappresentato dalla polizza Cyber Protection 2.0, sviluppata in collaborazione con Munich Re e Bene Assicurazioni.

Non si tratta di una semplice copertura dei danni ma di un prodotto assicurativo nativamente integrato nel flusso operativo. La polizza copre attacchi informatici, errore umano e difetti di sistema, anche quando l’IT è in outsourcing. Comprende 11 garanzie sempre attive, con indennizzi automatici, rapidi e calcolati in base a criteri oggettivi.

Inoltre, la polizza include strumenti di prevenzione attiva come: monitoraggio continuo del perimetro con scan non invasivi; formazione del personale e simulazioni di phishing; servizio di incident response 24/7 in italiano, con supporto IT, legale e di comunicazione.

Il risultato è un modello operativo che unisce valutazione del rischio, protezione attiva e copertura finanziaria in un unico sistema, pensato su misura per le PMI italiane.

Helmon si posiziona così come un abilitatore di resilienza digitale in un contesto in cui la sopravvivenza economica passa sempre più dalla capacità di difendersi nel cyberspazio.

La parola a Enrico Fazio

Per completare il quadro su Helmon, abbiamo intervistato Enrico Fazio, Chief Operating Officier.

La prima cosa che abbiamo chiesto è quella che ci ha incuriosito maggiormente. Ma come fa Helmon a capire le criticità di un’azienda in ambito cyber, partendo semplicemente dai pochi dati di cui sopra?

“La domanda tocca uno dei punti chiave della nostra proposition, ossia l’automazione del processo di prevendita. Le fonti di dati sono sia interne che esterne. Le prime sono rappresentate dal nostro database proprietario contenente dati normalizzati raccolti negli anni da Pronto Cyber. Le seconde sono utilizzate sia per la stima dello stato degli attacchi che per la “misura della postura” del cliente”.

“In particolare”, prosegue Fazio, “gli attacchi sono sintetizzati dalla Cyber Threat Intelligence, aggiornata costantemente, mentre la postura dei clienti viene dedotta sulla base di dati amministrativi messi a disposizione dalla Camera di Commercio, e di dati propriamente cyber, come il digital footprint dell’azienda (CLOSINT) e la misura delle vulnerabilità sui servizi esposti legati al dominio”.

“Gli algoritmi che ci consentono di sintetizzare i rischi dell’azienda, che riportiamo in customer page sulla piattaforma, partendo dai dati raccolti, sono proprietari e al momento in fase di registrazione brevettuale”.

Altrettanto importante per noi è stato approfondire anche la fase di remediation, che si avvale di soluzioni di terze parti. Quali sono i partner tecnologici? E in che misura Helmon orchestra queste soluzioni all’interno del percorso di protezione proposto?

“Helmon definisce il catalogo in funzione delle esigenze emerse sul mercato di riferimento, ossia quello delle PMI, e sulla base di esse individua i servizi da proporre e le relative modalità di erogazione, anche in termini di deliverables e SLA”, risponde Fazio.

“Solo allora vengono selezionati i potenziali partner MSSP che, sulla base di specifiche necessità, possiedono caratteristiche adeguate per erogare i servizi richiesti dai clienti rispettando determinati standard di qualità“.

“Durante la fase di delivery, espletiamo il processo di quality assurance industriale, basato su audit periodici e sul rispetto di KPI selezionati per garantire la soddisfazione del cliente finale. Tra i vendor oltre a Cy4gate, annoveriamo in filiera una serie di player nazionali e internazionali di prim’ordine”.

Specularmente alla nostra prima domanda, ci ha incuriosito anche il deployment. Ossia: una volta acquistati i pacchetti proposti da Helmon, quanto tempo passa prima che l’azienda cliente sia effettivamente protetta? E il processo viene gestito da remoto o sono previsti interventi on-premise?

“Una volta acquistato il servizio, il cliente può attivarlo con un click, direttamente dalla sua customer page. Gli step successivi sono illustrati nelle singole schede servizio sempre a disposizione dei clienti, e comportano azioni da entrambe le parti, in tempi predefiniti e molto brevi, in relazione alla tipologia di servizio”.

“Per alcuni di questi servizi il cliente non deve far altro che autorizzarne il lancio, per altri dovrà caricare in piattaforma delle informazioni aggiuntive, come ad esempio mettere in whitelist alcuni IP nel caso venisse richiesta attività di ethical hacking”.

“Tutte cose normali per questo tipo di servizi con la differenza che, grazie alla nostra piattaforma, possiamo inserirle all’interno di un flusso logico che facilita l’esperienza del cliente e permette di tagliare tempi e costi. Quando il servizio sarà operativo, il profilo di rischio, consultabile costantemente in customer page, viene ridotto di conseguenza”.

---

---

---

https://www.securityinfo.it/2025/06/10/helmon-cybersecurity-per-tutti-soprattutto-pmi/?utm_source=rss&utm_medium=rss&utm_campaign=helmon-cybersecurity-per-tutti-soprattutto-pmi

Giu 09, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Malware, Minacce, News, Phishing, Scenario, Tecnologia, Vulnerabilità 0

---

Nel corso della settimana, il CERT-AGID ha identificato e analizzato 47 campagne malevole all’interno del panorama italiano.

Di queste, 20 erano espressamente rivolte a obiettivi situati in Italia, mentre le restanti 27, pur non avendo un target specifico, hanno comunque coinvolto il territorio nazionale.

A supporto dell’attività di difesa informatica, sono stati condivisi con gli enti accreditati 751 indicatori di compromissione rilevati nel corso del monitoraggio.

I temi della settimana

Sono stati 18 i temi sfruttati nel corso della settimana per veicolare campagne malevole sul territorio italiano.

Tra questi, il tema più ricorrente è stato quello degli Ordini, utilizzato in dodici campagne veicolate via email. Tutte avevano come finalità la distribuzione di malware.

In particolare, undici campagne erano di carattere generico: tre associate al malware Remcos, tre a FormBook, due a SnakeKeylogger, e le restanti a RedLine, PureCrypter e AgentTesla. Due campagne erano invece specificamente indirizzate al contesto italiano, una con Remcos e una con FormBook, entrambe diffuse tramite allegati malevoli.

Il tema dei Pagamenti ha caratterizzato quattro campagne email, tutte con finalità malware. Due erano generiche, basate su comunicazioni fraudolente legate a transazioni inesistenti, entrambe orientate alla distribuzione di SnakeKeylogger.

Le altre due campagne erano rivolte a destinatari italiani: una veicolava Remcos, mentre l’altra, riconducibile alla famiglia MintLoader, si distingueva per l’uso della posta elettronica certificata, espediente mirato ad aumentare la fiducia e la credibilità percepita dal destinatario.

Il tema delle mancate consegne (“Undelivered”), è stato sfruttato in quattro campagne di phishing, tutte generiche. In questi casi, le email hanno simulato notifiche di mancata consegna, spingendo l’utente a cliccare su link dannosi per aggiornare o verificare le proprie credenziali email.

Tra i marchi utilizzati per conferire legittimità alle comunicazioni figurano cPanel e Roundcube. L’obiettivo è sempre l’esfiltrazione delle credenziali di accesso alle webmail.

Infine, il tema degli Aggiornamenti ha accompagnato quattro campagne email. Una di queste, a carattere generico, è risultata mirata alla diffusione del malware AsyncRat. Un’altra, rivolta specificamente al contesto italiano, ha simulato una comunicazione ufficiale proveniente dall’Università di Padova, con il chiaro intento di sottrarre le credenziali di accesso di studenti e personale.

I restanti temi osservati nella settimana sono stati impiegati in campagne malevole di vario tipo, riconducibili sia alla distribuzione di malware sia a operazioni di phishing, confermando una varietà costante nei tentativi di compromissione.

Tra gli eventi di maggiore rilievo registrati nel corso della settimana, il CERT-AGID ha segnalato la prosecuzione della già discussa campagna di phishing mirata a studenti e personale dell’Università di Padova.

In questo attacco, le vittime hanno ricevuto email ingannevoli che li invitavano ad aggiornare il proprio account istituzionale, reindirizzandoli verso una pagina di login falsa, accuratamente modellata per replicare l’interfaccia ufficiale dell’ateneo.

L’obiettivo è come sempre la sottrazione delle credenziali di accesso. A seguito della scoperta, l’università è stata prontamente informata e sono state avviate le operazioni di takedown dei domini coinvolti nella campagna.

È stata inoltre individuata una nuova campagna di malspam in lingua italiana, finalizzata alla diffusione del loader MintsLoader tramite caselle PEC compromesse. Si tratta della nona manifestazione di questo schema di attacco dall’inizio dell’anno.

Particolarmente degna di nota è la scelta temporale dell’operazione: l’invio dei messaggi è infatti avvenuto subito dopo una festività nazionale, coerentemente con una strategia ormai consolidata che punta a colpire nei giorni feriali.

L’intento è sfruttare la ripresa dell’attività lavorativa, quando gli utenti sono più propensi ad aprire email potenzialmente legate a pratiche amministrative o professionali. I dettagli operativi sono stati approfonditi in una comunicazione pubblicata dal CERT-AGID.

Infine, è emersa una campagna di phishing in italiano che ha preso di mira gli utenti di LiberoMail. Le email fasulle chiedevano il pagamento di una fattura inesistente, inducendo i destinatari a cliccare su link malevoli che li portavano a una pagina web progettata per sottrarre le credenziali di accesso.

Le informazioni raccolte venivano quindi archiviate in chiaro su un canale Telegram attivo dal settembre 2023, che sembra specializzato nella raccolta sistematica di account compromessi del servizio “libero . it”.

Malware della settimana

Nel corso della settimana sono state osservate dodici diverse famiglie di malware coinvolte in campagne che hanno interessato il territorio italiano, confermando un panorama di minacce ampio e articolato.

Tra i casi più rilevanti, spiccano diverse campagne legate al malware FormBook, individuato in cinque operazioni di tipo generico, tutte veicolate via email e costruite su temi quali ordini, contratti e preventivi. I file malevoli erano allegati in formato ZIP, RAR o ACE, una scelta che evidenzia la continua varietà nei formati compressi utilizzati per eludere i filtri di sicurezza.

Remcos è stato al centro di due campagne mirate a destinatari italiani, sfruttando i temi degli ordini e dei pagamenti. Anche in questo caso, le email contenevano allegati compressi in formato GZ e 7Z. Altre tre campagne, di carattere generico, ruotavano invece attorno a ordini e consegne (“delivery”), con allegati in formato 7Z, RAR e ISO.

Il malware SnakeKeylogger è stato associato a quattro campagne generiche, sempre diffuse via email, con allegati ZIP e messaggi che simulavano comunicazioni su ordini e pagamenti. AgentTesla, altro infostealer noto, è stato rilevato in tre campagne generiche legate a tematiche commerciali come prezzi, ordini e prenotazioni (“booking”), sfruttando archivi GZ, 7Z e ISO.

Una campagna particolarmente significativa, in quanto mirata e strutturata per il contesto italiano, ha coinvolto il loader MintLoader. In questo caso, il malware è stato distribuito attraverso messaggi PEC contenenti un link a uno script JavaScript malevolo, rafforzando l’ipotesi che i criminali stiano sempre più sfruttando canali di comunicazione istituzionali per rafforzare l’efficacia delle campagne.

In ambito mobile, sono state individuate due campagne italiane che veicolavano il malware Copybara con tematiche legate al mondo banking. I messaggi arrivavano via SMS o email e contenevano link a file APK, in grado di infettare dispositivi Android. Una modalità simile è stata adottata anche da una campagna generica che ha impiegato il trojan SpyNote, anch’esso con focus bancario.

Completano il quadro alcune campagne generiche legate a malware come AsyncRat, DarkCloud, Purecrypter, QuasarRAT e RedLine. Questi sono stati distribuiti con vari pretesti, tra cui ordini, contratti, consegne e aggiornamenti, e tramite allegati compressi in diversi formati, inclusi RAR, ZIP, 7Z e IMG, a dimostrazione della costante evoluzione dei vettori tecnici di attacco.

Phishing della settimana

Nel corso della settimana sono stati dodici i brand coinvolti nelle campagne di phishing individuate dal CERT-AGID.

Tra questi, si distinguono per frequenza i nomi di PagoPA, Aruba e Poste Italiane, tutti utilizzati come esca per indurre le vittime a fornire informazioni sensibili attraverso comunicazioni ingannevoli.

A emergere con forza però sono state soprattutto le campagne di phishing, riconducibili a finte webmail. Queste operazioni, prive di riferimenti a marchi noti, sono risultate particolarmente insidiose poiché hanno fatto leva su messaggi generici e plausibili per spingere gli utenti a inserire le proprie credenziali su portali contraffatti, rendendo più difficile individuare la truffa a colpo d’occhio.

Il trend conferma una progressiva professionalizzazione degli attori malevoli, capaci di colpire anche in assenza di un marchio noto sfruttando meccanismi di urgenza e familiarità.

Formati e canali di diffusione

Nel monitoraggio dell’ultima settimana, il CERT-AGID ha identificato dodici differenti tipologie di file malevoli utilizzate nelle campagne attive in Italia.

Ancora una volta, si conferma la centralità dei formati compressi come strumento privilegiato dai gruppi cybercriminali per aggirare i sistemi di sicurezza e veicolare codice dannoso.

Tra questi, ZIP e RAR continuano a dominare la scena, essendo stati utilizzati in sei campagne ciascuno. A seguire, si segnalano i file in formato 7Z, impiegati in quattro casi, e gli APK, protagonisti di tre campagne rivolte a dispositivi mobili.

Lo stesso numero di occorrenze (2) è stato registrato per i formati GZ, PDF e ISO, mentre altri formati come IMG, LNK, ACE, JS e HTML sono stati rilevati in una sola occasione.

Per quanto riguarda i canali di diffusione, anche in questo caso si registra una sostanziale continuità con il passato: la posta elettronica ordinaria si conferma come il vettore privilegiato, avendo supportato ben 42 delle campagne osservate.

Tuttavia, è degna di nota una crescita nell’utilizzo di canali alternativi, come SMS e posta elettronica certificata (PEC), impiegati rispettivamente in due campagne ciascuno.

---

---

---

https://www.securityinfo.it/2025/06/09/cert-agid-31-maggio-6-giugno-liberomail-sotto-attacco-e-una-nuova-campagna-mintsloader/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-31-maggio-6-giugno-liberomail-sotto-attacco-e-una-nuova-campagna-mintsloader

Giu 05, 2025 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di Cisco Talos hanno individuato una campagna ai danni delle infrastrutture critiche ucraine che utilizza PathWiper, un nuovo wiper di origine russa.

L’attacco è stato portato avanti sfruttando un framework di gestione di endpoint legittimo: gli attaccanti hanno evidentemente ottenuto accesso alla console di admin e l’hanno usata per distribuire il wiper sugli endpoint connessi. “Durante l’attacco, i nomi dei file e le azioni utilizzate puntavano a imitare quelli impiegati dalla console amministrativa di utility, indicazione del fatto che gli aggressori avevano una conoscenza preliminare della console e forse anche delle sue funzionalità usate nell’ambiente aziendale della vittima” spiegano i ricercatori.

Nel dettaglio, gli attaccanti hanno inviato un comando creato ad hoc in modo che venisse eseguito dal client come un file batch (BAT). Il file eseguiva a sua volta un file VBScript malevolo, uacinstall.vbs, che installava ed eseguiva sha256sum.exe, il payload di PathWiper.

Una volta eseguito, il wiper sovrascrive i contenuti degli artefatti del file system con dati randomici generati sul momento. PathWiper si occupa inoltre di stilare una lista di tutti i supporti di archiviazione, volumi e path del client; in seguito, crea un thread per ogni elemento e, nuovamente, rimpiazza gli artefatti con dati casuali. Prima della sovrascrittura, il wiper tenta di effettuare il dismount dei volumi.

Stando a quanto riportato da Cisco Talos, PathWiper è semanticamente simile a HermeticWiper (noto anche come FoxBlade e NEARMISS), un wiper russo attivo nel 2022 e attribuito al gruppo Sandworm. Entrambi i wiper, inoltre, cercando di corrompere il master boot record (MBR) e gli artefatti legati a NTFS.

Nonostante le somiglianze, i due malware presentano una differenza significativa nel meccanismo di corruzione utilizzato. Non è chiaro quindi se il nuovo wiper sia una versione aggiornata del precedente o se dietro ci sia un altro gruppo hacker legato alla Russia.

---

---

---

https://www.securityinfo.it/2025/06/05/scoperto-pathwiper-un-nuovo-wiper-che-colpisce-le-infrastrutture-critiche-ucraine/?utm_source=rss&utm_medium=rss&utm_campaign=scoperto-pathwiper-un-nuovo-wiper-che-colpisce-le-infrastrutture-critiche-ucraine

Giu 04, 2025 Marina Londei Hacking, In evidenza, Malware, News, RSS 0

---

Gli hacker sono i peggiori nemici di se stessi: i ricercatori di Sophos hanno individuato diverse backdoor nel codice sorgente di Sakura, un RAT (Remote Access Trojan) open-source disponibile su GitHub.

Tutto è nato dalla richiesta di un cliente della compagnia di verificare se i propri sistemi fossero in grado di resistere a Sakura. Analizzando il repository del RAT, il team di Sophos ha scoperto che, oltre a eseguire codice malevolo, il malware contiene a sua volta altri RAT e infostealer che colpiscono chi compila il codice. 

Non solo: approfondendo la natura del malware, i ricercatori hanno scoperto che lo sviluppatore che gestisce il repository ne possiede oltre un altro centinaio, la maggior parte dei quali contenenti altre backdoor. I repository sono o altri malware e tool per eseguire attacchi, oppure cheat per videogiochi; l‘hacker dietro Sakura non vuole quindi colpire solo coloro che usano il suo RAT, ma anche i videogiocatori. 

“Quando abbiamo analizzato le backdoor, siamo finiti in una tana del bianconiglio di offuscamento, catene di infezione contorte, identificatori e molteplici varianti di backdoor. In sintesi, un attaccante sta creando repository backdoor su larga scala, mirando prevalentemente ai cheater dei videogiochi e agli attaccanti inesperti, e probabilmente lo sta facendo da qualche tempo“.

In totale, i ricercatori hanno individuato 141 repository legati all’hacker, dei quali 133 contenevano backdoor; di questi, 111 contenevano la stessa backdoor, creata per sfruttare l’evento PreBuildEvent di Visual Studio per scaricare e installare altri malware durante l’esecuzione del RAT.

Oltre a quella del PreBuildEvent, i repository contengono altri tre tipi di backdoor: una variante scritta in Python; dei file screensaver (.scr) mascherati da file .NET solution (.sln); infine, due backdoor JavaScript.

Dei repository con backdoor, la maggior parte di essi (58%) sono cheat per videogiochi, mentre il 24% contengono malware, exploit o tool per gli attacchi. I restanti si dividono tra progetti per la creazione di bot, tool per criptovalute e strumenti di vario genere. Per dare l’idea di repository validi e attivi, l’attaccante ha creato un flusso automatizzato che aggiunge commit a intervalli regolari.

Chi c’è dietro il RAT Sakura?

L’hacker che gestisce i repository GitHub, tale ischhfd83, sembra essere legato a diverse campagne, molte delle quali risalenti al 2024. Nella maggior parte dei casi si è riscontrata la presenza di repository GitHub malevoli e della backdoor legata al PreBuildEvent.

Secondo i ricercatori di Sophos, ischhfd83 potrebbe essere un nuovo cliente di Stargazer Goblin, un noto fornitore di servizi Distribution-as-a-service; in alternativa, la campagna dell’attaccante potrebbe invece essere figlia di una rivalità col gruppo.

Nel codice sorgente il team di Sophos ha trovato numerosi commenti scritti in russo, ma, sottolineano i ricercatori, l’hacker potrebbe aver copiato il codice da altre sorgenti senza averlo ripulito.

L’impatto della campagna di ischhfd83 non colpisce solo gli altri hacker o i cheater, ma anche i ricercatori: spesso infatti gli esperti di sicurezza scaricano ed eseguono malware per analizzarlo. “Sebbene la maggior parte dei ricercatori prenda precauzioni ragionevoli, come eseguire il malware solo in ambienti di analisi isolati, incoraggiamo i nostri colleghi del settore a controllare due volte i segni di infezione” avvertono Matt Wixey e Andrew O’Donnell di Sophos. “Vale anche la pena di notare che il malware di solito non si preoccupa di infetta e quindi anche altri gruppi potrebbero essere stati infettati, comprese le persone che sperimentano con irepository open-source per curiosità. Ancora una volta, invitiamo tutti coloro che pensano di essere stati colpiti a prestare attenzione agli indicatori di compromissione“.

---

---

---

https://www.securityinfo.it/2025/06/04/malware-dentro-il-malware-trovate-backdoor-nel-rat-sakura/?utm_source=rss&utm_medium=rss&utm_campaign=malware-dentro-il-malware-trovate-backdoor-nel-rat-sakura

Giu 03, 2025 Stefano Silvestri Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, Minacce, News, Phishing, Scenario, Tecnologia 0

---

Nel corso della settimana, il CERT-AGID ha rilevato e analizzato 65 campagne malevole attive sul territorio italiano: 35 mirate direttamente a obiettivi nazionali e 30 di carattere generico ma comunque rilevanti per l’Italia.

A supporto degli enti accreditati, sono stati condivisi 891 indicatori di compromissione (IoC) raccolti durante l’attività di monitoraggio.

I temi della settimana

Nel periodo analizzato, sono stati 21 i temi sfruttati per rendere credibili le campagne malevole attive sul territorio italiano.

Il tema “Fattura” è stato il più utilizzato, con otto campagne veicolate tramite email, tutte finalizzate alla diffusione di malware.

Queste campagne, destinate specificamente al contesto italiano, hanno impiegato diverse famiglie malevole, tra cui due varianti di FormBook, due di Remcos, una di MassLogger, una di AsyncRat e una di AveMaria. In parallelo, è stata rilevata anche una campagna di phishing che sfrutta il brand di Aruba, con l’obiettivo di carpire le credenziali degli utenti.

Il tema “Banking” è stato al centro di sette campagne, perlopiù diffuse via email, con un solo caso registrato via SMS. Cinque di queste campagne hanno riguardato direttamente il territorio italiano e sono servite a distribuire malware come Remcos, Copybara, Stealerium e BingoMod. Le restanti due, di portata generica, hanno invece diffuso Remcos e Lokibot.

Il tema “Ordine” ha caratterizzato sei campagne email, equamente divise tra operazioni generiche e italiane. Tra le prime figurano malware come VipKeylogger, SnakeKeylogger e FormBook, mentre le seconde hanno puntato in particolare su VipKeylogger e FormBook per infettare le vittime.

Il tema “Pagamenti” ha alimentato diverse campagne, tutte veicolate via email e destinate sia alla distribuzione di malware sia al phishing. Tre campagne generiche hanno diffuso software malevolo come Xworm, mentre due campagne italiane hanno tentato il furto di credenziali sfruttando i brand BRT e Microsoft.

Gli altri temi emersi nel corso della settimana sono stati usati in misura minore, ma hanno comunque contribuito alla diffusione di malware e phishing su scala nazionale.

Tra gli eventi più rilevanti della settimana si segnala una serie di campagne di phishing dirette a studenti e dipendenti di università italiane, con l’obiettivo di sottrarre le credenziali di accesso alla posta elettronica istituzionale.

Non è la prima volta che commentiamo attacchi di questo tipo e, anche in questo caso, le email rimandano a link che imitano pagine di login ufficiali, inducendo le vittime a inserire dati sensibili come username e password. Il CERT-AGID ha prontamente avvisato gli atenei coinvolti per contenere il rischio di compromissione.

Sempre sul fronte malware, è stata analizzata una sofisticata campagna che distribuisce AsyncRAT in Italia attraverso tecniche steganografiche, cioè nascondendo il codice malevolo all’interno di file apparentemente innocui.

Questo tipo di malware, appartenente alla categoria dei Remote Access Trojan, consente agli attaccanti di accedere da remoto ai sistemi infetti, eseguire comandi, raccogliere informazioni riservate e monitorare le attività degli utenti.

Non si arresta neppure l’ondata di phishing legato a PagoPA, che continua a colpire cittadini con email malevole presentate come notifiche di presunte multe stradali. L’obiettivo è anche questa volta carpire dati personali e informazioni sulle carte di credito. Il CERT-AGID, anche grazie alle numerose segnalazioni da parte degli utenti, sta collaborando con PagoPA per contenere questa minaccia crescente.

Infine, ha destato preoccupazione la pubblicazione nel deep web di un data leak che coinvolge Alliance Healthcare Italia, colosso attivo nella distribuzione farmaceutica e nei servizi sanitari. Il gruppo criminale Data Carry ha diffuso online un archivio contenente circa 17 mila indirizzi email, accompagnati da nomi, indirizzi, numeri di telefono, codici fiscali e altri dati personali.

Malware della settimana

Nel corso della settimana, il CERT-AGID ha identificato 19 famiglie di malware attive in Italia, molte delle quali coinvolte in campagne mirate alla diffusione tramite email con allegati compressi o link malevoli. Tra le minacce più ricorrenti, spiccano ancora una volta Remcos e AsyncRAT.

Remcos è stato protagonista di sette campagne, sei delle quali rivolte specificamente al contesto italiano, con temi come “Documenti”, “Banking” e “Fattura”. I file malevoli sono stati veicolati sotto forma di archivi compressi (HTA, GZ, RAR, TAR, Z e ZIP) contenenti script JS.

AsyncRAT è stato impiegato in cinque campagne, di cui tre italiane e due generiche. I temi usati spaziano da “Fattura” e “Prezzi” a “Booking” e “Legale”, mentre i formati degli allegati includono RAR, ZIP e TAR.

FormBook è comparso in quattro campagne complessive, equamente divise tra target italiani (“Fattura”) e generici (“Ordine”), tutte veicolate via email con file ZIP e LZH.

VipKeylogger è stato impiegato in tre campagne, due delle quali rivolte all’Italia, con temi legati a “Documenti” e “Ordine”, utilizzando archivi ZIP e 7Z.

XWorm ha circolato in tre campagne generiche, sfruttando i temi “Documenti”, “Pagamenti” e “Legale” e facendo uso di file PDF e ZIP per eludere i controlli.

Anche malware come AveMaria e MassLogger sono stati individuati in campagne italiane, legate al tema “Fattura”, con allegati ZIP come vettori di infezione.

Copybara e BingoMod sono apparsi in tre campagne italiane a tema “Banking”, distribuiti tramite link contenuti in SMS che portavano al download di file APK infetti.

Tra le minacce emergenti, si segnalano MintLoader, veicolato via email in una campagna a tema “Booking” tramite file JS, e Stealerium, presente in una campagna italiana con allegato XLAM.

Infine, il CERT-AGID ha segnalato anche la presenza di diverse campagne generiche legate a AgentTesla, Artemis, DarkCloud, Grandoreiro, Guloader, Lokibot, LummaStealer, MassLogger e SnakeKeylogger, diffuse attraverso email contenenti file compressi nei formati ZIP, RAR e 7Z. Queste campagne confermano la varietà e la persistenza delle minacce attive sulla scena italiana.

Phishing della settimana

Nel corso della settimana, il CERT-AGID ha individuato 13 brand utilizzati come esca nelle campagne di phishing attive sul territorio nazionale.

A emergere con particolare frequenza sono stati PagoPA, Poste Italiane e cPanel, tutti sfruttati per ingannare gli utenti con comunicazioni fraudolente apparentemente legittime.

Queste campagne mirano a sottrarre dati personali, credenziali di accesso o informazioni finanziarie, facendo leva sulla familiarità e sull’affidabilità percepita di questi marchi.

Oltre ai brand più noti, è stata rilevata la consueta presenza anche di campagne di phishing generiche legate a webmail non brandizzate. Queste campagne, spesso più difficili da individuare per l’utente medio, puntano comunque allo stesso obiettivo: ottenere accesso non autorizzato a caselle di posta elettronica e dati sensibili.

Formati e canali di diffusione

Nel corso dell’ultima settimana, il CERT-AGID ha individuato 15 diverse tipologie di file malevoli utilizzate all’interno delle campagne attive in Italia. Come già osservato in precedenti rilevazioni, i formati compressi continuano a rappresentare il metodo preferito dai cybercriminali per veicolare il malware.

Tra questi, i file ZIP si sono confermati i più utilizzati. A seguire, si segnalano i formati JS e RAR, e successivamente 7Z, PDF, LZH e APK.

I restanti formati, TAR, URL, ARJ, HTML, GZ, HTA, Z e XLAM, sono stati utilizzati solo in casi isolati ma sottolineano comunque la varietà di strumenti impiegati per aggirare i sistemi di difesa e colpire le vittime.

Anche sul fronte dei canali di diffusione, il quadro resta coerente con quanto già osservato nelle scorse settimane: la posta elettronica ordinaria resta il vettore principale, con 62 campagne su 65 che hanno fatto leva su email mirate per raggiungere i destinatari.

È però da segnalare anche un uso crescente degli SMS, impiegati in almeno 3 campagne spesso associate a tecniche di smishing, ovvero truffe via messaggi di testo finalizzate a sottrarre credenziali e dati personali.

---

---

---

https://www.securityinfo.it/2025/06/03/cert-agid-24-30-maggio-alliance-healthcare-italia-pagopa-studenti/?utm_source=rss&utm_medium=rss&utm_campaign=cert-agid-24-30-maggio-alliance-healthcare-italia-pagopa-studenti

Mag 30, 2025 Stefano Silvestri Approfondimenti, Attacchi, Campagne malware, In evidenza, Malware, Minacce, News, Scenario, Scenario, Tecnologia, Vulnerabilità 0

---

Nel 2024, le piccole e medie imprese, spesso considerate il punto d’ingresso più vulnerabile all’interno di filiere IT complesse, hanno rappresentato un bersaglio privilegiato per i cybercriminali.

Lo afferma il Sophos Annual Threat Report, che analizza le minacce più frequentemente rilevate nei casi gestiti dai team MDR (Managed Detection and Response) e Incident Response dell’azienda.

Il quadro che emerge è quello di un ecosistema criminale sempre più articolato, in cui il ransomware resta una minaccia centrale, ma si colloca quasi sempre al termine di una catena d’attacco ben più lunga, fatta di accessi iniziali, movimenti laterali e raccolte di credenziali. E proprio gli strumenti utilizzati in queste fasi, dai malware loader ai tool di amministrazione remota, fino ai software legittimi impiegati in modo improprio, offrono oggi la chiave di lettura più precisa per comprendere le tendenze del cybercrimine moderno.

Stealer e strumenti di comando prima della crittografia

Il dato più rilevante è che quasi il 60% degli incidenti MDR gestiti da Sophos nel 2024 non ha coinvolto direttamente ransomware. Il quale si posiziona come atto conclusivo in una lunga sequenza di compromissioni che vedono protagonisti infostealer, RAT, loader, tool di exploit e accesso remoto.

Il recente studio di Sophos rivela una chiara ripartizione delle minacce cibernetiche: i malware di tipo Loader, Downloader e Dropper dominano la scena, rappresentando quasi il 40% (39,74%) delle infezioni. Seguono a distanza gli spyware e gli stealer con il 18,63%, a sottolineare l’elevato interesse per il furto di dati. Le RAT (Remote Access Trojan) e le backdoor costituiscono il 15,52%, evidenziando la ricerca di accesso persistente.

I tool di attacco e gli exploit pesano per il 7,95%, mentre l’hijacking di browser è presente nel 3,6% dei casi. Il ransomware si attesta a un più contenuto 1,18%, e i miner a un 0,89%. Infine, il 12,79% è attribuibile ad altri strumenti, e quasi un decimo del malware rilevato (9,13%) è distribuito come Malware-as-a-Service (MaaS), a indicare una crescente “democratizzazione” degli attacchi.

L’approccio moderno degli attaccanti è dunque modulare. A monte del ransomware troviamo sempre più spesso strumenti come Lumma Stealer, capace di raccogliere credenziali, cookie, configurazioni di wallet crypto, dati da browser e FTP. Cresciuto esponenzialmente negli ultimi mesi del 2024, Lumma ha soppiantato vecchi nomi come Raccoon Stealer e Strela Stealer, portandosi al centro della scena come primo passaggio per access broker e gruppi RaaS.

Continuano a essere impiegati anche ChromeLoader e Gootloader, due malware specializzati nel caricamento di payload successivi, spesso utilizzati per aprire backdoor o per facilitare l’esecuzione di tool come Cobalt Strike e Web Shell. Entrambi sono stati rilevati in percentuali molto elevate, e in particolare Cobalt Strike è stato presente in oltre l’8% degli incidenti totali, salendo a quasi l’11% nei soli casi legati al ransomware.

Accanto a questi, strumenti classici come SystemBC, Metasploit, Sliver e occasionalmente anche Brute Ratel continuano a essere utilizzati per consolidare la presenza all’interno dell’infrastruttura vittima, spesso tramite moduli di esfiltrazione dati o per il pivoting laterale.

L’ascesa dei dual-use tool

L’analisi di Sophos getta luce su una tattica sempre più diffusa tra i cybercriminali: l’abuso di strumenti legittimi per scopi malevoli. Non si tratta di malware complessi ma di software comuni, spesso utilizzati per la gestione IT o l’assistenza remota, che vengono deviati dal loro scopo originale per facilitare attacchi sofisticati.

Tra i più sfruttati spiccano SoftPerfect Network Scanner (19,51%), PsExec (18,28%), AnyDesk (17,40%) e Impacket (17,05%), con percentuali di abuso che rivelano la loro centralità nelle operazioni illecite. Accanto a questi, strumenti come RDPclip, Mimikatz, Advanced IP Scanner, WinRAR, ScreenConnect, PuTTY, 7-Zip, Rclone, FileZilla e Advanced Port Scanner completano l’arsenale, registrando percentuali che variano dal 4% al 19%.

Particolarmente preoccupante è l’impiego massiccio di tool di accesso remoto commerciale. Sophos ha rilevato l’uso diffuso di versioni trial o licenze pirata di software come ScreenConnect, AnyDesk, TeamViewer, Splashtop, Atera e OpenSSH. Questo indica una chiara tendenza a sfruttare la funzionalità di accesso e controllo remoto offerta da questi programmi per mantenere la persistenza nelle reti compromesse e per muoversi lateralmente.

Nonostante la varietà di strumenti, il cavallo di battaglia degli attaccanti rimane PSExec di Microsoft. Questo tool legittimo, progettato per eseguire comandi da remoto e avviare shell interattive, è il più impiegato in questo contesto, sottolineando come l’ingegnosità degli hacker si concentri spesso sull’abuso delle risorse esistenti piuttosto che sulla creazione di nuove minacce da zero.

Molti attaccanti sfruttano versioni trial o pirata di questi strumenti, installandoli dopo l’accesso iniziale tramite malware dropper, shell web o, in alcuni casi, convincendo direttamente la vittima a installarli tramite social engineering. Questo approccio rende più difficile il rilevamento, poiché le attività malevole si mimetizzano tra quelle legittime.

Le famiglie ransomware più attive nel 2024

Se la famiglia di ransomware LockBit è risultata la più rilevata nei dati del 2024—complice la fuga di codice del 3.0 e la conseguente proliferazione di varianti da parte di gruppi terzi—è stato invece il gruppo Akira a dominare l’anno in termini di incidenti reali gestiti da Sophos.

Attivo almeno dal 2022, il collettivo criminale ha incrementato le sue operazioni nel corso del 2023, per poi consolidarsi nel 2024 come uno degli operatori RaaS più prolifici. Ad agosto, gli affiliati legati ad Akira sono stati responsabili del 17% delle infezioni ransomware rilevate da Sophos, raddoppiando la quota dei primi sei mesi dell’anno.

È poi cresciuto l’uso del ransomware Fog, spesso da parte di affiliati ex-Akira. RansomHub, invece, è emerso nella seconda metà dell’anno con una serie di attacchi che, secondo CISA, hanno colpito oltre 210 vittime tra febbraio e agosto. Il loro vettore di ingresso ha spesso incluso abusi di RDP, uso di strumenti remoti come AnyDesk e sfruttamento di vulnerabilità note, come la CVE-2017-1444 nei dispositivi SMB.

In sintesi, ecco cosa tenere d’occhio

Il risultato di quanto scritto finora dipinge un quadro chiaro delle minacce in evoluzione, evidenziando alcuni nomi ricorrenti che dominano la scena del cybercrime. Per fornire una visione di insieme, ecco un riassunto del Sophos Threat Report 2024.

Tra gli stealer, spiccano Lumma Stealer, Raccoon Stealer e StealC, noti per la loro efficacia nel sottrarre informazioni sensibili. Sul fronte dei loader e dropper, che agiscono da veicoli per infezioni successive, ChromeLoader e Gootloader sono tra i più attivi.

Per quanto riguarda le piattaforme di Command & Control (C2) e i Remote Access Trojan (RAT), i cybercriminali continuano a sfruttare Cobalt Strike, Web Shell, SystemBC, Sliver e Metasploit, strumenti che consentono il controllo remoto e l’esecuzione di comandi malevoli. Nel campo del ransomware, sebbene non sia la minaccia più diffusa in termini di volume, nomi come LockBit (con le sue varianti), Akira, Fog, RansomHub, Black Basta e Playcrypt rimangono un incubo per le organizzazioni.

Il vero punto di svolta evidenziato dal rapporto è però l’utilizzo di strumenti “dual-use”, ovvero software legittimi che vengono abusati dagli attaccanti. Tra questi troviamo PsExec, AnyDesk, ScreenConnect, SoftPerfect Network Scanner, Rclone, FileZilla, Mimikatz e Impacket. Questi strumenti sono spesso utilizzati per la gestione di sistemi e reti, ma vengono deviati dal loro scopo originale per facilitare l’accesso iniziale, il movimento laterale e l’esfiltrazione dei dati.

Il filo conduttore che unisce tutte queste minacce è la crescente abilità dei threat actor nel combinare strumenti legittimi con malware modulare per orchestrare attacchi complessi e multifase. Per i professionisti della sicurezza IT, ciò significa che affidarsi alla sola rilevazione del ransomware è ormai un approccio obsoleto e tardivo.

È fondamentale piuttosto implementare una visibilità approfondita sulla rete, un controllo applicativo rigoroso e praticare un threat hunting continuo, specialmente nelle fasi iniziali di accesso e durante il movimento laterale all’interno dell’infrastruttura. Solo così le aziende possono anticipare e neutralizzare le minacce prima che causino danni irreversibili.

---

---

---

https://www.securityinfo.it/2025/05/30/sophos-annual-threat-report-i-malware-e-gli-strumenti-piu-abusati-del-2024/?utm_source=rss&utm_medium=rss&utm_campaign=sophos-annual-threat-report-i-malware-e-gli-strumenti-piu-abusati-del-2024

L’evoluzione del cybercrime contemporaneo ha assistito all’emergere di sofisticate minacce informatiche caratterizzate da capacità di evasione avanzate e tecniche di persistenza innovative come AsyncRAT, un trojan ad accesso remoto (RAT) che prende di mira i sistemi Windows e che è stato identificato per la prima volta nel 2019: esfiltrava informazioni di sistema verso un server di comando e controllo con capacità di eseguire vari comandi, come il download di plugin, la terminazione di processi, l’acquisizione di screenshot e l’auto-aggiornamento.

Nel contesto geopolitico italiano, questo malware ha assunto connotazioni particolarmente allarmanti, manifestandosi attraverso campagne di distribuzione orchestrate con metodologie sempre più raffinate e ricorrendo a veicoli di diffusione che sfruttano l’affidabilità percepita delle comunicazioni istituzionali.

Caratteristiche tecniche e genealogia malware

Architettura e funzionalità core

AsyncRAT ha un antenato comune con QuasarRAT ed è spesso associato a RevengeRAT. Tuttavia, mentre questi RAT condividono alcune somiglianze, sono significativamente divergenti. AsyncRAT è spesso associato a una famiglia correlata di RAT chiamata “VenomRAT”.

I due RAT condividono molto codice e somiglianze, ed entrambi hanno radici in QuasarRAT. La natura open-source di questo strumento ha facilitato la proliferazione di varianti personalizzate, contribuendo alla creazione di un ecosistema diversificato che sfida le capacità di rilevamento tradizionali.

Il malware manifesta capacità operative multisfaccettate che includono: keylogging, registrazione audio/video, furto di informazioni, controllo desktop remoto, recupero password, lancio di shell remota, webcam, iniezione di payload, tra altre funzioni. Queste caratteristiche conferiscono agli operatori malevoli un controllo pressoché totale sui sistemi compromessi, trasformando le macchine infette in nodi di una botnet sotto controllo remoto.

Implementazione delle Tattiche, Tecniche e Procedure (TTPs)

L’analisi delle metodologie implementate da AsyncRAT rivela un’aderenza sistematica al framework MITRE ATT&CK, con particolare enfasi su: Scheduled Task/Job: Scheduled Task (T1053.005), Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001), Virtualization/Sandbox Evasion (T1497), Exfiltration Over C2 Channel (T1041), Input Capture: Keylogging (T1056.001).

Il panorama delle minacce in Italia: analisi quantitativa

Prevalenza e distribuzione geografica

Nel corso del 2024, il CERT-AGID ha individuato e contrastato in totale 1767 campagne malevole e condiviso 19.939 IoC. In totale le famiglie malware individuate sono state 69. Dei sample analizzati, per il 67% si tratta di infostealer, mentre per il 33% di RAT. All’interno di questo ecosistema di minacce, AsyncRat figura nella top-ten dei malware più diffusi, confermando la sua rilevanza strategica nel panorama del cybercrime italiano.

L’Italia emerge tra i paesi maggiormente bersagliati a livello globale: L’Italia, oltre a essere il quinto Paese più bersagliato dai malware nel 2024, ha registrato a dicembre la terza percentuale più alta di rilevamenti di malware, dopo Emirati Arabi Uniti e Singapore. Questo posizionamento evidenzia la particolare vulnerabilità del tessuto digitale nazionale alle minacce informatiche contemporanee.

Evoluzione temporale delle campagne

L’analisi longitudinale delle attività malevole mostra tendenze preoccupanti: In Italia, anche nel 2025 FakeUpdate continua ad essere la minaccia più presente, anche se con un impatto leggermente inferiore a quanto rilevato a fine 2024. Tuttavia, FakeUpdates ha portato all’installazione di Trojan ad accesso remoto come AsyncRAT, attualmente al nono posto, dimostrando l’interconnessione delle diverse famiglie di malware nel panorama delle minacce.

Innovazioni tecnologiche e metodologie di evasione

Implementazione della steganografia

Una delle evoluzioni più significative nell’ambito della distribuzione di AsyncRAT in territorio italiano è rappresentata dall’adozione della steganografia come metodologia di occultamento. La Steganografia è una tecnica che permette di nascondere un’informazione all’interno di un’altra considerata come principale e che funga da veicolo. Quest’ultima, che si può presentare sotto forma di un’immagine, un file audio, un testo, un eseguibile o altro viene leggermente modificata in modo tale che la modifica stessa sia praticamente invisibile per un utente umano e contenga l’informazione da nascondere.

Il CERT-AGID ha documentato l’utilizzo di queste tecniche avanzate: Si chiama AsyncRAT il nuovo malware che ha messo l’Italia nel mirino: si diffonde utilizzando la tecnica della steganografia per nascondersi dentro file apparentemente innocui inviati alle ignare vittime attraverso una campagna malspam. Questa metodologia rappresenta un salto qualitativo nelle capacità di evasione, rendendo estremamente difficoltoso il rilevamento attraverso sistemi di sicurezza tradizionali.

Integrazione dell’intelligenza artificiale

Un aspetto particolarmente preoccupante dell’evoluzione di AsyncRAT è l’integrazione dell’intelligenza artificiale generativa nella creazione di codice malevolo. I ricercatori hanno scoperto una delle prime evidenze di attori malevoli che utilizzano chatbot di intelligenza artificiale per la creazione di malware, in un attacco di phishing che diffonde il trojan ad accesso remoto open source.

L’analisi forense ha rivelato caratteristiche distintive nel codice: La struttura degli script, i commenti e la scelta dei nomi delle funzioni e delle variabili erano forti indizi che l’attore malevolo aveva utilizzato GenAI per creare il malware. Questo rappresenta un precedente significativo nell’utilizzo di tecnologie AI per scopi criminali, presagendo un’escalation nelle capacità offensive dei cybercriminali.

Vettori di distribuzione e catene di infezione

Compromissione delle Caselle PEC

Una peculiarità del panorama italiano è rappresentata dalla compromissione sistematica delle caselle di Posta Elettronica Certificata (PEC). È stata rilevata una nuova campagna malevola che sfrutta nuovamente PEC compromesse per inviare e-mail esclusivamente ai possessori di caselle PEC, facendo leva sull’affidabilità percepita di queste comunicazioni per aumentare le probabilità di successo dell’attacco.

L’evoluzione tattica dei cybercriminali ha comportato una transizione significativa nei payload distribuiti: il passaggio da Vidar ad AsyncRat suggerisce una possibile evoluzione nelle finalità dell’attacco: mentre Vidar è un infostealer specializzato nel furto di credenziali e dati finanziari, AsyncRat consente un controllo remoto prolungato sui sistemi infetti, ampliando le capacità degli attaccanti.

Utilizzo di MintsLoader

Il malware viene frequentemente distribuito attraverso MintsLoader, un loader conosciuto in Italia per le campagna via PEC ma attivo da almeno tre anni. Il nome deriva dall’uso caratteristico di parametri nelle URL, come 1.php?s=mintsXX, dove XX rappresenta numeri variabili, e in alcune campagne alternative il pattern s=boicn.

Catene di Infezione Multi-Stage

L’analisi delle metodologie di infezione rivela processi sofisticati caratterizzati da multiple fasi: Gli ultimi attacchi hanno utilizzato tunnel TryCloudflare e pacchetti Python malevoli, iniziando con email di phishing che contenevano URL Dropbox. Questo ha portato a una catena di infezione multi-fase che coinvolge file LNK, JavaScript e BAT, culminando nella distribuzione di un payload AsyncRAT offuscato.

Analisi dell’impatto settoriale

Targeting istituzionale e accademico

Le campagne di AsyncRAT hanno dimostrato una particolare predilezione per obiettivi istituzionali ed accademici. Tra gli eventi più rilevanti della settimana spicca una campagna di phishing che ha preso di mira l’Università degli Studi di Padova. L’attacco è stato condotto attraverso l’impiego di due domini fraudolenti creati ad hoc e ha portato al furto di un numero significativo di credenziali appartenenti a studenti e personale dell’Ateneo.

Compromissioni nella Pubblica Amministrazione

L’estensione delle compromissioni ha interessato anche settori della Pubblica Amministrazione: Le campagne malware di tipo Infostealer hanno portato al furto e alla vendita online di dati relativi a utenze italiane, in particolare caselle PEC e servizi fiduciari. Tra questi erano presenti dati appartenenti alla Pubblica Amministrazione.

Strategie di Mitigazione e Contrasto

Iniziative del CERT-AGID

Il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale ha implementato strategie proattive di contrasto: Le attività di contrasto sono state già messe in atto con il supporto dei Gestori PEC. Gli IoC relativi alla campagna sono stati diramati attraverso il Feed IoC del CERT-AGID verso i Gestori PEC e verso le strutture accreditate.

Raccomandazioni Tecniche

L’implementazione di contromisure efficaci richiede un approccio multi-layered che include: utilizzo di gateway di sicurezza email con capacità avanzate di protezione dalle minacce (ad esempio, sandboxing, analisi dei link), distribuzione di soluzioni Endpoint Detection and Response (EDR) su tutti i dispositivi per rilevare e rispondere ad attività malevole, mantenimento aggiornato del software antivirus e dei sistemi operativi con le ultime patch.

Prospettive future e trend emergenti

Evoluzione delle tecniche di attacco

L’analisi prospettica evidenzia tendenze preoccupanti nell’evoluzione delle metodologie offensive: Nel 2024, AsyncRAT è rimasto una minaccia significativa, spesso travestito da software piratato. È stato anche uno dei primi malware ad essere distribuito come parte di attacchi complessi che coinvolgono script generati dall’AI.

Impatto dell’intelligenza artificiale

L’integrazione crescente dell’AI nelle operazioni cybercriminali rappresenta una sfida evolutiva: Gli esperti di CPR hanno rilevato l’utilizzo di AI nella creazione di script complessi, come per esempio quelli impiegati per distribuire AsyncRAT (un malware che consente ai criminali informatici di controllare i dispositivi infetti da remoto), registrare i tasti e distribuire ulteriori malware.

Conclusioni

L’analisi approfondita di AsyncRAT nel contesto italiano rivela un panorama di minacce caratterizzato da sofisticazione crescente e capacità di adattamento evolutivo. La convergenza di tecnologie emergenti come l’intelligenza artificiale generativa con metodologie tradizionali di ingegneria sociale ha creato un ecosistema di minacce particolarmente insidioso, capace di eludere sistemi di difesa convenzionali attraverso l’implementazione di tecniche steganografiche avanzate.

L’Italia, posizionandosi tra i primi cinque paesi maggiormente bersagliati a livello globuale, necessita di un approccio strategico coordinato che integri capacità di threat intelligence avanzate, sistemi di rilevamento comportamentale e programmi di awareness diffusi. La compromissione sistematica delle caselle PEC rappresenta una vulnerabilità critica che richiede interventi normativi e tecnologici specifici, considerata la fiducia istituzionale associata a questo canale di comunicazione.

L’evoluzione da payload infostealer tradizionali verso trojan ad accesso remoto come AsyncRAT manifesta un cambiamento paradigmatico nelle finalità degli attaccanti, che privilegiano il controllo persistente dei sistemi compromessi rispetto al furto immediato di credenziali. Questa transizione richiede un ripensamento delle strategie difensive, orientandole verso metodologie di rilevamento comportamentale e analisi delle anomalie di rete.

La collaborazione proattiva del CERT-AGID con gli stakeholder del settore pubblico e privato rappresenta un modello virtuoso di risposta coordinata alle minacce, tuttavia la velocità di evoluzione delle tecniche offensive richiede un continuo adattamento delle capacità difensive e un investimento sostanziale in ricerca e sviluppo di soluzioni innovative.

Bibliografia e Fonti:

https://www.ictsecuritymagazine.com/articoli/asyncrat-italia-cybercrime/

Mag 30, 2025 Marina Londei Attacchi, Malware, Minacce, News, RSS 0

---

Di recente la gang dietro il ransomware DragonForce ha sfruttato SimpleHelp, un tool per l’accesso remoto usato dagli MSP, per distribuire un malware su numerosi endpoint.

A individuare l’attacco sono stati i ricercatori di Sophos, dopo aver ricevuto un alert riguardo un’installer sospetto di SimpleHelp. Il file era stato inviato tramite un’istanza legittima del software gestita da un MSP. Gli attaccanti hanno usato questo canale di accesso non solo per distribuire il ransomware, ma anche per raccogliere informazioni sui clienti dell’MSP, come i nomi dei dispositivi usati, le configurazioni, gli utenti attivi e le connessioni di rete.

Uno dei clienti dell’MSP aveva installati Sophos MDR e Sophos XDR Endpoint; per questo la compagnia di sicurezza ha ricevuto l’alert ed è riuscita a bloccare ulteriormente la diffusione del ransomware. Coloro però che non che avevano queste installazioni sono stati colpiti da DragonForce. Il gruppo, oltre a esfiltrare dati, ha usato il meccanismo della doppia estorsione per mettere ancora più pressione alle vittime.

Secondo i ricercatori di Sophos, il gruppo ha usato tre vulnerabilità di SimpleHelp per ottenere l’accesso agli endpoint: la CVE-2024-57727, un bug di multiple path traversal; la CVE-2024-57728, una vulnerabilità di arbitrary file upload; infine, la CVE-2024-57726, un bug che consente l’escalation dei privilegi. Tutte e tre le vulnerabilità erano state rese note e patchate a gennaio.

Attivo dal 2023, DragonForce ha guadagnato popolarità negli ultimi mesi dopo aver modificato il proprio modello di affiliazione, rendendolo più flessibile: gli affiliati possono infatti creare delle proprie versioni del ransomware partendo dal codice sorgente, cambiandogli anche nome. Contestualmente, per affermarsi sul mercato, la gang dietro il ransomware ha cominciato una serie di attività di defacement dei siti dei leak gestiti da gruppi molto noti, quali BlackLock e Mamona.

Di recente il gruppo ha inoltre rivendicato due attacchi che hanno colpito dei rivenditori del Regno Unito. Secondo il team di Sophos, è molto probabile che il noto gruppo Scattered Spiders (GOLD HARVEST) abbia collaborato a stretto contatto con la gang di DragonForce nei suoi ultimi attacchi, compreso quello contro M&S.

---

---

---

https://www.securityinfo.it/2025/05/30/la-gang-di-dragonforce-ha-sfruttato-simplehelp-per-distribuire-il-ransomware/?utm_source=rss&utm_medium=rss&utm_campaign=la-gang-di-dragonforce-ha-sfruttato-simplehelp-per-distribuire-il-ransomware