Se c’è un nome che nel 2025 continua a campeggiare con crescente insistenza nei report di incident response, nei feed di threat intelligence e nei blog degli analisti di cybersicurezza, è quello del gruppo Akira. Questo collettivo criminale, nato apparentemente dal nulla nel 2023, ha saputo in poco più di un anno scalare la gerarchia del ransomware-as-a-service (RaaS), costruendo un’infrastruttura solida, sofisticata e altamente redditizia.

Secondo quanto emerso dall’ultima intelligence card pubblicata da Recorded Future, Akira non è solo uno dei tanti nomi della galassia ransomware: è oggi uno degli attori più attivi, persistenti e pericolosi in circolazione. E dietro al nome – che evoca anime e distopie futuristiche – si cela una realtà ben più concreta: attacchi su larga scala, vittime illustri, una capacità adattiva degna di un APT e, soprattutto, una strategia operativa letale.

Crescita esponenziale e allarmi nella threat landscape globale

Partiamo dai numeri, perché i numeri non mentono: negli ultimi 30 giorni sono stati registrati 4.506 riferimenti a cyber attacchi correlati al gruppo Akira. Un balzo del +151% rispetto al mese precedente.

Questi dati non solo testimoniano una crescita allarmante, ma raccontano una tendenza: Akira sta diventando il nuovo volto dell’estorsione digitale, sfruttando strumenti moderni e metodologie raffinate, spesso in sinergia con partner affiliati nel dark web.

Un’eredità tossica: da Conti a Akira

Le analisi condotte su larga scala rivelano che il gruppo Akira presenta forti similitudini a livello di codice con il defunto gruppo Conti, noto collettivo filo-russo smantellato nel 2022 dopo una massiccia fuga di dati interni. Gli sviluppatori di Akira, identificati anche con l’alias Storm-1567, sembrano aver ripreso parte del codice sorgente di Conti, adattandolo a nuove esigenze e, soprattutto, integrandolo in una catena di attacco compatibile sia con Windows che con ambienti Linux/ESXi.

La prima variante Windows è stata individuata nel marzo 2023, seguita da una versione per sistemi Linux nel luglio dello stesso anno, con target espliciti verso server VMware ESXi, tipici degli ambienti aziendali virtualizzati.

Akira Attack Chain: l’autopsia di un attacco perfetto

Ogni attacco Akira si articola in una sequenza operativa meticolosa, ben rappresentata nello schema seguente tratto dall’analisi Recorded Future:

1. Phishing email: l’entry point più classico, ma ancora straordinariamente efficace. Vengono utilizzate tecniche di social engineering avanzate, spesso mascherate da messaggi legittimi (ordini, fatture, documenti HR).
2. Commandline scripting: una volta ottenuto l’accesso, vengono eseguiti script tramite PowerShell o cmd per iniziare la fase di dropper.
3. Registry manipulation: modifiche mirate al registro di sistema per garantire persistenza e disabilitare componenti di sicurezza.
4. Disabling defenses: vengono disattivati antivirus, EDR e tool di monitoraggio. Akira non vuole resistenza.
5. Credential harvesting: dump di LSASS, uso di Mimikatz e brute force, anche offline.
6. Network scanning: strumenti come Advanced IP Scanner e Sharphound mappano la rete e i gruppi di sicurezza.
7. Lateral movement: sfruttamento di credenziali e strumenti di remote desktop come AnyDesk, RustDesk o tunnel via Cloudflare.
8. Data collection: raccolta massiva di file sensibili, documenti legali, database, mail e file di backup.
9. Exfiltration: esfiltrazione dei dati verso server controllati o via canali cifrati (SFTP, FTP, proxy).
10. Ransomware deployment: cifratura finale con algoritmo personalizzato, estensione “.akira”, e rilascio del file di riscatto.

Le tecniche MITRE ATT&CK utilizzate da Akira

La completezza tecnica dell’approccio di Akira è impressionante, come evidenziato nella mappa MITRE ATT&CK fornita da Recorded Future:

Tra i punti salienti:

• T1078 – Valid Accounts: uso di account compromessi.
• T1133 – External Remote Services: sfruttamento di RDP, VPN non sicure e VNC.
• T1190 – Exploit Public-Facing Application: uso di exploit noti come CVE-2021-21972 e CVE-2023-27532.
• T1566 – Spearphishing: sia tramite allegati che link.
• T1059.003 – Windows Command Shell: scripting malevolo.
• T1547.009 – Shortcut Modification: alterazione dei collegamenti di avvio.
• T1003.001 – LSASS Memory Dump: estrazione delle credenziali.
• T1041 – Exfiltration Over C2 Channel: esfiltrazione in tempo reale.

Vittime illustri, settori bersaglio, impatti devastanti

Tra le vittime documentate troviamo aziende del calibro di Nissan Motor, Panasonic, Hitachi Vantara, ma anche istituti scolastici come l’Edmonds School District e società nel settore legale e bancario. Nessuno è immune. Dalla PMI al colosso internazionale, l’unico denominatore comune è la vulnerabilità.

Akira dimostra di non discriminare per geografia o dimensioni, ma solo per potenziale di ricatto: più dati sensibili ha, più alto sarà il riscatto.

Considerazioni finali: il ransomware non è più un’eccezione, è un modello

L’operatività di Akira rappresenta la quintessenza del ransomware moderno: flessibile, modulare, basato su affiliate e infrastrutture dark web, capace di colpire con precisione chirurgica. Non si tratta più di un “evento malevolo” isolato, ma di una vera e propria industria criminale, con tanto di helpdesk, politiche di prezzo, SLAs di pagamento e persino “sconti” per chi collabora.

Cosa possiamo fare?

1. Abbandonare la reattività: il tempo della difesa passiva è finito. Serve threat hunting proattivo.
2. Investire nella formazione: le mail di phishing non si fermano da sole. Serve awareness.
3. Rafforzare gli endpoint: EDR, MFA, segmentazione e backup offline.
4. Fare intelligence: piattaforme come Recorded Future offrono visibilità e contesto, e dovrebbero far parte della routine operativa di ogni SOC.

In conclusione

Akira è il risultato di una perfetta alchimia criminale: codice solido, distribuzione capillare, obiettivi chiari. E come ogni virus ben costruito, si adatta, apprende, persiste.

L’unico antidoto? Essere un passo avanti. E per farlo, bisogna smettere di pensare come vittime e iniziare a ragionare come bersagli mobili consapevoli.

L'articolo Akira Ransomware Group: l’ascesa inarrestabile di un predatore digitale proviene da il blog della sicurezza informatica.

Un bug del software nel servizio VoLTE ha permesso di tracciare la posizione di decine di milioni di utenti della compagnia di telecomunicazioni britannica Virgin Media O2, tra cui i clienti di Giffgaff e Tesco Mobile, collegati alla stessa infrastruttura.

La vulnerabilità è passata inosservata finché non è stata scoperta dall’ingegnere Dan Williams, dopodiché le informazioni sono state trasmesse all’Information Security Office (ICO) del Regno Unito e all’ente regolatore delle comunicazioni Ofcom.

Il problema ha interessato tutti i dispositivi con le chiamate 4G abilitate. Chiunque disponga di una scheda SIM Virgin Media O2 potrebbe ottenere gli identificatori tecnici delle chiamate (prefissi e ID delle celle) e utilizzarli per determinare a quale stazione base era connesso l’abbonato chiamato. Nelle aree densamente popolate, dove le celle sono molto vicine, la precisione della geolocalizzazione potrebbe raggiungere fino a 100 metri quadrati.

Il ricercatore ha affermato di aver inviato una notifica all’operatore a marzo, ma di non aver ricevuto risposta fino a maggio, quando ha pubblicato un post sul blog. Ha espresso delusione per la risposta dell’azienda e ha sottolineato che la sua motivazione era la sicurezza, non il confronto con l’operatore.

Virgin Media O2 ha dichiarato di aver risolto rapidamente il problema dopo essere stata avvisata e che per intervenire era necessaria una formazione tecnica specialistica. Allo stesso tempo, l’operatore ha riconosciuto che la vulnerabilità potrebbe essere esistita fin dall’introduzione del software nel 2023, ma non ha indicato la durata esatta della sua validità.

L’azienda ha sottolineato che gli utenti non devono intraprendere alcuna azione e non è stata trovata alcuna prova che la vulnerabilità sia stata sfruttata al di fuori del blog tecnico dello specialista. I rappresentanti hanno aggiunto che non vi è stata alcuna compromissione della rete esterna e che tutte le informazioni sono disponibili solo all’interno dell’infrastruttura stessa.

Williams condusse un esperimento per dimostrare la portata della minaccia: con l’aiuto di un volontario, anche lui abbonato all’O2, riuscì a determinare la sua posizione approssimativa nel centro di Copenaghen. Ha affermato che disabilitare la funzione di chiamata 4G potrebbe eliminare il rischio, ma su alcuni dispositivi, tra cui l’iPhone, ciò non è possibile.

L’operatore Giffgaff, che utilizza anch’esso l’infrastruttura O2 di Virgin Media, ha rifiutato di rilasciare dichiarazioni. Tesco Mobile, i cui clienti potrebbero essere stati anch’essi colpiti, non ha fornito alcuna risposta alle domande.

L’Ofcom ha affermato che sta indagando sull’incidente e che sta chiedendo all’operatore spiegazioni sulle cause e le conseguenze del problema. L’ICO, da parte sua, ha dichiarato che, dopo aver valutato la situazione e le misure adottate, non intraprenderà ulteriori azioni.

L'articolo Scoperto un bug VoLTE: tracciati milioni di utenti O2, Giffgaff e Tesco Mobile proviene da il blog della sicurezza informatica.

The AI effects we know these days were once preceded by CGI, and those were once preceded by true hand-built physical props. If that makes you think of Muppets, this video will change your mind. In a behind-the-scenes look with [Adam Savage], effects designer [Mark Setrakian] reveals the full animatronic glory of Mr. Wink’s mechanical fist from Hellboy II: The Golden Army (2008) – and this beast still flexes.

Most of this arm was actually made in 2003, when 3D printing was very different than what we think of today. Printed on a Stratasys Titan – think: large refrigerator-sized machine, expensive as sin – the parts were then hand-textured with a Dremel for that war-scarred, brutalist feel. This wasn’t just basic animatronics for set dressing. This was a fully actuated prop with servo-driven finger joints, a retractable chain weapon, and bevel-geared mechanisms that scream mechanical craftsmanship.

Each finger is individually designed. The chain reel: powered by a DeWalt drill motor and custom bevel gear assembly. Every department: sculptors, CAD modelers, machinists, contributed to this hybrid of analog and digital magic. Props like this are becoming unicorns.

youtube.com/embed/qKMFdbspHZ4?…

hackaday.com/2025/05/30/17-yea…

White LED bulbs are commonplace in households by now, mostly due to their low power usage and high reliability. Crank up the light output enough and you do however get high temperatures and corresponding interesting failure modes. An example is the one demonstrated by the [electronupdate] channel on YouTube with a Philips MR16 LED spot that had developed a distinct purple light output.
The crumbling phosphor coating on top of the now exposed UV LEDs. (Credit: electronupdate, YouTube)
After popping off the front to expose the PCB with the LED packages, the fault seemed to be due to the phosphor on one of the four LEDs flaking off, exposing the individual UV LEDs underneath. Generally, white LEDs are just UV LEDs that have a phosphor coating on top that converts this UV into broad band visible (white) or a specific wavelength, so this failure mode makes perfect sense.

After putting the PCB under a microscope and having a look at the failed and the other LED packages the crumbled phosphor on not just the one package became obvious, as the remaining three showed clear cracks in the phosphor coating. Whether due to the heat in these high-intensity spot lamps or just age, clearly over time these white LED packages become just UV LEDs. Ideally you could dab on some fresh phosphor, but likely the fix is to replace these LED packages every few years until the power supply in the bulb gives up the ghost.

youtube.com/embed/JHW5jcas-js?…

Thanks to [ludek111] for the tip.

hackaday.com/2025/05/30/white-…

Il 9 febbraio avevo cancellato l'account Facebook, il sistema mi aveva detto che per 30 giorni sarebbe stato solo disattivato e che l'eliminazione vera e propria sarebbe avvenuta solo 30 giorni dopo.

Siamo al 30 maggio e il mio account è ancora lì.

Stasera sono nuovamente entrato e ho rifatto la procedura, al termine della quale il sistema mi ha ancora una volta confermato che la mia richiesta di cancellazione era stata ricevuta, che l'account era stato programmato per l'eliminazione ma che per 30 giorni sarebbe stato solo disattivato, casomai avessi cambiato idea.

Qualcuno di voi è riuscito a cancellarsi per davvero?

Nel frattempo ho scritto al Garante per la Privacy segnalando il problema e chiedendo come fare per poter vedere rispettato il mio diritto ad essere rimosso da quel social network.

Ho visto il primo episodio di Adolescence.

Non avrei mai dovuto farlo.

nugole.it/nugoletta/ju/p/17485…

Ju

2025-05-30 05:21:56

Questo è bello.
Storie di Verona: il brigante Falasco.

La torre Falasco è ancora in piedi, costruita in una specie di rientranza - coalo - in una delle molte falesie. Si vede facendo un po' di attenzione quando si risale la Valpantena, è sul lato a sinistra della valle venedo su da Verona.
Nell'articolo dice che s'è perso arrivandoci ma da quel che mi ricordo c'è una stradella abbastanza confortevole che porta su.

larena.it/rubriche/vi-cammino-…

La leggenda del Brigante Falasco. Bello e spietato, era il terrore della valle

I Balladoro, i Leonardi, i Tedeschi, gli Oliboni, i Benella di Laudi, i Rotari, i Padoani, gli Allegri… Perché dal passato riaffiorano... Scopri di più

^{Alessandro Anderloni (L'Arena)}