AI continues to be used in new and exciting ways… like generating spam messages. Yes, it was inevitable, but we now have spammers using LLM to generate unique messages that don’t register as spam. AkiraBot is a Python-powered tool, designed to evade CAPTCHAs, and post sketchy SEO advertisements to web forms and chat boxes around the Internet.

AkiraBot uses a bunch of techniques to look like a legitimate browser, trying to avoid triggering CAPTCHAs. It also runs traffic through a SmartProxy service to spread the apparent source IP around. Some captured logs indicate that of over 400,000 attempted victim sites, 80,000 have successfully been spammed.

SSRF Attacking AWS

March brought a spike in instances of an interesting EC2 attack. F5 labs has the details, and it’s really pretty simple. Someone is sending requests ending in /?url=hxxp://169.254.169.254/latest/meta-data/iam/security-credentials/, with the hope that the site is vulnerable to a Server Side Request Forgery (SSRF).

That IP address is an interesting one. It’s the location where Amazon EC2 makes the Instance Metadata Service available (IMDSv1). Version 1 of this service completely lacks authentication, so a successful SSRF can expose whatever information that service makes available. And that can include AWS credentials and other important information. The easiest fix is to upgrade the instance to IMDSv2, which does have all the authentication features you’d expect.

SAP and setuid

Up next is this Anvil Secure report from [Tao Sauvage], about finding vulnerable setuid binaries in the SAP Linux images.

Setuid is a slightly outdated way to allow a less-privileged user to run a binary with elevated privileges. The simplest example is ping, which needs raw socket access to send special ICMP packets. The binary is launched by the user, escalates its privileges to send the packet, and then terminates without actually breaking the security barrier. At least that’s what is supposed to happen. In reality, setuid binaries are a consistent source of privilege escalation problems on Linux. So much so, that it’s now preferred to use the capabilities functionality to achieve this. But that’s fairly new, and many distros just give binaries like ping the setuid bit.

This brings us to SAP’s Linux images, like SAP HANA Express. These images include a small collection of custom setuid binaries, with icmbnd and hostexecstart catching our researcher’s eyes. icmbnd notably has the -f flag to specify the output file for a debug trace. That’s a typical setuid problem, in that a user can specify an oddball location, and the binary will change the system’s state in unexpected ways. It’s an easy denial of service attack, but is there a way to actually get root? It turns out the the Linux /etc/passwd file is particularly resilient. Lines that don’t make any sense as password entries are just ignored. Inject a pair of newlines and a single valid passwd entry into the passwd file, and you too can be root on an SAP system.

The hostexecstart vulnerability is a bit more involved. That binary starts and stops the SAP Host Agent on the system. That would be a dead end, except it can also take a SAR archive and upgrade the system agent. [Tao] chased a couple of dead ends regarding library injection and SAR archive signing, before finally using another standard setuid technique, the symbolic link. In this case, link the /etc/passwd file to the local sapcar_output location, and include a malicious passwd line inside a cooked SAR archive. hostexecstart tries to unpack the archive, and outputs the log right into the local sapcar_output file. But that file is really a symbolic link, and it once again clobbers passwd.

Google’s Take on End-to-end-encryption

We’re fans of end-to-end encryption around here. If Alice had a message that’s only intended for Bob to see, then it seems only right that Bob is really the only one that can read the message. The reality of modern cryptography is that this is 100% possible via RSA encryption, and the entire variety of asymmetric encryption schemes that followed. The problem with actually using such encryption is that it’s a pain. Between managing keys, getting an email client set up properly, and then actually using the system in practice, end-to-end asymmetric encryption is usually just not worth the hassle for everyday people.

Google feels that pain, and is bringing easy end-to-end encryption to business Gmail accounts. Except, it’s not actually asymmetric encryption. This works using the key access control list (KACL). Here Alice writes a message, and asks the KACL server for a key to use to send it to Bob. The server provides a symmetric key, and Alice encrypts the message. Then when Bob receives the message, he asks the same server for the same key, and the server provides it, allowing him to decrypt the message.

So is this actually end-to-end encryption? Yes, but also no. While this solution does mean that Google never has the key needed to decrypt the message, it also means that whoever is running the KACL server does have that key. But it is better than the alternative. And the technique in use here could be adapted to make true symmetric encryption far easier for end users.

Ivanti Connect Active Exploit

Google’s Mandiant has announced that Ivanti Connect Secure boxes are under active exploitation via an n-day exploit. This is a buffer overflow that Ivanti discovered internally, and patched in February of this year. The overflow was considered to be strictly limited to denial of service, as the characters written to memory could only be digits and the dot symbol. If that sounds like an IP address, just hang on, and we’ll get there.

It’s apparent that malware actors around the world are actively checking for potential vulnerabilities in Ivanti firmware updates, as the group Mandiant calls UNC5221 has apparently worked out a way to achieve Remote Code Execution with this vulnerability, and is using it to deploy malware on these systems. This is thought to be the same Chinese group that Microsoft appropriately calls Silk Typhoon.

Our friends at watchTowr have dug a bit more into this issue, and found the exact vulnerable code. It’s in HTTP header handling code, where a specific header is first limited to numerals and the period, and then copied into a fixed size buffer. Remember that observation that this sounds like an IP address? The header is X-Forwarded-For, and setting that to a long string of numbers on a vulnerable Ivanti box will indeed trigger a crash in the web binary. There’s no word yet on how exactly that was used to achieve RCE, but we’re very much hoping the rest of the story comes to light, because it’s an impressive feat.

Bits and Bytes

About 100,000 WordPress sites have a real problem. The Ottokit plugin has an authentication bypass issue, where a blank API key can be matched by setting an empty st_authorization header in an incoming request. The flaw was reported privately on April 3rd, and a fixed version was released the same day. But within hours exploitation attempts were seen in the wild.

Legacy Gigacenter devices expose a TR-069 service on port 6998. That service can be accessed with a simple telnet connection, and the commands entered here are not properly sanitized before being evaluated. Anything inside a $() substitution string is executed locally: $(ping -c5 your.ip.address) This makes for an exceedingly trivial remote code execution attack on these devices.

And finally, the Langflow AI workflow tool has a simple remote exploit vulnerability fixed in version 1.3.0. This vulnerability notably allows bypassing authentication through an API endpoint. While Langflow has Python execution by design, doing it while bypassing authentication is a definite problem. You should update to 1.3.0, and don’t expose Langflow to the Internet at all if you can help it.

hackaday.com/2025/04/11/this-w…

Microsoft ha registrato una distribuzione su larga scala di e-mail dannose che sfruttano argomenti relativi alla dichiarazione dei redditi per rubare dati e installare malware.

La particolarità di queste campagne è l’impiego di tecniche moderne per aggirare filtri e sistemi di sicurezza: gli aggressori introducono codici QR, accorciatori di link, servizi legittimi di archiviazione di file e profili aziendali per non destare sospetti nei sistemi antivirus e nei gateway di posta.

Le campagne sono rivolte a utenti aziendali e privati ​​che vengono attirati verso pagine di accesso false tramite la piattaforma di phishing RaccoonO365. Viene utilizzato per raccogliere le credenziali di Microsoft 365 e distribuire payload dannosi come i trojan remoti Remcos, GuLoader, AHKBot, i downloader Latrodectus e il framework di test di penetrazione e post-sfruttamento BruteRatel C4.

Uno degli attacchi, scoperto il 6 febbraio 2025, aveva come target gli utenti statunitensi ed era attivamente diffuso tramite file PDF con link che rimandavano a una falsa pagina DocuSign. Dopo aver cliccato sul collegamento, venivano controllati il ​​sistema e l’indirizzo IP della vittima: se il dispositivo veniva considerato “promettente”, veniva scaricato JavaScript, che installava un file MSI dannoso con BRc4 e poi scaricava Latrodectus. In altri casi, l’utente riceveva un file innocuo, il che riduceva il rischio che il sistema venisse scoperto.

Un’altra campagna, registrata tra il 12 e il 28 febbraio, è stata ancora più grande: più di 2.300 organizzazioni nei settori IT, ingegneria e consulenza sono state vittime di una mailing con PDF contenenti codici QR. Questi codici portavano alle pagine di phishing di RaccoonO365 camuffate da interfaccia di accesso di Microsoft 365, costringendo così i dipendenti a inserire i propri nomi utente e password.

Gli scenari di phishing variano notevolmente. Nel caso di AHKBot, all’utente veniva offerto un documento Excel con macro: dopo averle attivate, iniziava una catena di download che si concludeva con l’installazione di uno script AutoHotKey. Catturava degli screenshot e li trasmetteva a un server remoto. La campagna GuLoader ha utilizzato archivi ZIP con etichette che assomigliavano a moduli fiscali. Una volta aperto, è stato avviato PowerShell, che ha avviato il download del codice dannoso e l’installazione di Remcos RAT.

Sempre più spesso gli aggressori utilizzano strumenti per aggirare filtri e gateway di sicurezza: ad esempio, file SVG per aggirare i sistemi anti-spam, finestre del browser false (BitB) che imitano le interfacce di accesso e l’uso dei servizi Adobe, Dropbox, Zoho e DocuSign per nascondere attività dannose.

I ricercatori hanno prestato particolare attenzione alle azioni del gruppo Storm-0249. Tra le sue campagne più recenti rientrano il reindirizzamento degli utenti a false pagine di download di Windows 11 Pro tramite annunci di Facebook, che hanno portato all’installazione di Latrodectus. Una versione aggiornata del malware, rilevata a febbraio, includeva nuovi comandi e un modo per persistere nel sistema tramite attività pianificate.

L'articolo Benvenuto nel mondo delle Botnet! Apri un file PDF e perdi tutto proviene da il blog della sicurezza informatica.

Un avviso è comparso sul sito ufficiale di Busitalia, la società del gruppo Ferrovie dello Stato che gestisce il trasporto pubblico nelle province di Padova e Rovigo. In mezzo agli aggiornamenti sulle nuove corse e alle modifiche delle linee, è stato pubblicato un comunicato dal titolo inequivocabile: “Comunicazione di una violazione dei dati personali”.

Nei giorni scorsi Busitalia è stata vittima di un attacco informatico che ha compromesso i dati personali dei passeggeri registrati. L’incidente riguarda in particolare i canali digitali come l’App Busitalia Veneto e il portale abbonamenti, che vengono utilizzati quotidianamente da migliaia di utenti per gestire spostamenti e titoli di viaggio.
Si informano i clienti dei servizi di trasporto di Busitalia Veneto S.p.A. che i canali App Busitalia Veneto e il portale abbonamenti on line gestiti da un fornitore esterno quale Responsabile del trattamento, hanno subito una violazione dei dati personali.

Nello specifico, il fornitore ha comunicato che è stata riscontrata a livello di un data center esterno, una violazione dei dati personali (esfiltrazione non autorizzata verso un cloud esterno) causata da attività malevole di attori esterni non identificati, avvenuta tra il 29 e il 30 marzo 2025.

Di tali fatti, è stata trasmessa comunicazione a Busitalia Veneto S.p.A. in data 4 aprile u.s., quale Titolare del trattamento dei dati personali in argomento. Nel dettaglio, il fornitore ha comunicato che:

· le categorie di interessati coinvolte sono: Utenti/Contraenti/Abbonati/Clienti attuali o potenziali;

· le categorie di dati personali oggetto della violazione sono: dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider;

· le probabili conseguenze della violazione per gli interessati riguardano la potenziale perdita di riservatezza (possibilità che i dati siano divulgati al di fuori di quanto previsto dall’informativa ovvero dalla disciplina di riferimento) e perdita di disponibilità (mancato accesso a servizi, malfunzionamento e difficoltà nell’utilizzo di servizi);

· non appena rilevata la violazione, il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche ed azioni di sicurezza;

· sono state adottate e sono in corso di adozione misure per contenere la violazione e attenuarne gli effetti, nonché volte a prevenire il ripetersi di violazioni analoghe.

Si consiglia comunque, in via del tutto precauzionale, di modificare la password dell’account e di prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali.

L’Azienda si è immediatamente attivata per analizzare quanto accaduto e per mettere in atto tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Clienti. In particolare, Busitalia Veneto S.p.A., oltre al presente comunicato, ha ritenuto di effettuare:

• la notifica preliminare all’Autorità Garante per la protezione dei dati personali;

• la richiesta di informazioni al Responsabile del trattamento, ai sensi dell’art. 28, par. 3, lettere f) e g), del GDPR affinché assista Busitalia Veneto S.p.A. nel garantire il rispetto degli artt. da 32 a 36, con particolare riferimento alla gestione della violazione dei dati personali e alle misure di sicurezza implementate a seguito della stessa.

Per ulteriori informazioni in ordine alla violazione in argomento, le richieste possono essere presentanti direttamente ai contatti istituzionali della società. di seguito indicati:
• privacy@fsbusitaliaveneto.it
• protezionedati@fsbusitalia.it

Infine, si desidera rassicurare i Clienti che Busitalia Veneto S.p.A. è impegnata a proteggere e a salvaguardare qualsiasi dato personale e, anche in questa circostanza, agirà nell’interesse e per la tutela dei diritti dei propri Clienti.

Rimarremo costantemente in contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni altra iniziativa volta a mitigare i possibili effettivi di quanto verificatosi.
La società ha prontamente informato i clienti, specificando che l’attacco ha potenzialmente esposto informazioni sensibili. Tuttavia, non sono ancora stati resi noti i dettagli tecnici sull’entità dell’intrusione, né quali dati siano stati effettivamente compromessi. Busitalia ha dichiarato di aver immediatamente avviato le procedure di sicurezza previste dal GDPR e di essere al lavoro per limitare gli impatti dell’incidente.

Secondo le prime ricostruzioni, l’accesso non autorizzato ai sistemi avrebbe potuto permettere la visualizzazione di dati personali come “dati anagrafici, dati di contatto, dati di profilazione, dati relativi all’ubicazione. Non sono stati invece coinvolti i dati relativi alle carte di credito, in quanto conservati presso i sistemi di Payment Service Provider”

L’accaduto sottolinea ancora una volta la crescente vulnerabilità dei sistemi informatici nel settore dei trasporti pubblici. In un contesto in cui la digitalizzazione dei servizi è sempre più centrale, episodi come questo richiamano l’urgenza di investire in soluzioni di cybersecurity più robuste e in una maggiore sensibilizzazione degli utenti.

L'articolo Attacco hacker a Busitalia: compromessi i dati dei passeggeri proviene da il blog della sicurezza informatica.

It is hard to imagine that it has been more than four decades since two of the original designers of the Sinclair ZX Spectrum broke off to market the Jupiter Ace. [Nemanja Trifunovic] remembers the tiny computer in a recent post, and we always love to recall the old computers that used TVs for screens and audio tape recorders for mass storage.

One thing we always loved about the Jupiter Ace is that while most computers of the era had Basic as their native tongue, the Ace used Forth. As the post points out, while this may have given it great geek cred, it didn’t do much for sales, and the little machine was history within a year. However, the post also proposes that Forth wasn’t the real reason for the machine’s lack of commercial success.

Why did they pick Forth? Why not? It is efficient and interactive. The only real disadvantage was that Basic was more familiar to more people. Books and magazines of the day showed Basic, not Forth. But, according to the post, the real reason for its early demise was that it was already using outdated hardware from day one.

The Ace provided only 3K of RAM and did not offer color graphics. While this may sound laughable today, it wasn’t totally out of the question in 1978. Unfortunately, the Ace debuted in 1982. There were options that offered much more for just a little less. There is also the argument that as users became less technical, they just wanted to load pre-programmed tapes or cartridges and didn’t really care what language was running the computer.

Maybe, but we did and we can’t help but imagine a future where Forth was the language of choice for personal computers. Given how few of these were made, we see a lot of projects around them or, at least, replicas. Of course, these days that can be as simple as a single chip.

hackaday.com/2025/04/11/the-ju…

Il colosso della tecnologia Google ha rilasciato 62 vulnerabilità delle quali due sotto sfruttamento attivo e ha riconosciuto che entrambe le carenze potrebbero essere state sfruttate “limitatamente e in modo mirato”. Di seguito i dettagli delle due vulnerabilità di gravità elevata:

• CVE-2024-53150 (punteggio CVSS: 7,8) – Un difetto di out-of-bounds flaw nel sottocomponente USB del kernel che potrebbe causare la divulgazione di informazioni.
• CVE-2024-53197 (punteggio CVSS: 7,8) – Un difetto di privilege escalation nel sottocomponente USB del kernel.

Vale la pena notare che CVE-2024-53197 è radicato nel kernel Linux ed è stato patchato l’anno scorso, insieme a CVE-2024-53104 e CVE-2024-50302. Secondo Amnesty International, tutte e tre le vulnerabilità sarebbero state concatenate insieme per compromettere il telefono Android di un giovane attivista serbo nel dicembre 2024.

Mentre CVE-2024-53104 è stata risolta da Google a febbraio 2025 e CVE-2024-50302 è stata corretta il mese scorso, con l’ultimo aggiornamento tutte e tre le falle sono state ora sanate, bloccando definitivamente il percorso di exploit.

Al momento, non sono ancora chiari i dettagli su come CVE-2024-53150 sia stato sfruttato in attacchi reali, né chi sia responsabile o quali siano stati i bersagli. Google raccomanda agli utenti Android di applicare gli aggiornamenti non appena resi disponibili dai produttori (OEM).

L'articolo Android a Rischio: Scoperti due bug zeroday utilizzati attivamente in attività di spionaggio proviene da il blog della sicurezza informatica.

Would-be spooks and spies, take note: this one-transistor FM transmitter is a circuit you might want to keep in mind for your bugging needs. True, field agents aren’t likely to need to build their own equipment, but how cool a spy would you be if you could?

Luckily, you won’t need too many parts to recreate [Ciprian (YO6DXE)]’s project, most of which could be found in a decently stocked junk bin, or even harvested from e-waste. On the downside, the circuit is pretty fussy, with even minor component value changes causing a major change in center frequency. [Ciprian] had to do a lot of fiddling to get the frequency in the FM band, particularly with the inductor in the LC tank circuit. Even dropping battery voltage shifted the frequency significantly, which required a zener diode to address.

[Ciprian] ran a few tests and managed to get solid copy out to 80 meters range, which is pretty impressive for such a limited circuit. The harmonics, which extend up into the ham bands and possibly beyond, are a bit of a problem; while those could be addressed with a low-pass filter, in practical terms, the power of this little fellow is probably low enough to keep you from getting into serious trouble. Still, it’s best not to push your luck.

While you’re trying your hand at one-transistor circuits, you might want to try [Ciprian]’s one-transistor CW transceiver next.

youtube.com/embed/NxbeOI3g_Gc?…

hackaday.com/2025/04/11/brush-…

Abbiamo già osservato come il tempo tra la divulgazione pubblica di un exploit e il suo sfruttamento reale si stia accorciando sempre di più. Questa tendenza è direttamente legata alla lentezza con cui molte aziende applicano le patch di sicurezza, un aspetto su cui è urgente riflettere.

Anche in questo caso, i criminali informatici hanno iniziato a sfruttare il bug sul popolare plugin OttoKit (in precedenza Trigger sicuri ) per WordPress appena poche ore dopo la sua divulgazione pubblica. La vulnerabilità consente di aggirare l’autorizzazione e di ottenere il controllo completo del sito.

OttoKit offre agli utenti la possibilità di automatizzare azioni su un sito WordPress senza scrivere codice: collegare altri plugin e servizi di terze parti come WooCommerce, Mailchimp e Google Sheets, inviare e-mail, aggiungere utenti o aggiornare i sistemi CRM. Secondo le statistiche, il plugin è utilizzato su più di 100 mila siti.

Alla vulnerabilità è stato assegnato un identificatore CVE-2025-3102 e riguarda tutte le versioni di OttoKit e SureTriggers fino alla 1.0.78 inclusa. È stata scoperta dagli specialisti di Wordfence i quali hanno ricevuto un messaggio da un ricercatore con lo pseudonimo di mikemyers. Per la scoperta sono state ricevute ricompense per 1.024 dollari. Il fornitore ha risposto prontamente: il 3 aprile è stata rilasciata una versione aggiornata, la 1.0.79, che ha risolto il problema.

L’errore principale era nella funzione authenticate_user(), che è responsabile della verifica dei diritti di accesso tramite la REST API. In assenza di una chiave API, il plugin memorizza un valore secret_key vuoto e non è stato effettuato alcun controllo per i valori vuoti nel codice vulnerabile. Ciò consentiva agli aggressori di inviare semplicemente un’intestazione st_authorization con un valore vuoto e di ottenere l’autorizzazione.

In questo modo, un aggressore potrebbe ottenere l’accesso agli endpoint API protetti, creare un account amministratore e assumere il controllo del sito. Inoltre, tali azioni possono essere facilmente automatizzate. Secondo i dati di Patchstack gli aggressori hanno iniziato a sfruttare attivamente il bug appena quattro ore dopo la sua pubblicazione nel database dell’azienda.

I ricercatori hanno notato che gli attacchi sono accompagnati dalla creazione di nuovi account amministratore con login, password e indirizzi e-mail casuali. Ciò indica la natura automatizzata degli attacchi, che molto probabilmente utilizzano script o bot.

Al momento, si consiglia vivamente agli utenti del plugin di aggiornarlo alla versione 1.0.79 il prima possibile. Dovresti anche controllare manualmente i registri per individuare attività sospette: comparsa di nuovi account, installazione di temi e plugin sconosciuti, modifica delle impostazioni di sicurezza o eventi di accesso al database.

Questa situazione dimostra chiaramente quanto sia importante applicare immediatamente gli aggiornamenti non appena le vulnerabilità vengono divulgate pubblicamente. Anche un ritardo di poche ore può rivelarsi critico.

L'articolo Riflessioni sul Patch Management. Dopo solo 4 ore dalla pubblicazione dell’exploit, lo sfruttamento proviene da il blog della sicurezza informatica.

Nelle ultime ore è comparso su sul noto forum underground chiuso in lingua russa XSS un annuncio particolarmente interessante pubblicato dall’utente redblueapple2. L’inserzione propone la vendita di accesso amministrativo a un’infrastruttura aziendale italiana operante nella produzione cartaria, con un fatturato dichiarato di circa 10 milioni di dollari.

L’accesso offerto include credenziali di Domain Admin, con la possibilità di ottenere ulteriori credenziali, accesso remoto tramite AnyDesk, e una vasta quantità di dati aziendali, stimati in almeno 700 GB su un singolo host, oltre a numerosi database su altri server. L’inserzione segnala anche la presenza di Trend Micro AV (antivirus) su alcuni sistemi, ma non su tutta la rete. La rete interessata comprende diversi segmenti /24 (tipiche classi di sottoreti IP).

Il prezzo richiesto è 10.000 dollari, con la possibilità di trattativa.

Analisi della Criticità e affidabilità del Threat Actors

Se questa offerta fosse reale e concreta, le conseguenze per l’azienda sarebbero gravissime:

• Compromissione Totale: Il possesso di un account Domain Admin consente il controllo assoluto della rete: gestione utenti, dispositivi, accessi, policy di sicurezza.
• Furto e Diffusione di Dati Sensibili: I 700 GB di dati, più i database distribuiti su altri server, rappresentano un’enorme esposizione di dati industriali, finanziari e personali.
• Minaccia di Ransomware: Gli accessi venduti potrebbero essere utilizzati per lanciare attacchi ransomware devastanti.
• Attacchi Persistenti (APT): L’ampia esposizione e il controllo sugli endpoint permettono la creazione di backdoor e meccanismi di persistenza a lungo termine.
• Possibili Ripercussioni Legali: In caso di violazione dei dati personali (GDPR), l’azienda rischia multe pesanti e danni reputazionali irreparabili.

L’autore dell’annuncio, redblueapple2, si è registrato a gennaio 2023 e ha una bassa attività (10 post, nessuna reazione). Questo solleva alcuni dubbi:

• Pro: Annuncio dettagliato, informazioni tecniche abbastanza precise.
• Contro: Poca storia verificabile; potrebbe essere un tentativo di scam (truffa) o un annuncio di accessi già compromessi da altri e rivenduti.

Nei forum underground, la credibilità degli Initial Access Broker (IAB) è fondamentale: i venditori consolidati pubblicano prove di accesso (screenshot di sistemi interni, liste di host, ecc.), accettano escrow (servizi di deposito a garanzia) e ricevono feedback positivi. Questo annuncio, per ora, non mostra tali prove pubbliche.

Conclusioni

Gli Initial Access Broker (IAB) sono figure chiave nell’ecosistema cybercriminale. Il loro compito è ottenere accessi a reti aziendali (tramite phishing, exploit, vulnerabilità RDP, ecc.) e rivenderli ad altri attori malintenzionati, come:

• Gruppi ransomware, che utilizzano gli accessi per criptare dati e chiedere riscatti.
• Criminali finanziari, per furti di dati bancari o carte di credito.
• Spie industriali, per il furto di proprietà intellettuale.
• Altri broker, per “catene” di rivendita.

Gli IAB riducono i tempi e i costi di un attacco, permettendo ai gruppi specializzati di concentrarsi sulle fasi più redditizie (esfiltrazione, ransomware deployment, estorsione).

Questo tipo di annuncio sottolinea ancora una volta l’importanza di rafforzare la sicurezza interna, implementare monitoraggi avanzati delle reti, controllare rigorosamente gli accessi remoti, e mantenere antivirus e sistemi sempre aggiornati. Se confermato, l’accesso venduto rappresenta una minaccia seria non solo per l’azienda specifica, ma anche per l’intero ecosistema economico e industriale italiano.

L'articolo Una Azienda italiana Sta per essere Violata! Accesso in vendita e revenue da 10 milioni di dollari proviene da il blog della sicurezza informatica.

Il dettaglio elenca "attività connesse alla vita sociale, ad esempio accompagnatori e di accompagnatrici (escort)", le agenzie "di incontro e matrimoniali" e poi la "fornitura o organizzazione di servizi sessuali", l'organizzazione di "eventi di prostituzione o gestione di locali di prostituzione", e l'organizzazione di "incontri e altre attività di speed networking".

agi.it/economia/news/2025-04-1…

If you paid attention to advertising in 1980s Britain, you were never far from Economy 7. It was the magic way to heat your house for less, using storage heaters which would run at night using cheap electricity, and deliver warmth day-long. Behind it all was an unseen force, a nationwide radio switching signal transmitted using the BBC’s 198 kHz Long Wave service. Now in 2025 the BBC Radio 4 Long Wave service it relies on is to be turned off, rendering thousands of off-peak electricity meters still installed, useless. [Ringway Manchester] is here to tell the tale.

The system was rolled out in the early 1980s, and comprised of a receiver box which sat alongside your regular electricity meter and switched in or out your off-peak circuit. The control signal was phase-modulated onto the carrier, and could convey a series of different energy use programs. 198 kHz had the useful property due to its low frequency of universal coverage, making it the ideal choice. As we’ve reported in the past the main transmitter at Droitwich is to be retired due to unavailability of the high-power vacuum tubes it relies on, so now time’s up for Economy 7 too. The electricity companies are slow on the uptake despite years of warning, so there’s an unseemly rush to replace those old meters with new smart meters. The video is below the break.

The earliest of broadcast bands may be on the way out, but it’s not entirely over. There might even be a new station on the dial for some people.

youtube.com/embed/DEjDdtCRNlQ?…

hackaday.com/2025/04/10/farewe…

Il confine tra il mondo fisico e quello digitale si sta assottigliando sempre di più. Fin dall’alba dei tempi, il concetto di “casa” ha rappresentato un pilastro fondamentale dell’esistenza umana. Non si tratta semplicemente di un riparo fisico, ma di un luogo intriso di significato emotivo, un rifugio sicuro dove coltivare legami, nutrire l’anima e ritrovare se stessi. L’avvento dell’era digitale sta gradualmente erodendo questa dimensione fondamentale della nostra umanità.

Viviamo in un’epoca di trasformazione digitale senza precedenti, dove la connettività pervasiva ha rivoluzionato il nostro modo di vivere, lavorare e interagire. Dalle case intelligenti ai dispositivi indossabili, dai veicoli autonomi alle città connesse, l’Internet delle cose (IoT) ha creato un ecosistema complesso e interdipendente. Ma questa iperconnessione ed interconnessione porta con sé nuove sfide in termini di sicurezza, ponendo interrogativi cruciali: saremo in grado di proteggere noi stessi, i nostri dati e le nostre case in un ambiente sempre più interconnesso?

I rischi dell’interconnessione

L’interconnessione ha ampliato la superficie di attacco per i criminali informatici, che possono sfruttare le vulnerabilità dei dispositivi IoT per accedere a dati sensibili, compromettere la privacy e persino causare danni fisici. Le minacce spaziano dal furto di identità e dalla sorveglianza non autorizzata, al controllo di dispositivi domestici per scopi malevoli e alla manipolazione di sistemi critici come le reti elettriche e i trasporti.

L’interconnessione offre innumerevoli opportunità, ma richiede anche un impegno costante per la sicurezza. Con una combinazione di tecnologie avanzate, politiche efficaci e consapevolezza diffusa, possiamo costruire un futuro digitale sicuro e prospero per tutti. Vediamo insieme in che modo.

La Tecnologia come prezioso alleato

La tecnologia, con la sua promessa di connessione perenne e di gratificazione immediata, ci sta allontanando dalla consapevolezza del presente, dal contatto autentico con noi stessi e con gli altri. Immersi in un flusso costante di notifiche, aggiornamenti e stimoli virtuali, rischiamo di perdere il contatto con la realtà tangibile, con i ritmi naturali della vita e con la bellezza del mondo che ci circonda.

La tecnologia è un alleato potente che può migliorare la nostra vita in molti modi. Tuttavia, è importante utilizzare la tecnologia in modo responsabile e consapevole, tenendo presente i potenziali rischi e sfide. In un mondo sempre più interconnesso, la sfida cruciale è quella di trovare un equilibrio tra il mondo digitale e la nostra dimensione umana.

Dobbiamo riscoprire il valore del silenzio, della lentezza, della contemplazione, del contatto autentico con la natura e con gli altri. Solo così potremo evitare che la tecnologia ci allontani dalla nostra “casa” interiore, dal nostro “centro”, dalla nostra essenza più profonda. Il futuro digitale non deve diventare la nostra prigione, ma un’opportunità per arricchire la nostra vita, per connetterci con il mondo in modo più consapevole e responsabile.

La vera casa, non è solo un luogo fisico, ma uno stato dell’anima. È la capacità di sentirsi a proprio agio nel mondo, di trovare un senso di appartenenza e di coltivare relazioni autentiche. E in questo viaggio di ritorno verso noi stessi, la tecnologia può essere un prezioso alleato, a patto che non dimentichiamo mai che la vera “casa” è dentro di noi.

Il Futuro Digitale: un’opportunità, non una prigione

Il futuro digitale è nelle nostre mani. Scegliamo di costruire un futuro in cui la tecnologia sia un’opportunità per arricchire la nostra vita e creare un futuro più umano per tutti. In che modo? Vediamolo insieme.

La connessione Consapevole:

La tecnologia ci offre la possibilità di connetterci con persone di tutto il mondo, superando barriere geografiche e culturali. Tuttavia, questa connessione globale può facilmente trasformarsi in isolamento se ci rifugiamo esclusivamente nel mondo virtuale. Dobbiamo imparare a bilanciare la nostra vita digitale con quella reale, coltivando relazioni autentiche e partecipando attivamente alla vita reale che ci circonda.

L’informazione Responsabile:

Internet ci fornisce un accesso illimitato all’informazione, ma questa abbondanza può essere travolgente e fuorviante. Dobbiamo sviluppare un pensiero critico e imparare a discernere le fonti affidabili dalle fake news. La tecnologia ci offre strumenti potenti per l’apprendimento e la conoscenza, ma dobbiamo usarli con saggezza e responsabilità.

L’innovazione Etica:

La tecnologia ha il potenziale per risolvere alcune delle sfide più urgenti del nostro tempo, dalla crisi climatica alla povertà. Tuttavia, l’innovazione tecnologica deve essere guidata da principi etici e valori umani. Dobbiamo assicurarci che la tecnologia sia al servizio dell’umanità e non viceversa.

Un Futuro Umano:

Il futuro digitale non deve essere un mondo di algoritmi e intelligenza artificiale, ma un ambiente in cui la tecnologia amplifica le nostre capacità umane e ci aiuta a vivere vite più significative. Dobbiamo investire nell’educazione digitale, promuovere la consapevolezza tecnologica e incoraggiare un dialogo aperto sulle implicazioni etiche della tecnologia.

Cybersecurity: La chiave per proteggere il mondo digitale

Nel cuore pulsante dell’era digitale, dove ogni clic, ogni connessione, ogni dato traccia un sentiero invisibile, la Cybersecurity non è solo una necessità, ma il baluardo che protegge il nostro mondo digitale, la nostra casa.

Immaginate un mondo senza serrature, senza chiavi, dove ogni informazione è esposta, vulnerabile, alla mercé di chiunque. Questo è il mondo senza cybersecurity: un caos digitale, dove la privacy è un ricordo sbiadito e la sicurezza un’illusione. Invece, grazie alla Cybersecurity, costruiamo ponti sicuri attraverso l’infinito oceano di dati, proteggendo la nostra identità, i nostri segreti, il nostro futuro digitale.

Non è solo una questione di tecnologia, ma di fiducia, di resilienza, di sopravvivenza nell’ecosistema digitale. La Cybersecurity è il superpotere che ci permette di navigare con sicurezza nel cyberspazio, trasformando il potenziale pericolo in opportunità, la vulnerabilità in forza, l’incertezza in certezza. In un’epoca in cui la tecnologia è il nostro alleato più potente, la Cybersecurity è la sua armatura invincibile.

Per usare una metafora: la Tecnologia è come il fuoco che può riscaldare e illuminare oppure bruciare e distruggere.

La Cybersecurity è il pompiere che controlla le fiamme, assicurando che il suo potere sia usato per il bene comune.

Conclusione

La casa, da luogo di rifugio e di radicamento, rischia di diventare un mero punto di appoggio, un luogo di transito dove ricaricare semplicemente i nostri dispositivi e connetterci al mondo virtuale. La tecnologia, se non utilizzata con consapevolezza, può privarci della capacità di abitare pienamente il nostro spazio, di coltivare il senso di appartenenza e di ritrovare il nostro “centro”.

La nostra casa, dovrebbe essere un luogo sicuro, confortevole e funzionale grazie soprattutto all’ausilio delle tecnologie, che non sono “demoni” ma spesso possono diventare “angeli” che ci supportano nella nostra vita.

Dobbiamo costruire un ambiente digitale sicuro, inclusivo, sostenibile e centrato sull’uomo.

La Cybersecurity è senza dubbio la chiave di volta per costruire una società digitale solida e prospera.

Non è più un’opzione, ma una necessità.

Investire in Cybersecurity è fondamentale per proteggere i dati, la reputazione, la casa e la continuità operativa nell’era digitale.

Siete d’accordo ?

L'articolo Casa 2.0: Quando il Digitale Minaccia il Tuo Rifugio e la Tua Anima proviene da il blog della sicurezza informatica.

Abbiamo spesso su Red Hot Cyber ripetuto questa frase: ‘Combattere il cybercrime è come estirpare le erbacce: se lasci le radici, ricresceranno.’ Oggi, più che mai, questa verità si conferma essere vera.

Il 29 gennaio 2025 è stato un giorno che ha lasciato il segno nell’underground digitale: Crack.io, uno dei forum più popolari del panorama hacking e cracking, è caduto sotto il fuoco dell’ennesima operazione internazionale. Operazione Talent – così l’hanno battezzata – non puntava solo a colpire un’infrastruttura, ma a spegnere per sempre una comunità. Non c’è riuscita.

Cracked.io (alias Cracked.sh) è tornato. E, per ora, è qui per restare.

Dopo settimane di silenzio, oggi Crack.io (ora Cracked.sh) è tornato online. Non è una resurrezione improvvisata: dietro il ritorno, c’è stato un lavoro mirato, un periodo di riflessione, e – come dichiarato nel messaggio ufficiale dell’amministrazione – un’importante ristrutturazione del backend, a partire dalla Shoutbox fino al sistema di pagamento, attualmente in fase di transizione.

Il punto centrale, ovviamente, è la sicurezza. I server sequestrati erano cifrati. Tradotto: post, credenziali e messaggi privati non sono finiti in mano a nessuno. Un colpo di fortuna? No, semplice pratica di buon senso (che spesso, però, manca). Tuttavia, l’admin non fa promesse: nel clearweb non esistono garanzie al 100%. Ecco perché l’invito a cambiare password o cancellare i messaggi privati, per chi volesse dormire sonni più tranquilli.

Nuova leadership, vecchia community

L’amministratore ha ora un nuovo “volto”: @Liars, che ha preso le redini della piattaforma. Sarà lui il punto di riferimento per chiunque voglia ripristinare gli upgrade o i crediti acquistati dopo il 25 gennaio (data dell’ultimo backup recuperabile), oppure effettuare nuovi acquisti – per ora, solo via messaggio privato.

Chi conosce il mondo dei forum sa bene che una transizione del genere può segnare un prima e un dopo. Ma Crack.io non è un semplice sito: è una comunità, spesso controversa, sicuramente discussa, ma altrettanto resiliente.

Nei prossimi giorni sono attesi fix continui: ogni bug segnalato sarà affrontato, nel tentativo di rendere l’esperienza utente il più fluida possibile, in un contesto che di fluido – per sua stessa natura – ha ben poco. Nel frattempo, la parola d’ordine è una sola: manualità. Chi vuole qualcosa, lo chiede direttamente. Vecchia scuola? Forse. Ma anche una delle poche strategie efficaci in un contesto dove ogni script automatizzato è potenzialmente una porta aperta.

Il ritorno di Crack.io (pardon, Cracked.sh) non è solo una questione tecnica: è una dichiarazione. Dichiarazione di resilienza, di sfida, e per alcuni anche di sopravvivenza. Il gioco del gatto e del topo tra law enforcement e comunità underground continua, e oggi il topo si è rimesso in piedi.

Dubbi e sospetti: Cracked.io controllato dai federali?

Come spesso accade in casi di “rinascite” così improvvise e ben orchestrate, non mancano le ipotesi più controverse. In un thread pubblicato su BreachForums, l’utente Synaptic ha sollevato un dubbio pesante:

“And it’s probably operated by the feds themselves. I see they’re using a backup and not going from scratch, so that’s something.”

L’osservazione è lucida: perché ripartire da un backup invece di ricostruire da zero? Per alcuni, questo può rappresentare un potenziale segnale di operazione sotto copertura, ipotizzando che l’intera infrastruttura possa oggi essere in mano all’FBI o ad altri enti governativi, con finalità di tracciamento e indagine.

Naturalmente, si tratta di speculazioni. Ma nel mondo dell’underground digitale, la paranoia non è un bug: è una feature. E anche la rinascita di Crack.io dovrà fare i conti con una fiducia da riconquistare, un utente alla volta.

La vera domanda, ora, non è se il forum sopravviverà. Ma per quanto.

L'articolo La Rinascita di Crack.io: Combattere il cybercrime è come estirpare erbacce: se lasci le radici, ricresceranno proviene da il blog della sicurezza informatica.

Once the domain of esoteric scientific and business computing, floating point calculations are now practically everywhere. From video games to large language models and kin, it would seem that a processor without floating point capabilities is pretty much a brick at this point. Yet the truth is that integer-based approximations can be good enough to hit the required accuracy. For example, approximating floating point multiplication with integer addition, as [Malte Skarupke] recently had a poke at based on an integer addition-only LLM approach suggested by [Hongyin Luo] and [Wei Sun].

As for the way this works, it does pretty much what it says on the tin: adding the two floating point inputs as integer values, followed by adjusting the exponent. This adjustment factor is what gets you close to the answer, but as the article and comments to it illustrate, there are plenty of issues and edge cases you have to concern yourself with. These include under- and overflow, but also specific floating point inputs.

Unlike in scientific calculations where even minor inaccuracies tend to propagate and cause much larger errors down the line, graphics and LLMs do not care that much about float point precision, so the ~7.5% accuracy of the integer approach is good enough. The question is whether it’s truly more efficient as the paper suggests, rather than a fallback as seen with e.g. integer-only audio decoders for platforms without an FPU.

Since one of the nice things about FP-focused vector processors like GPUs and derivatives (tensor, ‘neural’, etc.) is that they can churn through a lot of data quite efficiently, the benefits of shifting this to the ALU of a CPU and expecting (energy) improvements seem quite optimistic.

hackaday.com/2025/04/10/using-…

While some companies like Apple have gone all-in on the ARM architecture, others are more hesitant to dive into the deep end. For example, Microsoft remains heavily invested in the x86 architecture and although it does have some ARM offerings, a lot of them feel a bit half-baked. So you might question why someone like [Gustave] has spent so much time getting Windows to run on unusual ARM platforms. But we don’t need much of a reason to do something off-the-wall like that around these parts, so take a look at his efforts to get Windows for ARM running on a smartwatch.

The smartwatch in question here is a Pixel Watch 3, which normally runs a closed-source Android implementation called Wear OS. The bootloader can be unlocked, so [Gustave] took that approach to implement a few clever workarounds to get Windows to boot including adding UEFI to the watch. During the process Google updated these devices to Android 15, though, which broke some of these workarounds. The solution at that point was to fake a kernel header and re-implement UEFI and then load Windows (technically Windows PE) onto the watch.

Although this project was released on April 1, and is by [Gustave]’s own admission fairly ridiculous and not something he actually recommends anyone do, he does claim that it’s real and provides everything needed for others to run Windows on their smartwatches if they want to. Perhaps one of our readers will be brave enough to reproduce the results and post about it in the comments. In the meantime, there are a few more open options for smartwatches available if you’re looking for something to tinker with instead.

Thanks to [Ruhan] for the tip!

hackaday.com/2025/04/10/window…

As computers age, a dedicated few work towards keeping some of the more interesting ones running. This is often a losing battle of sorts, as the relentless march of time comes for us all, human and machine alike. So as fewer and fewer of these machines remain new methods are needed to keep them running as best they can. [CallousCoder] demonstrates a way of building up a new keyboard for a Commodore 64 which both preserves the original look and feel of the retro computer but also adds some modern touches.

One of the main design differences between many computers of the 80s and modern computers is that the keyboard was often built in to the case of the computer itself. For this project, that means a custom 3D printed plate that can attach to the points where the original keyboard would have been mounted inside the case of the Commodore. [CallousCoder] is using a print from [Wolfgang] to get this done, and with the plate printed and a PCB for the keys it was time to start soldering. The keyboard uses modern switches and assembles like most modern keyboards do, with the exception of the unique layout for some of the C64 keys including a latching shift key, is fairly recognizable for anyone who has put together a mechanical keyboard before.

[CallousCoder] is using the original keycaps from a Commodore 64, so there is an additional step of adding a small adapter between the new switches and the old keycaps. But with that done and some amount of configuring, he has a modern keyboard that looks like the original. If you’re more a fan of the original hardware, though, you can always take an original C64 keyboard and convert it to USB to use it on your modern machines instead.

youtube.com/embed/fT9_SzN4JhA?…

hackaday.com/2025/04/10/a-new-…