It’s usually not a good sign when your downloaded theme contains obfuscated code. Yes, we’re talking about the very popular Material Theme for VSCode. This one has a bit of a convoluted history. One of the authors wanted to make some money from all those downloads. The original Material Theme was yanked from the VSCode store, the source code (improperly) re-licensed as closed source, and replaced with freemium versions. And this week, those freemium versions have been pulled by Microsoft for containing malware.

Now there’s a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that “A theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processes”. Looking at the official statements and unofficial security reviews, I can’t find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.

The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?

Low-hanging Backups

NAKIVO backup has an interesting endpoint, the getImageByPath call that’s used for loading the system’s logo, and is accessible for unauthenticated users. It’s pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesn’t check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.

So hence we essentially have an arbitrary file read. It’s not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.

Apple Did What?

A couple weeks ago we talked about Apple and the UK government having a tussle over iCloud backup encryption. Apple has finally rolled out end-to-end encryption for those backups, and the UK’s Snooper’s Charter has been used to require Apple to add an encryption backdoor in that system. That’s problematic for multiple reasons, and Apple has opted to not quietly oblige the UK government. You may have seen headlines that Apple has pulled access to the new Advanced Data Protection (ADP) for UK users. This seems to be the next step of anti-compliance with the new UK rule.

The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. That’s doubly true, as the law in question doesn’t seem to limit itself to UK users. If the UK government doesn’t back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.

Crypto Heist

We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit “multisig” cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.

It’s believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.

And that’s not all that’s happening with Cryptocurrency these days. It turns out that there’s another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. “We may have a job for you, go to this website and run this application to apply!” Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. It’s used primarily to find crypto wallets and siphon the funds out.

Wallbleed

Remember Heartbleed? That’s the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.

DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There aren’t actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.

And when we say “a few bytes”, the maximum observed leakage in a single spoofed response was 125. As you might imagine, that’s quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.

This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally it’s considered completely unacceptable to weaponize a vulnerability beyond what’s needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcher’s responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.

Bits and Bytes

It’s not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!

How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.

Let’s say you wanted to pirate music from a streaming service like Deezer, but you really didn’t want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.

hackaday.com/2025/02/28/this-w…

La Francia si sta preparando ad approvare leggi che potrebbero rivoluzionare la sicurezza online, obbligando i fornitori di servizi di telecomunicazioni a installare backdoor nelle app di messaggistica crittografata e limitando l’accesso alle risorse Internet tramite VPN. L’iniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).

Il primo disegno di legge controverso è un emendamento alla legge francese sul narcotraffico, che impone ai servizi di comunicazioni criptate di fornire alle forze dell’ordine i messaggi decriptati dei sospettati entro 72 ore dalla richiesta. Il mancato rispetto degli obblighi comporterà sanzioni fino a 1,5 milioni di euro per le persone fisiche e fino al 2% del fatturato globale annuo per le aziende. Sebbene la legge non sia ancora entrata in vigore, è già stata approvata dal Senato francese e passerà all’esame dell’Assemblea nazionale.

Tuta ha chiamato i parlamentari che hanno respinto l’emendamento, sostenendo che indebolire la crittografia avrebbe creato vulnerabilità non solo per i criminali, ma anche per gli utenti comuni. L’azienda sottolinea che, anche se la backdoor viene creata nell’interesse delle forze dell’ordine, può essere utilizzata da criminali informatici e agenzie governative. Tuta ha sottolineato che tali iniziative violano le leggi dell’UE sulla protezione dei dati (GDPR) e anche gli standard tedeschi sulla sicurezza informatica.

Contemporaneamente, in Francia si sta valutando un’altra innovazione: l’obbligo per i servizi VPN di bloccare l’accesso ai siti pirata. La holding mediatica Canal+ e la Lega calcio francese (LFP) hanno lanciato un’iniziativa in tal senso, chiedendo ai provider Internet e ai servizi VPN di limitare l’accesso a determinate risorse web.

VPN Trust Initiative (VTI), che include AWS, Google, Cloudflare, Namecheap, OVH, IPVanish VPN, Ivacy VPN, NordVPN, PureVPN ed ExpressVPN, ha condannato una mossa del genere, affermando che la lotta alla pirateria non dovrebbe portare alla censura e alla violazione dei diritti degli utenti. Nella sua lettera aperta, l’organizzazione ha tracciato parallelismi tra l’iniziativa e le restrizioni imposte a Internet in altri paesi, tra cui Cina, Myanmar e Iran, sottolineando che tali misure costituiscono un precedente per la censura di massa.

La Francia non è l’unico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire l’accesso ai backup crittografati di iCloud. In risposta, l’azienda ha spento l’opzione di crittografia end-to-end per gli utenti del Regno Unito. In Svezia è in preparazione un disegno di legge che obbligherà i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire l’accesso ai messaggi crittografati.

Di recente è emersa anche la notizia che il capo dell’Europol Catherine De Bolle vuole collaborare con le principali aziende tecnologiche per ampliare la cooperazione con le forze dell’ordine sulle questioni relative alla crittografia. A suo avviso, il rifiuto di tale interazione potrebbe rappresentare una minaccia per la democrazia europea.

L'articolo I Venti di Sorveglianza Di Massa Invadono l’Europa! Anche La Francia vuole Backdoor per eludere la crittografia proviene da il blog della sicurezza informatica.

La Procura generale belga ha avviato un’indagine su una fuga di dati del Servizio di sicurezza dello Stato (VSSE) presumibilmente effettuata da hacker cinesi. Secondo quanto riferito, i criminali informatici hanno avuto accesso al server di posta elettronica esterno di VSSE tra il 2021 e maggio 2023, intercettando circa il 10% di tutte le e-mail inviate e ricevute dai dipendenti del dipartimento.

Il server compromesso è stato usato per comunicare con la procura, i ministeri, le forze dell’ordine e altri enti governativi. Inoltre, questo server è stato utilizzato da discussioni interne, che ha potenzialmente portato alla fuga di dati personali di dipendenti e candidati, compresi i loro curriculum e documenti di identità.

Il primo segnale dell’attacco è stato rilevato nel 2023, quando i media belgi hanno segnalato un incidente, che ha coinciso con la divulgazione di una vulnerabilità nei prodotti Barracuda. In seguito a ciò, VSSE ha smesso di utilizzare le soluzioni aziendali e ha raccomandato ai dipendenti di sostituire i documenti per ridurre il rischio di frode di identità.

Tuttavia, secondo fonti anonime, al momento non ci sono prove che i dati rubati siano apparsi sul darknet o siano stati utilizzati a fini di estorsione. Gli specialisti della sicurezza VSSE continuano a monitorare i forum underground e le piattaforme di trading alla ricerca di tracce e a potenziale fughe di dati. A peggiorare la situazione, l’attacco informatico è avvenuto in un momento in cui l’organizzazione era impegnata in un’importante campagna di assunzioni.

La VSSE ha rifiutato di rilasciare dichiarazioni, confermando solo che è stata presentata una denuncia formale in merito all’incidente. Allo stesso tempo, la Procura federale belga ha dichiarato che l’indagine è iniziata nel novembre 2023, ma è ancora troppo presto per trarre conclusioni. L’ambasciata della Cina in Belgio ha respinto le accuse, affermando che le autorità belghe non avevano fornito prove convincenti.

Si ritiene che l’attacco alla VSSE sia stato effettuato utilizzando una vulnerabilità Zero-Day nei Gateway di sicurezza della posta elettronica Barracuda (ESG). Nel 2023, gli specialisti Mandiant hanno attribuito attacchi mirati al gruppo UNC4841 che lavora per conto del governo cinese.

L'articolo I Servizi Segreti del Belgio Violati dagli Hacker Cinesi. 10% delle email compromesse in due anni proviene da il blog della sicurezza informatica.

Microsoft ha rimosso due estensioni popolari, Material Theme – Free e Material Theme Icons – Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.

In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni.

Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.

I ricercatori sottolineano che il codice dannoso è stato iniettato nell’estensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dell’account dello sviluppatore.

Un altro campanello d’allarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.

“Microsoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatore”,ha detto un dipendente Microsoft a YCombinator. — Uno dei membri della community ha effettuato un’analisi approfondita della sicurezza di queste estensioni e ha trovato molti “segnali d’allarme” che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito l’editore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoli”. Microsoft ha promesso di pubblicare a breve informazioni più dettagliate sull’attività dannosa nel repository VSMarketplace su GitHub.

Lo sviluppatore dell’estensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che “sembra essere compromessa”. Secondo lui, non c’è mai stato nulla di dannoso nel Material Theme e l’unico problema era una dipendenza obsoleta di sanity.io, “che veniva utilizzata per visualizzare le note di rilascio del CMS headless sanity”.

“Questa dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sì, è colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. — Rimuovere la vecchia dipendenza è stato un lavoro da 30 secondi, ma sembra che sia così che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. È offuscato perché l’estensione è ora closed source. Se la rimuovi, l’estensione continuerà a funzionare con i normali file JSON.”

Finché la situazione non sarà chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:

• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.

L'articolo Cybercrime contro gli sviluppatori VS Code: 9 milioni di utenti a rischio dopo la rimozione delle estensioni proviene da il blog della sicurezza informatica.

Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtà ben più inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.

Un’esposizione pericolosa

Esempi di sistemi di controllo accessi. Immagine dal sito Modat
Secondo i ricercatori di Modat, questi AMS gestiscono l’accesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:

• Nomi, email e numeri di telefono degli impiegati
• Dati biometrici come impronte digitali e riconoscimento facciale
• Fotografie personali
• Orari di lavoro e registri di accesso ai locali

E non è tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire l’ingresso a personale autorizzato o, peggio, concederlo a intrusi.

Italia in prima fila nell’esposizione

Posizione dei dispositivi AMS esposti. Immagine dal sito Modat
A livello globale, i numeri sono allarmanti, ma c’è un dato che fa riflettere ancora di più: il paese con il maggior numero di AMS esposti è l’Italia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.

Danni oltre la sicurezza fisica

Oltre al rischio di intrusioni fisiche, l’accesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con un’efficacia devastante.

Come proteggersi?

Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte è preoccupante, considerando la gravità della falla.

Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:

• Spegnere l’accesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
• Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
• Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perché usano username e password di fabbrica.
• MFA e aggiornamenti: implementare l’autenticazione multi-fattore e installare gli aggiornamenti di sicurezza più recenti.
• Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.

Conclusione

Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilità nel mondo digitale può avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda è: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?

L'articolo Italia e Sicurezza Fisica a Rischio! 16.678 Dispositivi di Controllo Accessi Esposti Online proviene da il blog della sicurezza informatica.

Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader più innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, l’azienda ha rapidamente guadagnato una reputazione per la sua capacità di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie all’avanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike è diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.

In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dell’intelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.

La soluzione di maggior interesse fornita da CrowdStrike è la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilità senza precedenti sulle attività sospette e consentendo una risposta rapida ed efficace.

Luca non mancherà di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con l’aumento della digitalizzazione e l’espansione delle superfici di attacco, la capacità di adattarsi rapidamente e di innovare è cruciale per mantenere la sicurezza delle informazioni.
Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike
Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.

1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume l’analisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di quest’anno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?

Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioè strumenti legittimi già presenti nell’ambiente della vittima, e rendendo quasi impossibile distinguere l’attività malevole. Si parla quindi di intrusioni interattive o “hands-on”. Un dato altrettanto interessante emerso è l’aumento di attacchi che sfruttano tecniche di social engineering – vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identità, che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sull’utilizzo di soluzioni di IA per aumentare la velocità della detection, investigation e response. Dal punto di vista organizzativo è necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacità di threat hinting a 360°su tutto il perimetro aziendale

2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identità che non prevedano l’utilizzo di malware e/o includano l’uso di social engineering potenziato eventualmente dall’Intelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?

Luca Nilo Livrieri: Secondo l’analisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi è stata un’alta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche “hands-on-keyboard” e strumenti legittimi: si preferiscono quindi metodi “fileless” e living-off-the-land. Gli attacchi alle identità risultano i più frequenti, essendo ormai da anni un trend in crescita. A tal proposito si è registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metà del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti più convincenti a supporto nelle operazioni di social engineering.

L’utilizzo dell’intelligenza artificiale ha supportato un’evoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dell’efficacia significativo, se in passato la classica email di phishing aveva un’efficacia del 12%, oggi la stessa email generata con l’AI ha un’efficacia del 54%.

3-RHC: Kevin Mitnick, noto come “il Condor”, è stato uno degli hacker più famosi e abili della storia. La sua carriera di hacking iniziò negli anni ’80, quando si dedicò al phreaking, ovvero l’hacking dei sistemi telefonici. Mitnick era un maestro nell’arte dell’ingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.

Quanto è ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?

Luca Nilo Livrieri: L’eredità delle tecniche di social engineering di Kevin Mitnick è più rilevante che mai nel panorama attuale delle minacce informatiche. L’allarmante aumento negli attacchi di vishing (del 442%), già citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.

Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni ’80 sono state potenziate dall’intelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente più convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilità umane – urgenza, autorità e fiducia – ma avendo a disposizione strumenti molto più sofisticati.

L’evoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacità di generare “voci clone” realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora più seria rispetto al passato. É fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come l’autenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purché tenga conto della necessità di strumenti e procedure specificamente adattati alle sfide contemporanee

4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali più significativi nelle aree geografiche più importanti?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. L’analisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attività, con un’attenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina – con incrementi che hanno raggiunto il 200-300%.

A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. L’Europa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.

Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con un’intensificazione degli attacchi particolarmente evidente nelle economie più sviluppate.

5-RHC: Oggi, la Cina è una delle principali economie mondiali, con un forte settore manifatturiero orientato all’esportazione. Qual è oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturità degli attaccanti cinesi è aumentata in modo proporzionato all’aumento del loro potere economico?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attività di cyber-spionaggio riflette chiaramente l’ambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacità offensive cinesi è particolarmente evidente nell’evoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci più tradizionali e facilmente rilevabili in favore di metodologie più sofisticate e difficili da attribuire. Particolarmente significativa è la loro capacità di condurre operazioni stealth che evitano l’uso di malware, a favore di tecniche più sottili che sfruttano le vulnerabilità della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacità cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietà intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre più sofisticato e stratificato.

La minaccia rappresentata dagli attori cinesi non è più solo una questione di sicurezza informatica, ma si inserisce in un più ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.

6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attività attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono così versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?

Luca Nilo Livrieri:KEYPLUG è un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware più diffusi. Il suo impatto sul panorama delle minacce cyber è particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacità, che l’hanno reso sempre più efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessità di un approccio alla sicurezza sempre più sofisticato e adattivo, capace di evolversi al passo con le crescenti capacità degli attaccanti.

Tra le caratteristiche di questo malware si trova l’utilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo più difficile l’intercettazione e l’analisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo l’implementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. É consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. E’ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.

7-RHC: Restando in tema geografico/geopolitico, nell’ultimo decennio si è registrato un aumento delle attività criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi). Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?

Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. L’anno ha visto un’intensificazione senza precedenti delle attività criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.

Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacità offensive, registrando un incremento del 150% nelle attività di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).

Sul fronte russo, le attività cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa all’Ucraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacità di adattamento e di sviluppo di tecniche sempre più sofisticate.

La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e “laptop farms”. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.

Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in un’escalation significativa delle attività cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attività cyber con più ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea l’importanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre più sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.

8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?

Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report c’è una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.

È emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.

I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato l’AI per fornire risposte più credibili durante i colloqui di lavoro. Con queste tecniche è stato possibile ingannare i recruiter e farsi assumere all’interno di grandi aziende come sviluppatori di software e tecnici IT. I “dipendenti” si facevano spedire i laptop aziendali in dotazione presso “Laptop farms” in paesi specifici per ottenere un IP pubblico di provenienza “trusted” (es. USA) e, una volta ottenuto l’accesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attività malevole.

9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?

Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali è stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come già evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturità senza precedenti, registrando un incremento del 150% rispetto all’anno precedente. Questa escalation è stata accompagnata da un notevole perfezionamento delle capacità operative e della gestione infrastrutturale, in particolare attraverso l’implementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attività.

Un aspetto particolarmente significativo del 2024 è stata l’identificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta un’evoluzione strategica importante, segnando il passaggio da operazioni di tipo “smash-and-grab” a intrusioni più mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.

La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dell’ordine e ricercatori di sicurezza, è stata notevole. Hanno intensificato l’uso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacità di mantenere l’anonimato.

L’impatto di queste operazioni si è fatto sentire in modo trasversale in tutti i settori a livello globale, con un’intensità particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attività malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.

10-RHC: Diamo ora uno sguardo alla difesa, può spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-…) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?

Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attività sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio è particolarmente efficace nell’identificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.

La capacità di OverWatch di distinguere tra attività legittime e malevole è cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacità integrando e correlando dati da diverse fonti in un’unica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta l’intelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare un’intrusione. La sua architettura cloud-native permette una scalabilità e flessibilità superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.

L’integrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente all’evoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dell’organizzazione, creando un sistema di protezione su misura e altamente efficace.

11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?

Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su un’architettura cloud-nativa che elimina la necessità di infrastrutture on-premise complesse, offrendo scalabilità immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo è l’integrazione nativa con l’ecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione più rapida e precisa delle minacce.

La piattaforma eccelle nell’analisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio è particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche “living off the land” e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo è la capacità di fornire visibilità completa attraverso diversi ambienti – cloud, on-premise e ibridi – con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.

La piattaforma include anche capacità avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati all’ingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e l’accesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione all’avanguardia nel panorama della sicurezza informatica.

12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual è stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilità consecutive (exploit chaining), con l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) o con Zero Days?

Vi sono possibili previsioni su questo per il 2025?

Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nell’uso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilità consecutive (exploit chaining), l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) e l’uso di vulnerabilità zero-day.

Per quanto riguarda l’Exploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare più vulnerabilità e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilità di bypass (CVE-2024-0012) con una vulnerabilità di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacità e l’impatto sugli obiettivi.

Essi hanno continuato a sfruttare funzionalità legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalità xp_cmdshell di Microsoft SQL Server è stata abusata per ottenere RCE in vari prodotti.

Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilità zero-day per ottenere accesso iniziale e condurre attività malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilità di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilità di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.

CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: l’exploit chaining, l’abuso di funzionalità legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.

13-RHC: L’abuso di account validi è diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso l’uso di information stealers o il social engineering.

Qual è l’impatto di ciò in attacchi a infrastrutture cloud aziendali?

Luca Nilo Livrieri: L’abuso di account validi è emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.

Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio all’abuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.

Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: l’impiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto l’accesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nell’ambiente cloud senza destare sospetti, sfruttando la legittimità apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.

La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per l’autenticazione MFA o la creazione di backdoor sofisticate. Ciò permette agli attaccanti di mantenere l’accesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante è la capacità di questi attori di eludere le difese tradizionali, poiché l’uso di credenziali legittime rende estremamente difficile distinguere le attività malevoli da quelle lecite.

SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilità nell’utilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilità delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza è destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre più su obiettivi SaaS e cloud.

Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. È essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, l’analisi delle anomalie e sistemi robusti di gestione delle identità e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarà possibile mitigare efficacemente il rischio rappresentato dall’abuso di account validi negli ambienti cloud.

14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilità di tipo Zero Day, è possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalità digitale? Può l’attuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?

Luca Nilo Livrieri:La sfida posta dalle vulnerabilità Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche più complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapidità con cui gli attaccanti riescono a sfruttare queste vulnerabilità, con tempi di “breakout” ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.

L’Intelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacità di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilità. L’implementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso l’analisi predittiva e la simulazione di scenari complessi.

Nel contesto specifico delle vulnerabilità Zero Day, la GenAI dimostra particolare efficacia nell’analisi del codice sorgente e nell’identificazione di potenziali vulnerabilità prima che possano essere sfruttate. La sua capacità di processare e correlare enormi quantità di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilità non ancora documentate. Tuttavia, è fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza più ampia. L’efficacia di questi sistemi dipende infatti dalla qualità dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nell’interpretazione contestuale delle minacce e nella definizione delle strategie di risposta.

La vera innovazione risiede nella sinergia tra expertise umana e capacità computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacità di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. L’implementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacità di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nell’utilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.

L’integrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilità di ridurre significativamente il divario temporale tra l’identificazione di una vulnerabilità e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte all’evoluzione continua delle minacce Zero Day.

15-RHC: Ci può parlare di Charlotte AI, il vostro Generative AI Assistant? Siamo curiosi di sapere come è stato addestrato e su che stack tecnologico hardware/software sia basato (https://www.crowdstrike.com/en-us/resources/demos/conversations-with-charlotte-ai-at-risk-user-accounts/).

Luca Nilo Livrieri: Charlotte AI rappresenta un’implementazione di un sistema di intelligenza artificiale generativa con capacità agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. L’architettura multi-tenant, cloud-native, dell’assistente è stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.

L’architettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare l’accuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.

Questa implementazione tecnica rappresenta un significativo avanzamento nell’applicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning all’avanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso l’introduzione di nuove capacità tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilità enterprise e sulla sicurezza dei dati.

L’architettura modulare garantisce l’adattabilità alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo l’integrazione continua di nuovi modelli e capacità analitiche aiutando nelle fasi di detection, investigation e response.

16-RHC: Luca, la ringraziamo ancora per averci dato la possibilità di farle questa intervista sul vostro Global Threat Report 2025. C’è qualcosa che vuole aggiungere o che reputa interessante porre all’attenzione dei nostri lettori?

Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:

1. Proteggere l’intero ecosistema delle identità adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identità integrati con piattaforme XDR.
2. Eliminare i gap di visibilità cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
3. Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacità CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilità non patchate.
4. Dare priorità al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilità ad alto rischio.
5. Adottare un approccio basato sull’intelligence, integrare l’intelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.

L'articolo Red Hot Cyber Intervista CrowdStrike sul Global Threat Report 2025 proviene da il blog della sicurezza informatica.

La Procura Distrettuale di Catania ha coordinato una operazione nazionale contro lo sfruttamento sessuale dei minori online condotta dalla Polizia di Stato. Si tratta di una tra le più vaste azioni compiute ad oggi in Italia. Oltre 500 operatori della Polizia Postale hanno eseguito oltre 100 perquisizioni nei confronti di altrettanti indagati, traendo in arresto 34 persone.

I dettagli della operazione saranno illustrati alle ore 10.30 presso la sala stampa della Procura Distrettuale sita in viale XX Settembre n.51.

La Polizia di Stato dimostra ancora una volta la sua determinazione nel contrastare i reati più odiosi, ribadendo il proprio impegno nella tutela dei più vulnerabili. Le indagini, condotte con strumenti tecnologici avanzati e in stretta collaborazione con organismi internazionali, hanno permesso di smantellare una rete di scambio di materiale pedopornografico, individuando decine di soggetti coinvolti in attività illecite a danno di minori.

Questo genere di operazioni rappresenta una delle sfide più difficili per gli investigatori, costretti a visionare e analizzare contenuti che hanno un impatto devastante non solo sul piano sociale, ma anche psicologico. L’esposizione prolungata a materiale di questo tipo richiede una grande forza mentale e un costante supporto per coloro che si occupano di queste indagini, consapevoli che il loro lavoro è essenziale per salvaguardare l’infanzia da pericoli sempre più insidiosi.

Nonostante la complessità e il peso emotivo di questa missione, si tratta di un compito che qualcuno deve assumersi per il bene della comunità. L’impegno incessante della Polizia Di Stato, con il coordinamento delle autorità giudiziarie, testimonia la volontà di non lasciare spazio all’impunità e di colpire duramente chiunque si renda responsabile di crimini così gravi.

La lotta alla pedopornografia online continua senza sosta, con l’obiettivo di proteggere i più deboli e restituire giustizia alle vittime.

L'articolo Operazione Hello: Maxi Blitz Contro i Mostri Del Web! Arresti e Perquisizioni in 56 Città proviene da il blog della sicurezza informatica.

Cisco ha rilasciato un avviso di sicurezza che mette in allerta le aziende e gli amministratori di rete: una vulnerabilità nei suoi switch della serie Nexus 3000 e 9000 potrebbe consentire ad attaccanti di scatenare una condizione di Denial-of-Service (DoS), causando il riavvio improvviso dei dispositivi e l’interruzione delle operazioni di rete.

La vulnerabilità

La problematica risiede nel modulo di diagnostica per il monitoraggio dello stato di salute degli switch. Una gestione errata di specifici frame Ethernet consente a un attaccante non autenticato, ma con accesso alla rete locale, di inviare un flusso continuo di frame Ethernet appositamente confezionati per mandare in tilt il dispositivo.

L’esito? Il riavvio forzato dello switch, con tutte le conseguenze del caso: perdita di connettività, interruzione dei servizi e potenziali impatti critici per le infrastrutture aziendali.

Quali modelli sono a rischio?

Gli switch Cisco interessati sono:

• Nexus 3100 Series
• Nexus 3200 Series
• Nexus 3400 Series
• Nexus 3600 Series
• Nexus 9200 Series (in modalità standalone NX-OS)
• Nexus 9300 Series (in modalità standalone NX-OS)
• Nexus 9400 Series (in modalità standalone NX-OS)

Cisco ha confermato che questa vulnerabilità non impatta altri dispositivi come le soluzioni Firepower, la serie MDS e alcuni switch Nexus non elencati.

Come identificare un attacco in corso?

Un exploit riuscito può provocare il fallimento consecutivo dei test diagnostici “L2ACLRedirect health monitoring” o “RewriteEngineLoopback” sui Nexus 3100 e 3200. Segnali di compromissione possono essere rilevati nei log di sistema con messaggi come:

• “L2ACLREDIRECT_LOOPBACK_TEST_FAIL”
• “REWRITE_ENGINE_LOOPBACK_TEST_FAIL”

Questi eventi precedono un riavvio forzato del dispositivo con il codice di errore “Kernel Panic”. Tuttavia, Cisco avverte che tali messaggi possono apparire anche per cause non legate alla vulnerabilità.

Mitigazioni e soluzioni

Cisco ha già rilasciato aggiornamenti software per risolvere la vulnerabilità. I clienti con contratti di supporto possono ottenere le patch attraverso i canali di aggiornamento ufficiali.

Per verificare la propria esposizione, Cisco mette a disposizione:

• Cisco Software Checker, uno strumento per identificare le versioni vulnerabili del software NX-OS.
• Cisco Product Security Incident Response Team (PSIRT), che monitora attivamente le minacce e fornisce indicazioni per la protezione dei dispositivi.

Conclusione

Sebbene al momento non risultino exploit attivi in the wild, questa vulnerabilità rappresenta un rischio concreto per le infrastrutture di rete aziendali. Un attacco DoS su switch core potrebbe avere conseguenze disastrose, bloccando servizi essenziali e compromettendo la business continuity.

Per questo motivo, gli amministratori di rete devono intervenire immediatamente, verificando le versioni dei propri dispositivi e applicando le patch rilasciate da Cisco. La sicurezza delle reti aziendali non è mai una questione da rimandare.

L'articolo Cisco Nexus: Vulnerabilità critica consente di causare condizione di Denial-of-Service! proviene da il blog della sicurezza informatica.

“La Federal Trade Commission sta inviando moduli di reclamo ai consumatori che hanno acquistato un software antivirus commercializzato in modo ingannevole da Avast”, viene riportato all’interno del sito web ufficiale del governo degli Stati Uniti della Federal Trade Commission.

La FTC ha affermato in una denuncia del febbraio 2024 che Avast ha ingannato gli utenti affermando che il suo software avrebbe protetto la privacy dei consumatori bloccando il tracciamento di terze parti, ma non è riuscita a informare adeguatamente i consumatori che avrebbe raccolto e venduto i loro dati di navigazione dettagliati e reidentificabili. La FTC ha affermato che Avast ha venduto tali dati a più di 100 terze parti tramite la sua sussidiaria, Jumpshot.

Come parte di un ordine di conciliazione con la FTC, Avast è stata tenuta a pagare 16,5 milioni di dollari, che saranno utilizzati per risarcire i consumatori. L’ordine vieta inoltre ad Avast di travisare il modo in cui utilizza i dati che raccoglie e di vendere o concedere in licenza dati di navigazione da prodotti a marchio Avast a terze parti per scopi pubblicitari, insieme ad altri requisiti.

La FTC sta inviando notifiche via e-mail a 3.690.813 consumatori che hanno acquistato software antivirus da Avast tra agosto 2014 e gennaio 2020. I consumatori idonei a presentare domanda riceveranno una notifica via e-mail da ora al 7 marzo 2025.

I consumatori idonei possono presentare un reclamo online su www.ftc.gov/Avast. Gli importi dei pagamenti dipenderanno da diversi fattori, tra cui il numero di persone che presentano reclami.

La scadenza per presentare un reclamo è il 5 giugno 2025. I consumatori che hanno domande o hanno bisogno di aiuto per presentare un reclamo devono chiamare l’amministratore dei reclami al numero 866-290-0165 o inviare un’e-mail a info@AvastSettlement.com.

L'articolo Avast condannata a pagare 16,5 milioni di dollari agli utenti per aver venduto i loro dati proviene da il blog della sicurezza informatica.

CrowdStrike (NASDAQ: CRWD) ha pubblicato oggi il “Global Threat Report 2025”, che rivela la crescente aggressività delle operazioni cyber della Cina, un aumento dell’ingegneria sociale basata su GenAI, la ricerca e l’utilizzo delle vulnerabilità da parte di gruppi sponsorizzati dagli Stati, e un netto incremento degli attacchi privi di malware basati sull’identità.

Il report rivela che gli avversari legati alla Cina hanno intensificato del 150% le operazioni cyber sponsorizzate dallo Stato, con attacchi mirati nei settori dei servizi finanziari, dei media, manifatturiero e dell’industria, che hanno registrato un’impennata fino al 300%.

Allo stesso tempo, gli avversari di tutto il mondo si stanno avvalendo di tecniche di inganno e manipolazione generate con l’uso dell’intelligenza artificiale, sfruttando credenziali rubate ed eseguendo sempre più spesso attacchi cross-domain – approfittando delle lacune tra endpoint, cloud e identità – per eludere i controlli di sicurezza e agire inosservati nell’ombra.

Il passaggio a intrusioni prive di malware basate sull’abuso di accessi legittimi, unito a tempi di breakout mai registrati prima, lascia ai difensori pochissimo margine di errore. Per fermare gli attacchi moderni, i team di sicurezza devono eliminare i gap di monitoraggio (punti ciechi nella sicurezza), rilevare i movimenti degli avversari in tempo reale e bloccare gli attacchi prima che si intensifichino, perché una volta che gli avversari riescono ad entrare è già troppo tardi.

Principali risultati emersi nel Global Threat Report di CrowdStrike

La ricerca di CrowdStrike, che ha analizzato più di 250 avversari conosciuti e 140 cluster di attività emergenti, rivela:

• Lo spionaggio informatico cinese diventa sempre più aggressivo: nel 2024 CrowdStrike ha identificato sette nuovi gruppi di avversari legati alla Cina, contribuendo ad un aumento del 150% delle operazioni di spionaggio informatico. I settori più critici hanno registrato un’impennata fino al 300% negli attacchi mirati.
• La GenAI potenzia l’ingegneria sociale: le tecniche di phishing e impersonificazione basate sull’intelligenza artificiale hanno alimentato un aumento del 442% del voice phishing (vishing) tra il primo ed il secondo semestre del 2024. Gruppi di eCrime avanzati come CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno sfruttato l’ingegneria sociale per rubare credenziali, stabilire sessioni remote di supporto help desk ed eludere il rilevamento.
• L’Iran utilizza la GenAI per individuare e sfruttare le vulnerabilità: nel 2024, gli attori legati all’Iran hanno sperimentato in misura crescente la GenAI per la ricerca di vulnerabilità, lo sviluppo di exploit e la gestione delle patch sulle reti nazionali, in linea con le iniziative governative sull’AI.
• Dall’intrusione all’accesso – Boom di attacchi senza l’utilizzo di malware: il 79% degli attacchi per ottenere l’accesso iniziale avviene ormai senza l’uso di malware, mentre gli annunci di access broker sono aumentati del 50% su base annua. Gli avversari sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati attraverso attività dirette di tipo hands-on keyboard.
• Le minacce interne continuano a crescere: l’avversario DPRK-nexus il gruppo FAMOUS CHOLLIMA, legato alla Corea del Nord (DPKR) è stato responsabile di 304 attacchi scoperti nel 2024. Il 40% di questi incidenti ha riguardato operazioni di minaccia interna, con gli avversari che si sono infiltrati nei sistemi aziendali spacciandosi per dipendenti legittimi al fine di ottenere accesso ai sistemi e condurre attività malevole.
• Tempo di breakout a velocità record: il tempo medio di breakout negli attacchi eCrime è sceso a 48 minuti, con il caso più veloce registrato a 51 secondi, lasciando ai difensori pochissimo tempo per reagire.
• Ambienti cloud sotto assedio: le intrusioni cloud di nuova origine e non attribuite a specifici attaccanti sono aumentate del 26% su base annua. L’abuso di account validi è la principale tecnica di accesso iniziale e rappresenta il 35% degli incidenti cloud nel primo semestre 2024.
• Le vulnerabilità non corrette restano un obiettivo chiave: il 52% delle vulnerabilità osservate era legato all’accesso iniziale, evidenziando la necessità critica di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi.

“Il cyber spionaggio cinese, sempre più aggressivo, unito alla rapida diffusione di strumenti di inganno basati sull’intelligenza artificiale, sta costringendo le organizzazioni a ripensare il proprio approccio alla sicurezza”, ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Gli avversari sfruttano le lacune nell’identità, fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni è necessaria una piattaforma unificata, basata su intelligence e threat hunting in tempo reale, che metta in correlazione identità, cloud e attività degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversari”.

CrowdStrike ha rivoluzionato la cybersecurity con un approccio basato sugli avversari grazie alla piattaforma CrowdStrike Falcon®, che rappresenta il gold standard della sicurezza informatica, offrendo protezione potenziata dall’AI, threat intelligence in tempo reale e threat hunting avanzato per proteggere identità, cloud ed endpoint. Grazie all’Intelligenza Artificiale comportamentale e al machine learning addestrati sulla base della threat intelligence e di trilioni di eventi di sicurezza, CrowdStrike offre una protezione in tempo reale contro le minacce avanzate, fornendo visibilità e protezione complete lungo l’intero ciclo di vita dell’attacco.

Ulteriori risorse

• Scarica il Global Threat Report 2025 di CrowdStrike.
• Visita l’Adversary Universe di CrowdStrike per conoscere la fonte online completa sugli avversari.
• Ascolta il podcast Adversary Universe per ottenere approfondimenti sugli attori delle minacce e raccomandazioni per amplificare le pratiche di sicurezza.

L'articolo Global Threat Report 2025 di CrowdStrike: In crescita la minaccia Cinese e l’utilizzo malevolo delle AI proviene da il blog della sicurezza informatica.

noblogo.org/transit/la-giusta-…

Transit

2025-02-28 13:34:31

La giusta distanza

(164)

Nel suo film del 2007 “La giusta distanza”, Carlo Mazzacurati narra la vicenda di un giovane apprendista giornalista, che non riesce, in merito ad un fatto di cronaca, a mantenere la “giusta distanza” dai fatti, come gli ha suggerito il suo mentore. Ovvero non riesce ad approfondire abbastanza quel che accade per averne una visione imparziale, il più possibile corretta e scevra da opinioni ed idee personali: quello che, nella teoria, ogni giornalista dovrebbe tendere a fare nel suo mestiere.

In Italia può essere portato ad esempio di come questo modo di operare sia, nei fatti, ignorato del tutto o quasi. Da parte di molte testate giornalistiche e di TG d'ogni canale è è un muoversi nelle direzioni più disparate: dapprima per rimanere “sul pezzo” e, passata la fase di picco a livello di notizia, per estendere all'infinito una serie di tematiche, perlopiù allarmiste e con un alto tasso di sensazionalismo, fino a coprire intere giornate di trasmissione.

E' anche un po' il limite, per esempio, dei canali “All News”, dove per ventiquattro ore al giorno si trasmette ogni sorta di dettaglio, di accadimento, di vocio per coprire la giornata intera. Reiterando all'infinito le stesse cose (non può accadere qualcosa di clamoroso ogni ora), si finisce con il “caricare” la notizia fino allo spasimo, spesso inserendo note di colore che rendono la narrazione volutamente altisonante, pervasiva, angosciante. Una estremizzazione indotta per mantenere attento lo spettatore.

Chiaramente è una maniera d'operare affatto corretta e per quanto giornalisti ed opinionisti lo neghino, appare abbastanza chiaro che è un mare in cui a loro piace nuotare. Possiamo comprendere che sia più semplice fare così che mantenere quella distanza di cui sopra: si rischia, magari, la noia o una maniera troppo blanda di porgere le notizie e molte persone amano, inconsciamente o meno, il clamore e la chiacchiera, a discapito di coloro che, invece, vorrebbero leggere o sentire semplicemente ciò che è successo, senza fronzoli.

D'altro canto ognuno può essere un amplificatore dei fatti: basta un account su “Facebook” o su “X” dove riprendere e commentare ogni cosa venga detta, magari distorcendo ulteriormente le cose, caricandole con opinioni personali (cui si ha diritto) e facendo rimbalzare tutto ovunque. Una sorta di cerchio infinito in cui la sconfitta è l'informazione di qualità, quella cui dovrebbero sempre ambire tutti. Sarebbe un freno per un mondo già sovraccarico di input, dove siamo “bombardati” senza sosta, senza tregua di cose che ci sentiamo obbligati a seguire.

Un corto circuito permanente d'attenzione e di sovraccarico mediatico. E come ogni cosa portata all'eccesso, è un danno. Cui, temo, non si possa più porre rimedio, se non con la volontà personale di distaccarsi da questa narrazione sbilanciata, reinserendo nel proprio modo di informarsi una quanto mai necessaria dose di distacco e di ragionamento. Cose difficili da fare, faticose, ma non impossibili.

#Blog #Opinioni #Media #News #Informazione

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

Ground-source heat pump systems are one of the most efficient ways to do climate control, but digging the wells can be prohibitively expensive for the individual citizen. What if you could do it at a larger scale?

Starting with a pilot to serve 37 commercial and residential buildings in Framingham, MA, Eversource is using its experience with natural gas drilling and pipe to serve up a lower carbon way to heat and cool this neighborhood. While district heating via geothermal has precedents elsewhere in the country, Boise is a notable example, it has remained a somewhat niche technology. Once networked, excess heat from one location can be used elsewhere in the system, like data centers or industrial facilities being used to heat homes in the winter.

As gas utilities look to transition away from fossil fuels, their existing knowledge base is a perfect fit for geothermal, but there are some regulatory hurdles. Six states have passed laws allowing natural gas utilities to expand beyond just gas, and bills have been filed in six more. This will likely accelerate with the formation of the Utility Networked Geothermal Collaborative which includes many utilities including giants like Dominion Energy who are looking to expand their energy portfolios.

If you want to dig more into district heating systems or geothermal energy, we’ve covered cogeneration from power plants to serve up the heat instead, doing it with wind, or even using old coal mines for geothermal heat.

hackaday.com/2025/02/26/distri…

[Nicholas LaBonte] shows off a Cyberdeck Handheld that demonstrates just how good something can look when care and attention goes into the design and fabrication. He wanted to make something that blended cyberpunk and nautical aesthetics with a compact and elegant design, and we think he absolutely succeeded.

On the inside is a Raspberry Pi and an RTL-SDR. The back of the unit is machined from hardwood, and sports a bronze heat sink for the Raspberry Pi. The front has a prominent red PSP joystick for mouse input and a custom keyboard. The keyboard is especially interesting. On the inside it’s a custom PCB with tactile switches and a ATmega32U4 running QMK firmware — a popular choice for DIY keyboards — and presents to the host as a regular USB HID device.
The keys are on a single plate of little tabs, one for each key, that sits between the front panel and press on the tact switches inside.
How did he make those slick-looking keys? It’s actually a single plate that sits between the front panel and the switches themselves. [Nicholas] used a sheet of polymer with a faux-aluminum look to it and machined it down, leaving metal-looking keys with engraved symbols as tabs in a single panel. It looks really good, although [Nicholas] already has some ideas about improving it.

On the right side is the power button and charging port, and astute readers may spot that the power button is where a double-stack of USB ports would normally be on a Raspberry Pi 5. [Nicholas] removed the physical connectors, saving some space and connecting the USB ports internally to the keyboard and SDR.

As mentioned, [Nicholas] is already full of ideas for improvements. The bronze heat sink isn’t as effective as he’d like, the SDR could use some extra shielding, and the sounds the keyboard ends up making could use some work. Believe it or not, there’s still room to spare inside the unit and he’d maybe like to figure out a way to add a camera, GPS receiver, or maybe a 4G modem. We can’t wait! Get a good look for yourself in the video, embedded below.

youtube.com/embed/u8kYHgKKhjY?…

hackaday.com/2025/02/27/a-prec…

In the rush to always have the latest and greatest, it’s not uncommon that perfectly serviceable hardware ends up collecting dust in a drawer somewhere. If you’ve got an old Kindle laying around, you may be interested in this write-up from [Hemant] that shows a practical example of how the popular e-reader can be pushed into service as a weather dashboard.

The first step is to jailbreak the Kindle, providing the user with root access to the device. From there the Kindle Unified Application Launcher (KUAL) is installed along with USBNetwork which allows you to connect to the reader over SSH. With root access and a network connection, the real project of converting it to a weather dashboard begins. [Hemant] split the project into two parts here, a Node.js server that scrapes weather data from the internet and converts it into an image, and a client for the Kindle that receives this image for display.

The Kindle has a number of quirks and issues that [Hemant] covers as well, including handling image ghosting on the e-ink display as well as a problem where the device will hang if the Internet connection is lost. For those with jailbroken Kindles that want to put their devices back into useful service, this is an excellent guide for getting started and [Hemant] also provided all of the source code on the project’s GitHub page.

There has been a long tradition of using Kindles for things other than e-readers, and even devices with major hardware problems can still have useful life in them thanks to this project which allows the e-ink display to have a second life on its own.

hackaday.com/2025/02/27/shelve…

QR codes have been with us for a long time now, and after passing through their Gardenesque hype cycle of inappropriate usage, have now settled down to be an important and ubiquitous part of life. If you have ever made a QR code you’ll know all about trying to generate the most compact and easily-scannable one you can, and for that [Terence Eden] is here with an interesting quirk. Upper-case text produces smaller codes than lower-case.

His post takes us on a journey into the encoding of QR codes, not in terms of their optical pattern generation, but instead the bit stream they contain. There are different modes to denote different types of payload, and in his two examples of the same URL in upper- and lower- cases, the modes are different. Upper-case is encoded as alphanumeric, while lower-case, seemingly though also containing alphanumeric information, is encoded as bytes.

To understand why, it’s necessary to consider the QR codes’ need for efficiency, which led its designers to reduce their character set as far as possible and only define uppercase letters in their alphanumeric set. The upper-case payload is thus encoded using less bits per character than the lower-case one, which is encoded as 8-bit bytes. A satisfying explanation for a puzzle in plain sight.

Hungry for more QR hackery? This one contains more than one payload!

hackaday.com/2025/02/26/shout-…

Terence Eden’s Blog

2025-02-23 12:34:37

Why are QR Codes with capital letters smaller than QR codes with lower-case letters?

shkspr.mobi/blog/2025/02/why-a…

Take a look at these two QR codes. Scan them if you like, I promise there's nothing dodgy in them.

---

---

Left is upper-case HTTPS://EDENT.TEL/ and right is lower-case https://edent.tel/

You can clearly see that the one on the left is a "smaller" QR as it has fewer bits of data in it. Both go to the same URl, the only difference is the casing.

What's going on?

Your first thought might be that there's a different level of error-correction. QR codes can have increasing levels of redundancy in order to make sure they can be scanned when damaged. But, in this case, they both have Low error correction.

The smaller code is "Type 1" - it is 21px * 21px. The larger is "Type 2" with 25px * 25px.

The official specification describes the versions in more details. The smaller code should be able to hold 25 alphanumeric character. But https://edent.tel/ is only 18 characters long. So why is it bumped into a larger code?

Using a decoder like ZXING it is possible to see the raw bytes of each code.

UPPER

20 93 1a a6 54 63 dd 28 35 1b 50 e9 3b dc 00 ec11 ec 11
lower:

41 26 87 47 47 07 33 a2 f2 f6 56 46 56 e7 42 e746 56 c2 f0 ec 11 ec 11 ec 11 ec 11 ec 11 ec 11ec 11
You might have noticed that they both end with the same sequence: ec 11 Those are "padding bytes" because the data needs to completely fill the QR code. But - hang on! - not only does the UPPER one safely contain the text, it also has some spare padding?

The answer lies in the first couple of bytes.

Once the raw bytes have been read, a QR scanner needs to know exactly what sort of code it is dealing with. The first four bits tell it the mode. Let's convert the hex to binary and then split after the first four bits:

Type	HEX	BIN	Split
UPPER	20 93	00100000 10010011	0010 000010010011
lower	41 26	01000001 00100110	0100 000100100110

The UPPER code is 0010 which indicates it is Alphanumeric - the standard says the next 9 bits show the length of data.

The lower code is 0100 which indicates it is Byte mode - the standard says the next 8 bits show the length of data.

Type	HEX	BIN	Split
UPPER	20 93	00100000 10010011	0010 0000 10010
lower	41 26	01000001 00100110	0100 000 10010

Look at that! They both have a length of 10010 which, converted to binary, is 18 - the exact length of the text.

Alphanumeric users 11 bits for every two characters, Byte mode uses (you guessed it!) 8 bits per single character.

But why is the lower-case code pushed into Byte mode? Isn't it using letters and number?

Well, yes. But in order to store data efficiently, Alphanumeric mode only has a limited subset of characters available. Upper-case letters, and a handful of punctuation symbols: space $ % * + - . / :

Luckily, that's enough for a protocol, domain, and path. Sadly, no GET parameters.

So, there you have it. If you want the smallest possible physical size for a QR code which contains a URl, make sure the text is all in capital letters.

#qr #QRCodes

Table of Alphanumeric Values

When creating a QR code with alphanumeric mode, you need to know the alphanumeric values of the characters that you are encoding. See this table for reference.

^Thonky.com

Negli ultimi mesi, il gruppo di hacker cinese conosciuto come Salt Typhoon ha continuato a far parlare di sé grazie alle sue tattiche aggressive e persistenti nel settore della cybersicurezza.

Nonostante le sanzioni imposte dagli Stati Uniti e un’attenta sorveglianza governativa, Salt Typhoon ha dimostrato di non rallentare le proprie attività, continuando a lanciare attacchi coordinati contro istituzioni educative e infrastrutture critiche a livello globale.

Salt Typhoon (RedMike): Una Minaccia Globale

Recenti rapporti indicano che il gruppo ha mirato a diversi fornitori di telecomunicazioni e università in vari paesi, principalmente Stati Uniti, Regno Unito, Sudafrica. Queste incursioni hanno permesso agli hacker di compromettere dispositivi cruciali, estraendo informazioni sensibili come dati scientifici e tecnologia proprietaria.

Da quanto viene riportato dalle dashboard della piattaforma di intelligence di Recorded Future (Partner strategico di Red Hot Cyber), gli attacchi hanno iniziato ad aumentare in modo sensibile da febbraio di questo anni con dei picchi nelle date del 13 e del 21 di questo mese.
Trend degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Lo sfruttamento delle CVE di CISCO IOS XE

Dall’inizio di dicembre 2024, Salt Typhoon (RedMike) ha tentato di sfruttare oltre 1.000 dispositivi di rete Cisco esposti su Internet in tutto il mondo, principalmente quelli associati ai provider di telecomunicazioni, utilizzando una combinazione di due vulnerabilità di escalation dei privilegi: CVE-2023-20198 e CVE-2023-20273. Una volta compromesso con successo, il gruppo utilizza il nuovo account utente privilegiato per modificare la configurazione del dispositivo e aggiunge un tunnel GRE per l’accesso persistente e l’esfiltrazione dei dati.

La vulnerabilità di escalation dei privilegi CVE-2023-20198 è stata trovata nella funzionalità Web UI del software Cisco IOS XE, versione 16 e precedenti, e pubblicata da Cisco nell’ottobre 2023. Gli aggressori sfruttano questa vulnerabilità per ottenere l’accesso iniziale al dispositivo ed emettono un comando privilege 15 per creare un utente locale e una password. In seguito, l’aggressore utilizza il nuovo account locale per accedere al dispositivo e sfrutta una vulnerabilità di escalation dei privilegi associata, CVE-2023-20273, per ottenere i privilegi di utente root.
Distribuzione geografica dei dispositivi CISCO sfruttati da Red Mike (Salt Typhoone) (Fonte Recorded Future)
Oltre la metà dei dispositivi Cisco presi di mira da RedMike si trovavano negli Stati Uniti, in Sud America e in India. I dispositivi rimanenti si estendevano su oltre 100 altri paesi. Sebbene i dispositivi selezionati siano principalmente associati a provider di telecomunicazioni, tredici erano collegati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti e Vietnam.

Tale comportamento mette in evidenza la minaccia continua rappresentata dagli attori sponsorizzati dagli stati e la loro capacità di compromettere la sicurezza nazionale. Particolarmente preoccupante è la strategia di Salt Typhoon di sfruttare vulnerabilità nei dispositivi Cisco.

Gli obiettivi di Salt Typhoon (RedMike)

La Cina ha sviluppato un’ampia rete di operazioni di spionaggio informatico mirate a istituzioni accademiche, aziende e governi stranieri, con l’obiettivo di ottenere vantaggi strategici in settori chiave come l’intelligenza artificiale, la crittografia e la tecnologia quantistica. Gruppi di hacker sponsorizzati dallo Stato, come Brass Typhoon APT41 e Violet Typhoon APT31, sono stati collegati a campagne di attacco sofisticate che sfruttano vulnerabilità nei sistemi informatici di università e centri di ricerca per esfiltrare dati sensibili. Queste operazioni non si limitano al cyberspazio, ma coinvolgono anche il reclutamento di ricercatori e studenti stranieri attraverso programmi di scambio accademico e collaborazioni scientifiche, che spesso fungono da copertura per il trasferimento illecito di conoscenze.

Parallelamente, il governo cinese utilizza società di copertura e joint venture con istituzioni occidentali per acquisire tecnologie emergenti senza destare sospetti. Attraverso iniziative come il programma “Thousand Talents”, Pechino ha incentivato il rientro di scienziati e ingegneri cinesi dall’estero, spesso con informazioni e brevetti ottenuti illegalmente.

Inoltre, le cyber-operazioni cinesi hanno preso di mira fornitori di infrastrutture critiche, tra cui aziende di telecomunicazioni e contractor della difesa, con l’intento di compromettere la sicurezza delle comunicazioni e raccogliere dati di intelligence strategici. Queste attività, sempre più sofisticate, come quelle di Salt Typhoon (RedMike), hanno portato a crescenti tensioni tra la Cina e le potenze occidentali, con sanzioni e misure di ritorsione da parte di Stati Uniti ed Europa per contrastare l’aggressiva espansione dello spionaggio informatico cinese.

Gli attacchi di Febbraio 2025

Il 15 febbraio 2025, Salt Typhoon ha sferrato moltissimi attacchi che hanno colpito 13 università e cinque fornitori di servizi Internet, inclusi quelli in Italia. Queste aggressioni segnano un notevole incremento della campagna di Salt Typhoon, considerata una delle più grandi operazioni di cyber-spionaggio condotte dalla Cina contro gli Stati Uniti. Le conseguenze di questi attacchi non si limitano a violazioni immediate dei dati, ma pongono interrogativi sugli impatti a lungo termine sulla ricerca accademica e sull’innovazione tecnologica.

E’ stata violata con successo un’affiliata statunitense di una società di telecomunicazioni del Regno Unito, vari provider di servizi Internet (ISP) e 13 università, tra cui importanti istituzioni come l’UCLA. Nel corso del mese di febbraio, Cisco ha confermato che questa falla è stata utilizzata per colpire le reti di telecomunicazione statunitensi, dimostrando la persistenza del gruppo nell’utilizzare sia le vulnerabilità consolidate che quelle più recenti per mantenere l’accesso ai sistemi compromessi.

Gli attacchi non si sono limitati agli Stati Uniti, ma si sono estesi anche a entità internazionali, tra cui ISP in Italia, Sudafrica e Thailandia. L’ampiezza di questi attacchi ha destato notevoli preoccupazioni per quanto riguarda la sicurezza dei dati sensibili e l’integrità delle infrastrutture di telecomunicazione su scala globale.

In generale le attività malevole di Salt Typhoon (Red Mike) hanno sfruttato le vulnerabilità identificate come CVE-2023-20198 e CVE-2023-20273, che hanno facilitato l’accesso non autorizzato ai router Cisco IOS XE. Ciò ha permesso agli aggressori di manipolare i dispositivi di rete e potenzialmente di esfiltrare dati sensibili.

Malware utilizzato da Salt Typhoon per compromettere le reti

Salt Typhoon (RedMike) dopo aver avuto accesso e compromesso i router CISCO, impiega una serie di sofisticati malware per infiltrarsi e compromettere le reti in vari settori.

MASOL RAT

Uno degli strumenti principali del loro arsenale è una versione personalizzata del MASOL RAT (Remote Access Trojan),che consente agli aggressori di ottenere il controllo remoto dei sistemi infetti.

Questo malware è particolarmente efficace nell’esfiltrazione di dati sensibili, nel monitoraggio delle attività degli utenti e nell’esecuzione di comandi sulle macchine compromesse. L’uso del MASOL RAT evidenzia l’attenzione strategica di Salt Typhoon per la furtività e la persistenza, che gli consentono di mantenere l’accesso a lungo termine alle reti mirate senza essere individuati.

MASOL RAT, tracciato da TrendMicro dal 2020 può essere utilizzato per prendere di mira entità governative del sud-est asiatico. In base alla stringa PDB della backdoor (E:\Masol_https190228\x64\Release\Masol.pdb), si ritiene che il Remote Access Trojan possa essere stata sviluppato già nel 2019. E’ stata osservata anche una nuova variante Linux in circolazione dopo il 2021.
La configurazione del malware MASOL RAT estratta (Fonte TrendMicro)

JumbledPath

In un rapporto pubblicato da Cisco Talos il 20 febbraio, i ricercatori hanno confermato che Salt Typhoon ha ottenuto l’accesso all’infrastruttura di rete principale tramite dispositivi Cisco e ha poi utilizzato tale infrastruttura per raccogliere una serie di informazioni.
Panoramica sulla gestione dei dati JumbledPath (Fonte Cisco Talos)
L’approccio di Salt Typhoon per ottenere l’accesso iniziale ai dispositivi Cisco è quello di ottenere le credenziali di accesso legittime della vittima utilizzando tecniche LOTL (Living-off-the-Land) sui dispositivi di rete.

Salt Typhoon (RedMike) ha utilizzato un’utilità personalizzata, denominata JumbledPath, che gli ha consentito di eseguire un’acquisizione di pacchetti su un dispositivo Cisco remoto tramite un jump-host definito dall’attore. Questo strumento ha anche tentato di cancellare i log e compromettere la registrazione lungo il jump-path e restituire l’acquisizione compressa e crittografata risultante tramite un’altra serie unica di connessioni o jump definiti dall’attore.

Ciò ha consentito all’attore della minaccia di creare una catena di connessioni ed eseguire l’acquisizione su un dispositivo remoto. L’utilizzo di questa utilità contribuirebbe a offuscare la fonte originale e la destinazione finale della richiesta e consentirebbe inoltre al suo operatore di muoversi attraverso dispositivi o infrastrutture potenzialmente altrimenti non raggiungibili pubblicamente (o instradabili).
Metodo di Salt Typhoon per Bypassare gli elenchi di controllo degli accessi (Fonte Cisco Talos)
Questa utility è stata scritta in GO e compilata come binario ELF usando un’architettura x86-64. La compilazione dell’utility usando questa architettura la rende ampiamente utilizzabile su sistemi operativi Linux, che includono anche una varietà di dispositivi di rete multi-vendor. Questa utility è stata trovata in istanze Guestshell configurate dall’attore su dispositivi Cisco Nexus.

L’autore della minaccia ha modificato ripetutamente l’indirizzo dell’interfaccia loopback su uno switch compromesso e ha utilizzato tale interfaccia come origine di connessioni SSH ad altri dispositivi all’interno dell’ambiente di destinazione, il che gli ha consentito di aggirare di fatto gli elenchi di controllo di accesso (ACL) in vigore su tali dispositivi.

Un tipico attacco di Salt Typhoon

Salt Typhoon (RedMike), spesso prevede un approccio multiforme che sfrutta vulnerabilità note in dispositivi di rete ampiamente utilizzati, in particolare quelli di Cisco.

Un altro comportamento degno di nota mostrato da Salt Typhoon consiste nello sfruttare le tecniche LOTL (Living-off-the-Land) sui dispositivi di rete, abusando dell’infrastruttura affidabile come punto di snodo per passare da una società di telecomunicazioni all’altra. Di seguito viene riportata l’infrastruttura di sfruttamento di Salt Typhoon:
Infrastruttura di sfruttamento del dispositivo di rete Cisco RedMike (Fonte: Recorded Future)

Ricognizione

Salt Typhoon inizia con un’ampia ricognizione per identificare i potenziali obiettivi all’interno delle infrastrutture critiche, come i fornitori di telecomunicazioni e le istituzioni scolastiche. Questa fase può comportare la scansione dei dispositivi vulnerabili, la raccolta di informazioni sulle configurazioni di rete e l’identificazione del personale chiave.
Tecniche, Tattiche e Procedure (TTPs) degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Sfruttamento delle vulnerabilità

Il gruppo sfrutta spesso specifiche vulnerabilità nei dispositivi Cisco. Ad esempio, è noto che sfrutta vulnerabilità come CVE-2018-0171 e CVE-2023-20198. Queste vulnerabilità consentono agli aggressori di ottenere l’accesso non autorizzato ai dispositivi di rete inviando messaggi o comandi artigianali, provocando condizioni di denial-of-service o l’esecuzione di codice arbitrario.

Accesso iniziale e furto di credenziali

Una volta ottenuto l’accesso iniziale attraverso lo sfruttamento delle vulnerabilità, Salt Typhoon utilizza spesso malware come il MASOL RAT (come visto in precedenza) o kit di exploit personalizzati. Questi strumenti consentono agli aggressori di stabilire un punto d’appoggio all’interno della rete, di esfiltrare dati sensibili e di raccogliere credenziali legittime per ulteriori accessi. Il furto di credenziali è cruciale perché consente di aumentare il livello di accesso.

Come difendersi dagli attacchi di Salt Typhoon

Salt Typhoon (RedMike) ha tentato di sfruttare più di 1.000 dispositivi Cisco a livello globale. Il gruppo ha probabilmente compilato un elenco di dispositivi target in base alla loro associazione con le reti dei provider di telecomunicazioni. Insikt Group di Recorded Future ha anche osservato che RedMike stava prendendo di mira dispositivi associati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti (USA) e Vietnam.

Per proteggersi dagli attacchi di Salt Typhoon (RedMike), le organizzazioni devono implementare una strategia di cybersecurity completa che enfatizzi la gestione delle vulnerabilità, la sicurezza della rete e la formazione dei dipendenti. Ecco alcune misure chiave da considerare:

• Gestione delle patch: Aggiornare e applicare regolarmente le patch a tutto il software, in particolare ai dispositivi di rete come router e switch Cisco. Assicurarsi che le vulnerabilità note, come CVE-2018-0171, CVE-2023-20198 e CVE-2023-20273, vengano affrontate tempestivamente.
• Segmentazione della rete: Implementare la segmentazione della rete per limitare gli spostamenti laterali all’interno della rete. Ciò rende più difficile per gli aggressori accedere ai sistemi critici se riescono a compromettere una parte meno sicura della rete.
• Controlli di accesso: Applicare controlli di accesso rigorosi e il principio del minimo privilegio. Assicurarsi che gli utenti abbiano solo l’accesso necessario per i loro ruoli e rivedere e aggiornare regolarmente queste autorizzazioni.
• Autenticazione a più fattori (MFA): Abilitare l’autenticazione a più fattori per l’accesso a sistemi e applicazioni sensibili per aggiungere un ulteriore livello di sicurezza contro il furto di credenziali.
• Monitoraggio e rilevamento: Implementare solidi sistemi di monitoraggio e di rilevamento delle intrusioni per identificare attività insolite e potenziali violazioni. [Esaminare regolarmente i registri e gli avvisi di sicurezza per individuare eventuali segnali di comportamento sospetto.
• Piano di risposta agli incidenti: Sviluppare e aggiornare regolarmente un piano di risposta agli incidenti che delinei le procedure di risposta agli incidenti di cybersecurity. [6]

Conclusioni

Salt Typhoon è salito alla ribalta a causa della sua recente infiltrazione nell’infrastruttura delle telecomunicazioni commerciali. I senatori statunitensi hanno definito l’attacco “strabiliante”, affermando che dovrebbe fungere da “campanello d’allarme” per le aziende che si ritiene siano state violate, tra cui AT&T, Verizon e Lumen.

RedMike ha probabilmente preso di mira queste università per accedere alla ricerca in aree correlate a telecomunicazioni, ingegneria e tecnologia, in particolare presso istituzioni come UCLA e TU Delft. Oltre a questa attività, a metà dicembre 2024, RedMike ha anche eseguito una ricognizione di più indirizzi IP di proprietà di un provider di telecomunicazioni con sede in Myanmar, Mytel.

La continua esposizione di vulnerabilità nei dispositivi Cisco ha portato a una crescente preoccupazione tra i fornitori di servizi e le istituzioni, costringendoli a rivedere le loro strategie di sicurezza. È diventato evidente che la protezione delle reti e dei dati è di fondamentale importanza per preservare non solo la sicurezza nazionale, ma anche la fiducia del pubblico nei sistemi digitali.

Di fronte a queste minacce in evoluzione, esperti del settore e professionisti della cybersicurezza sottolineano l’importanza di misure di sicurezza robuste e difese proattive. È necessario che le organizzazioni conducano approfondite valutazioni delle loro reti, focalizzandosi in particolare sulle vulnerabilità all’interno dei dispositivi Cisco. La situazione attuale serve da monito sulla necessità di una vigilanza continua contro avversari sofisticati come Salt Typhoon e i suoi affiliati.

Mentre il gruppo continua a lanciare attacchi mirati contro infrastrutture critiche e istituzioni educative, è fondamentale che le organizzazioni di tutto il mondo migliorino le loro posture di sicurezza e collaborino per condividere informazioni, riducendo i rischi posti da tali minacce informatiche. La battaglia contro il cyber spionaggio è tutt’altro che finita, e solo attraverso uno sforzo collettivo la comunità internazionale può sperare di salvaguardare le proprie frontiere digitali.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma di Recorded Future, partner strategico di Red Hot Cyber e Leader Mondiale nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

L'articolo Salt Typhoon (RedMike): La Cyber Minaccia Cinese che Sta Scuotendo il Mondo proviene da il blog della sicurezza informatica.

Le funzionalità della nuova soluzione potenziano la gestione proattiva del rischio, il threat modeling, la previsione del percorso di attacco e mettono a disposizione insight concreti e utilizzabili.

Trend Micro, leader globale di cybersecurity trasforma il modo in cui le aziende affrontano il rischio informatico e presenta un rivoluzionario agente AI: Trend Cybertron, il primo modello LLM (Large Language Model) progettato appositamente per la cybersecurity e ideato per ottenere risultati di sicurezza proattivi. Grazie a una valutazione più precisa dei rischi a livello locale e alla intelligence globale sulle minacce più accurata del settore, il nuovo motore di intelligenza artificiale prevede e previene le minacce sull’intera superficie di attacco di un’organizzazione, in qualsiasi ambiente.

“Trend sta creando un agente AI di cybersecurity diverso da qualsiasi altro. Abbiamo raccolto un’enorme quantità di dati ad alta affidabilità da tutto il settore, per potenziare le nostre capacità e rendere più semplice che mai la gestione proattiva del rischio informatico. I nostri clienti e partner stanno già beneficiando della riduzione dei costi operativi e di un miglioramento della postura di sicurezza”. Afferma Eva Chen, CEO di Trend Micro.

Trend Cybertron è più che un semplice LLM autonomo, è un nuovo approccio all’AI per la cybersecurity che sfrutterà tutte le tecnologie principali di Trend Vision One™ – dati sulle minacce, analisi, motori e altro ancora – per fornire una soluzione veramente completa per l’intera sicurezza di un’organizzazione.

In tutto il mondo le organizzazioni affrontano sfide di sicurezza sempre più complesse. Comprendere le superfici di attacco, gestire architetture tecnologiche a silos, rispondere alle minacce, amministrare il sovraccarico di alert e integrare l’intelligenza artificiale sono tutti fattori che opprimono e affaticano i team di cybersecurity.

Trend Cybertron sfrutta sia i dati dai suoi archivi storici sia i dati in tempo reale da tutto il mondo per:

• Accelerare i risultati in termini di sicurezza anticipando le esigenze e prevedendo i rischi
• Ridurre il sovraccarico degli alert, aumentando la precisione nella definizione delle priorità e prevenendo l’affaticamento dei team di security
• Beneficiare di un maggiore valore e di informazioni più approfondite dai sensori di rischio già esistenti

Perfettamente integrata nella piattaforma di punta Trend Vision One™, Trend Cybertron è ora disponibile per i clienti in tutto il mondo.

Questo approccio alla sicurezza proattivo leader del settore consente ai team IT di anticipare e prevedere l’attività di rischio e di minaccia con estrema precisione sull’intera superficie di attacco. Questo permette di anticipare le violazioni e mitigare i rischi prima che abbiano la possibilità di materializzarsi.

“Ammettiamolo. Da qualche tempo ormai la sicurezza informatica è incentrata sul rilevamento, mentre la prevenzione è semplicemente poco alla moda. Trend sta cercando di cambiare la narrativa del mercato: non è necessario rilevare un attacco se non avviene mai. Sfruttando l’intelligenza artificiale e combinandola con la gestione dell’esposizione al rischio informatico, Trend consente alle organizzazioni di vedere le minacce dal punto di vista di un attaccante e contrastarle prima che il rischio diventi realtà. Questo genera un enorme ROI per i team di sicurezza oberati di lavoro. Nel 2025, Trend promette di rendere nuovamente alla moda la prevenzione proattiva”. Dichiara Frank Dickson, Group Vice President, Security & Trust at IDC.

Trend Cybertron sarà addestrato su una base dati senza precedenti di intelligence e competenze AI, che include:

• L’intelligence sulle minacce di Trend, alimentata da oltre 250 milioni di sensori che proteggono più di 82 milioni di risorse presso 500.000 aziende in 175 Paesi. È la più ampia del settore e nel 2023 ha bloccato 160 miliardi di minacce
• Il machine learning, che consente la classificazione dei dati, l’individuazione delle vulnerabilità e il rilevamento di deepfake, tecniche di phishing, malware, movimenti laterali, anomalie degli utenti e truffe
• Decenni di conoscenza di oltre 3.000 esperti di sicurezza, con all’attivo più di 700 brevetti nella cybersecurity
• Oltre 20 anni di ricerca su vulnerabilità avanzate e zero-day della Trend Micro Zero Day Initiative™, che protegge i clienti con una media di 70 giorni di anticipo rispetto ai competitor, nel momento in cui viene scoperta una vulnerabilità

Il risultato è un sistema altamente resiliente e in rapida evoluzione in grado di eseguire in modo indipendente attività di gestione del rischio e prendere decisioni per anticipare, comprendere e mitigare, ogni mese, miliardi di minacce informatiche in tutto il mondo. Questo permette alle aziende di prendere decisioni informate sulla sicurezza e di gestire la propria postura di sicurezza informatica, la privacy dei dati e la conformità.

“Trend Cybertron combina l’intelligenza artificiale avanzata con decenni di intelligenza umana, per questo rappresenta un cambio di paradigma nella sicurezza informatica e fornisce una sicurezza veramente proattiva. Sfruttando la nostra storica intelligence globale e quella in tempo reale, insieme a una visibilità completa su ogni superficie di attacco, consentiamo alle aziende di prevedere e prevenire le minacce, ridurre i rischi e creare un futuro più resiliente”. Commenta Rachel Jin, Chief Enterprise Platform Officer at Trend.

Trend Cybertron ridefinisce gli standard del mercato in aree chiave come:

• AI per la Security: Trend abbatte gli storici silos di sicurezza attraverso la connessione completa di tutte le informazioni disponibili, per creare una visione completa di sicurezza, intelligence e dati.

Grazie alla possibilità di accedere in modo sicuro ai dati da tutti i livelli, i team di sicurezza possono prendere decisioni informate con una profondità di comprensione che supera qualsiasi piattaforma di sicurezza informatica precedente. Il rischio di violazione dei dati è ridotto in media del 17%. Questo permette un risparmio di milioni di euro all’anno in rischi potenziali

• Security per l’AI: La rapida espansione dell’intelligenza artificiale ha sollevato preoccupazioni anche per la sicurezza dei dati. Un numero crescente di imprese e governi in tutto il mondo sta addestrando LLM proprietari per ridurre i rischi associati. Trend rende più sicuro e semplice che mai, per le organizzazioni di ogni dimensione e settore, proteggere i dati per l’addestramento, prevenire il disallineamento e fermare gli attacchi informatici contro i modelli di AI

• Insight concreti e utilizzabili: Grazie a una telemetria completa su endpoint, cloud, reti, e-mail, identità, AI e dati, Trend abilita previsioni in tempo reale e simula l’impatto e la probabilità di migliaia di potenziali percorsi di attacco. La piattaforma, inoltre, apprende e si adatta all’ambiente unico di ogni azienda per individuare e affrontare nuove vulnerabilità e vettori di attacco. La visibilità completa e la definizione automatica delle priorità forniscono alle organizzazioni una mitigazione rapida ed efficace 24 ore su 24, 7 giorni su 7

• Semplificazione dei workflow: Il nuovo modello di intelligenza artificiale è progettato per migliorare la piattaforma di punta di Trend e garantisce che le organizzazioni, in qualsiasi fase del loro percorso di cybersecurity, possano integrare perfettamente questa tecnologia con il loro stack di sicurezza esistente. I team di sicurezza beneficiano di workload ridotti e di una migliore accessibilità a tutti i livelli di competenza

• Rafforzare la leadership: Trend Vision One™ supera le altre piattaforme di sicurezza informatica e consente ai leader di cybersecurity di cambiare ruolo, da difensori reattivi ad abilitatori proattivi di business. Trasformando la sicurezza da un centro di costo a motore di innovazione, Trend consente ai leader di comunicare in modo efficace il rischio informatico in un contesto di business risk, garantendo sia la protezione operativa sia la crescita futura. Una ricerca Trend Micro ha dimostrato che questo è un problema critico per molte organizzazioni in tutto il mondo

La potenza dell’intelligenza artificiale si basa sull’efficacia dei dati su cui è addestrata e sulle capacità degli esperti che la costruiscono. Il team globale di specialisti di sicurezza e di intelligenza artificiale di Trend ha collaborato a Ottawa, in Canada, per perfezionare ogni fase di sviluppo, assicurando che il nuovo agente AI sia in grado di offrire la sicurezza proattiva più efficace.

Gli analisti del settore riconoscono che Trend è leader in categorie critiche di sicurezza, come protezione degli endpoint, gestione delle superfici di attacco, piattaforme per la protezione di applicazioni cloud native, analisi e visibilità della rete, rilevamento e risposta della rete e altro ancora. Trend è anche un pioniere nell’implementazione dell’intelligenza artificiale nell’ambito della cybersecurity, con entrate annuali ricorrenti che provengono da tecnologie di AI che hanno superato i 200 milioni di dollari alla fine del terzo trimestre del 2024.

Trend Cybertron combina le capacità di ragionamento dell’AI agentica con 35 anni di dati, informazioni sulle minacce e competenze umane, per creare un agente di sicurezza informatica estremamente capace.

L'articolo Trend Micro presenta Cybertron: la prima soluzione AI per la sicurezza proattiva proviene da il blog della sicurezza informatica.

Gli hacker cinesi hanno avuto accesso al sistema di posta elettronica del Comitato nazionale repubblicano per mesi prima che l’intrusione venisse scoperta. Il Wall Street Journal ha riferito che all’inizio di luglio 2024 Microsoft aveva avvisato i repubblicani di un attacco informatico avvenuto poco prima della convention nazionale del partito.

Gli esperti ipotizzano che le spie cercassero informazioni su come i repubblicani, una volta tornati al potere, avrebbero gestito la questione di Taiwan. A quanto pare, nei documenti del partito non c’è alcun accenno all’isola, cosa che avrebbe potuto interessare l’intelligence cinese. Nella precedente piattaforma del 2016, il Partito Repubblicano sosteneva un accordo di libero scambio con Taiwan, ma nella nuova versione questo punto mancava.

Secondo il WSJ, i politici hanno saputo dell’attacco solo pochi giorni prima dei tentativi di assassinio di Donald Trump , ma non venne contattata l’FBI a causa delle preoccupazioni circa la fuga di informazioni alla stampa. Nello stesso periodo, il governo degli Stati Uniti ha lanciato l’allarme sui possibili attacchi informatici cinesi alle infrastrutture critiche del Paese. La discussione verteva sull’introduzione di malware nei sistemi di approvvigionamento idrico, energetico e di comunicazione. Gli esperti ritengono che, in caso di conflitto su Taiwan, Pechino potrebbe attivare programmi dannosi, provocando il caos negli Stati Uniti.

Un mese prima, uno simile incidente è accaduto con le e-mail della campagna di Trump: gli hacker iraniani hanno rubato la corrispondenza e l’hanno fatta trapelare ai media.

L’FBI ha rifiutato di commentare la questione e i rappresentanti di Microsoft e del Partito Repubblicano non hanno ancora risposto alle richieste di commento. Non è ancora chiaro se questi attacchi siano collegati al gruppo Salt Typhoon, che precedentemente hackerato Le reti di telecomunicazioni americane avendo accesso a telefonate intercettate, messaggi di testo e altri dati sensibili.

Secondo le informazioni disponibili, tra le vittime dell’attacco potrebbero esserci Donald Trump e il suo vicepresidente J.D. Vance.

L'articolo Gli Hacker Cinesi erano nei Server dei Repubblicani Statunitensi per mesi proviene da il blog della sicurezza informatica.

L’aggregatore di fughe di dati Have I Been Pwned (HIBP) ha aggiunto al suo database più di 284 milioni di account rubati da infostealer e diffusi tramite Telegram. Il fondatore di HIBP, Troy Hunt, ha riferito di aver trovato 284.132.969 account compromessi analizzando 1,5 TB di registri di stealer, apparentemente raccolti da più fonti e pubblicati sul canale Telegram ALIEN TXTBASE.

“Questi registri contengono 23 miliardi di righe e 493 milioni di coppie sito web/email univoche, che interessano 284 milioni di indirizzi email univoci”, ha scritto Hunt in un post sul blog. “Abbiamo anche aggiunto 244 milioni di password mai viste prima al database Pwned Passwords e aggiornato i dati di altre 199 milioni di password che erano già presenti nel nostro database.”

Dato l’elevato numero di account in questo dump, si ritiene che la raccolta possa contenere credenziali vecchie e nuove rubate tramite attacchi di credential stuffing e varie fughe di dati. Prima di aggiungere le informazioni al database HIBP, Hunt ne ha verificato l’autenticità tentando di reimpostare le password di vari servizi utilizzando gli indirizzi e-mail presenti nel dump.

Ora, utilizzando le API appena aggiunte (che consentono di cercare 1.000 indirizzi e-mail al minuto e di cercare nei registri degli stealer), i proprietari di domini e gli operatori di siti che si abbonano a HIBP possono identificare i propri clienti le cui credenziali sono state rubate controllando i registri degli stealer più recenti per dominio e-mail o dominio del sito.

Anche gli utenti stessi potranno scoprire se i loro account sono stati trovati nei registri degli stealer di ALIEN TXTBASE, ma per questo dovranno abbonarsi alle notifiche di HIBP. “Questo mostrerà in quali siti sono state trovate le credenziali, ma solo se l’utente utilizza il servizio di notifica per verificare il proprio indirizzo email. “Non volevo rendere pubblica questa informazione perché avrebbe potuto rendere pubbliche informazioni sull’uso di servizi riservati”, spiega Hunt.

Ricordiamo che non è la prima volta che il database HIBP viene integrato con dati raccolti dai canali Telegram. Ad esempio, l’anno scorso, l’aggregatore di informazioni ha aggiunto un grosso dump al suo database contenente 361 milioni di indirizzi e-mail, nonché credenziali raccolte da numerosi canali Telegram di hacker, dove le informazioni rubate vengono spesso fornite gratuitamente agli abbonati come combo per aumentare la loro reputazione.

L'articolo Hai un account compromesso? 284 milioni di credenziali rubate aggiunte su HIBP! proviene da il blog della sicurezza informatica.