Il gruppo Warlock, noto anche come Storm-2603 e GOLD SALEM, è passato dall’essere un nuovo arrivato a un attore di spicco nel mercato dei ransomware in pochi mesi. I ricercatori di Sophos riferiscono che l’attività del gruppo è iniziata a marzo 2025 e che a settembre aveva già creato un proprio portale di fuga di dati, “Warlock Client Data Leak Show”, dove sono state pubblicate 60 vittime. Gli aggressori operano in tutto il mondo, colpendo piccole agenzie governative e aziende commerciali a multinazionali in Nord e Sud America ed Europa.

Warlock ricevette particolare attenzione dopo gli incidenti di agosto: i criminali si vantarono di aver compromesso le società francese Orange e britannica Colt. In quest’ultimo caso, affermarono di aver rubato un milione di documenti e annunciarono persino un’asta per l’archivio.

Successivamente, la stessa risorsa ha elencato la Star Alliance tra le sue vittime, sebbene non sia arrivata alcuna conferma ufficiale da parte dell’organizzazione, e il post stesso era accompagnato da una nota sulla vendita del set di dati rubato. A differenza di altri gruppi ransomware, Warlock non pubblica le date degli attacchi e raramente mostra esempi di materiale rubato, limitandosi a laconiche note sullo stato del riscatto o a un collegamento a un archivio.

Lo stile negoziale di Warlock è palesemente duro: sul loro sito web, accusano le organizzazioni di irresponsabilità e promettono di divulgare i dati se si rifiutano di contattarle. Allo stesso tempo, per le grandi aziende che detengono informazioni estremamente sensibili, dichiarano che l’intera portata dei dati rubati non sarà resa pubblica. Questo approccio consente al gruppo di minare contemporaneamente la reputazione della vittima e di mantenere vivo l’interesse degli acquirenti del mercato nero.

Il rapporto di Sophos pone particolare enfasi sulle tecniche di attacco. Warlock è apparso pubblicamente per la prima volta a giugno su un forum di hacker, dove un rappresentante del gruppo era alla ricerca di exploit per applicazioni aziendali come Veeam, ESXi e SharePoint, nonché di strumenti per bypassare i sistemi EDR.

A luglio, Microsoft aveva già rilevato che il gruppo stava utilizzando una nuova vulnerabilità zero-day sui server SharePoint locali.

L’exploit è stato inizialmente distribuito dal gruppo cinese Salt Typhoon il 18 luglio, ma un aggiornamento problematico ha lasciato vulnerabili decine di migliaia di sistemi, inclusi server governativi. Warlock ha approfittato della situazione e ha implementato la propria catena ToolShell per installare web shell e ottenere persistenza di rete tramite un server Golang personalizzato basato su WebSocket.

Inoltre, gli aggressori combinano attivamente metodi collaudati: utilizzano Mimikatz per rubare le credenziali, PsExec e Impacket per gli spostamenti laterali e distribuiscono il ransomware sulla rete tramite policy di gruppo. Per il traffico nascosto, utilizzano strumenti legittimi, in particolare Velociraptor. Questa combinazione rende i loro attacchi flessibili e difficili da rilevare. Sophos sottolinea che questo mix di tecniche standard e innovazioni mirate dimostra l’elevato livello di preparazione e coraggio degli autori.

In breve tempo, Warlock è entrato nella lista delle 20 operazioni ransomware più attive dell’ultimo anno. Gli esperti stimano che sia improbabile che un’ulteriore pressione sulle infrastrutture aziendali possa essere fermata senza misure aggressive da parte degli operatori di sicurezza.

Per mitigare i rischi, gli esperti consigliano alle organizzazioni di prestare maggiore attenzione al monitoraggio della superficie di attacco, all’applicazione tempestiva di patch ai servizi pubblici e al mantenimento della prontezza per una risposta rapida agli incidenti. Sophos sottolinea che comprendere le tattiche dei Warlock è essenziale per rafforzare le difese prima che il gruppo selezioni un nuovo obiettivo.

L'articolo Il Gruppo Warlock: nuovo attore nel mercato dei ransomware proviene da il blog della sicurezza informatica.

Occasionally a design requires capacitors that are much closer to being identical in value to one another than the usual tolerance ranges afford. Precision matching of components from parts on hand might sound like a needle-in-a-haystack problem, but not with [Stephen Woodward]’s Capacitor Matchmaker design.
The larger the output voltage, the greater the mismatch between capacitors A and B.
The Matchmaker is a small circuit intended to be attached to a DVM, with the output voltage indicating whether two capacitors (A and B) are precisely matched in value. If they are not equal, the voltage output indicates the degree of the mismatch as well as which is the larger of the two.

The core of the design is complementary excitation of the two capacitors (the CD4013B dual flip-flop achieves this) which results in a measurable signal if the two capacitors are different; nominally 50 mV per % of mismatch. Output polarity indicates which of the capacitors is the larger one. In the case of the two capacitors being equal, the charges cancel out.

Can’t precision-matched capacitors be purchased? Absolutely, but doing so is not always an option. As [Stephen] points out, selection of such components is limited and they come at an added cost. If one’s design requires extra-tight tolerances, requires capacitor values or types not easily available as precision pairs, or one’s budget simply doesn’t allow for the added cost, then the DIY approach makes a lot more sense.

If you’re going to go down this road, [Stephen] shares an extra time-saving tip: use insulated gloves to handle the capacitors being tested. Heating up a capacitor before testing it — even just from one’s fingers — can have a measurable effect.

[Stephen]’s got a knack for insightful electronic applications. Check out his PWMPot, a simple DIY circuit that can be an awfully good stand-in for a digital potentiometer.

hackaday.com/2025/09/23/play-c…

Atlanta-based journalist Mario Guevara has been detained for nearly 100 days and is facing imminent deportation from the United States. His crime? Doing his job.

Guevara was detained first by local police and then by Immigration and Customs Enforcement, in what experts say was retaliation for his reporting on immigration raids and subsequent protests.

Guevara’s case is a disturbing example of how ICE can target non-American journalists, with or without legal status. Recently, Freedom of the Press Foundation (FPF) hosted a panel discussion featuring immigration lawyers, civil rights advocates, and journalists to talk about what to do when a journalist is detained by ICE — and what must happen before that day ever comes.

Here’s what we learned.

youtube.com/embed/zYnWSBocxJ4?…

Why are journalists being detained?

Non-American journalists in the United States—especially those covering immigration or working in vulnerable roles like freelancers or independent journalists—are at serious risk as a result of the Trump administration’s anti-immigrant and anti-press policies.

President Donald Trump’s campaign to retaliate against journalists who contradict the government’s preferred narrative, plus his administration’s promise to ramp up deportations, has created a “perfect storm for those, like immigrant reporters, who are on the front lines,” said Nora Benavidez of Free Press.

“This administration has made it very clear that it considers the public and press documenting immigration enforcement to be a threat,” explained American Civil Liberties Union’s Scarlet Kim, who is part of Guevara’s legal team.

What can be done? Advanced preparation is key.

The experts we spoke to agreed: Newsrooms can’t wait until a journalist is detained to act. Here are key steps newsrooms and reporters can take before it happens.

1. Create an action plan before you need it.

Journalist and Investigative Reporters and Editors board member Alejandra Cancino has been working with fellow reporters to create a checklist to help newsrooms prepare for the potential detention of one of their reporters by ICE.

The checklist includes steps like gathering key information ahead of time, such as about medical needs, emergency contacts, and immigration attorney contacts (more on that below).

Cancino also encouraged newsrooms to talk with non-American reporters about their concerns and how to mitigate them. “We obviously don’t want any reporter to be taken away from their beat,” she explained, but creative risk-mitigation measures can work, such as having a journalist facing heightened risks report from the newsroom based on information being provided from others in the field.

2. Get local immigration counsel — now.

Journalists at risk need an experienced immigration lawyer in place before they’re detained, experts said.

Newsrooms should consider keeping local immigration counsel on retainer. “Getting a roster of vetted attorneys together is the first important step,” explained Marium Uddin, legal director of the Muslim Legal Fund of America and a former immigration judge.

News outlets should also consider having non-American journalists they work with sign a retainer agreement with an immigration attorney in advance, paid for by the newsroom, so that representation of the journalist could be immediate if they were detained, Uddin said.

To build their rosters of immigration attorneys, newsroom lawyers should seek referrals from those in their networks who may already have strong reputations and experience with the local immigration courts. They can also seek referrals by contacting organizations like the American Immigration Lawyers Association, the Immigration Advocates Network, and local legal aid offices.

Unfortunately, asylum cases can be expensive to litigate. In Texas, where Uddin is based, they can cost $10,000 to $20,000. While some immigration attorneys may offer free or low-cost services, newsrooms should budget for the cost of legal defense of non-American journalists detained by immigration authorities. Protecting journalists “is the cost of doing business,” said Cancino.

3. Act immediately to locate the detained journalist.

If a journalist is detained, one of the first steps will be to locate them, a process that can be made difficult by an opaque detention system and strategic shuffling of people around detention facilities.

Newsrooms should first determine if a detained journalist is in local custody, said Samantha Hamilton of the Atlanta Community Press Collective and Asian Americans Advancing Justice-Atlanta, since people who are arrested are often taken first to the county jail before being transferred to ICE.

If they have been transferred to ICE, Hamilton recommended searching for them with the online ICE detainee locator, using the person’s alien registration number and country of birth. If you don’t have that information, you can also search using their last name and country of origin. Hamilton recommended using all variations of the name, especially if the person has multiple names or uses a nickname.

Once a newsroom locates the journalist, it will want to figure out how to contact them. Each facility can have different communication rules, explained Uddin, which can often be found on the facility’s official website or ICE’s general detention center directory. Legal visits may require special steps, like completing a legal notice of representation.

4. Consider all the legal options.

In addition to challenging the journalist’s detention and deportation in immigration court, a legal petition known as habeas corpus may present another way to challenge the detention in court if a journalist is detained in retaliation for their reporting, said ACLU attorney Kim. A habeas petition asks a federal judge for an order that a person in custody be brought before the court to determine if their detention is valid.

A successful habeas petition can free someone from immigration detention. However, it cannot resolve their immigration status or stop deportation proceedings altogether. Those legal issues must be addressed separately in immigration court.

Habeas is especially important in cases where immigration detention is being used to punish people for their speech or journalism. The ACLU has brought habeas petitions in Guevara’s case and also to challenge the detention of students by immigration officials based on their political speech.

One of the biggest challenges in bringing a habeas petition is timing. Kim warned that strategic transfers of detainees between ICE facilities without warning can make legal action harder, because petitions must usually be filed in the jurisdiction where the detainee is being held. That’s why it’s so important to have legal counsel lined up and to file a habeas petition as soon as possible, ideally before any transfer occurs.

The bigger picture

A recent court ruling in California reminded the public that “a camera and a notepad are not threats to the public,” said Uddin. Unfortunately, however, government retaliation against non-American journalists remains a real threat.

So it’s not enough for newsrooms and journalists to prepare. People outside the media industry need to see how detentions of non-American journalists and other attacks on the press impact us all and speak up against them, explained Benavidez. “Because if it is one of those other people today,” she said, “it could be one of us tomorrow.”

freedom.press/issues/noncitize…

L’Ufficio del procuratore europeo (#EPPO) ha annunciato l’incriminazione di sei persone per il loro presunto coinvolgimento nell’ingresso fraudolento di merci cinesi (soprattutto biciclette e monopattini elettrici) nel porto greco del #Pireo. I sequestri di navi container sono avvenuti alla fine di giugno, per un totale di 2.435 container coinvolti e un valore della merce pari a 250 milioni di euro.
L’accusa dell’ufficio europeo fa parte dell’inchiesta “Calypso”, che quest’estate ha coinvolto numerosi scali dell’Unione Europea. La procuratrice capo europea, Laura Codruța Kövesi (nell'immagine), ha affermato: “Si trattava di un gruppo molto organizzato di criminali, specializzato in questo tipo di frodi. L’operazione Calypso manda a questi criminali un messaggio semplice: le regole del gioco sono cambiate, non ci sono più rifugi sicuri per voi!”.

Le autorità della dogana greca, a seguito delle prime prove ottenute, hanno accusato due doganieri, uno dei quali fermato venerdì, per false certificazioni e favoreggiamento. Inoltre, tra i fermati ci sono quattro spedizionieri frontalieri, già arrestati dalle autorità greche a giugno.
Il meccanismo fraudolento era in atto da almeno otto anni e ha causato una perdita stimata intorno ai 350 milioni di euro in dazi europei e 450 milioni di euro in IVA. L’EPPO ha stimato che, in media, solo “il 10-15 per cento del numero effettivo di biciclette elettriche in un container è stato dichiarato”.
Il modus operandi utilizzato dai contrabbandieri consisteva nel far entrare la merce dal porto del Pireo, dichiarando un valore molto basso. Operatori doganali, come spedizionieri o fornitori di servizi, facilitavano lo sdoganamento verso altri Paesi dell’Unione attraverso un meccanismo ideato per evadere il pagamento dell’IVA. Lo scopo era quello di assicurarsi un esenzione dal pagamento dell’IVA attraverso l’applicazione della Procedura Doganale 42 (CP42) che permette un esenzione se la merce viene venduta ad altre società comunitarie. In realtà, questi acquirenti finali non esistevano ed erano usati solamente come prestanome per evadere l’imposta. Le merci venivano, invece, stoccate in hub illegali cinesi e poi distribuite con documenti falsi in giro per l’Unione.

L’operazione Calypso, tenutasi quest’estate, è il più grande sequestro di container mai effettuato nell’Ue. L’indagine condotta dall’EPPO riguarda 14 Paesi: Bulgaria, Cina, Repubblica Ceca, Danimarca, Francia, Germania, Grecia, Ungheria, Italia, Polonia, Portogallo, Slovacchia, Slovenia e Spagna. La fese operativa di “Calypso” è iniziata il 26 giugno con l’esecuzione di 101 perquisizioni presso gli uffici di spedizionieri doganali. A giugno sono stati arrestati dieci individui in vari punti d’Europa. Nelle loro abitazioni, sono stati trovati circa 5,8 milioni di euro (di cui 4,75 milioni in Grecia e i restanti in Francia e Spagna), in diverse valute, tra cui dollari di Hong Kong ed euro, spesso custoditi in portafogli digitali e criptovalute.
L'EPPO, o Procura Europea, è un'agenzia dell'Unione Europea istituita nel 2017 per indagare e perseguire i reati che ledono gli interessi finanziari dell'UE, come frodi, corruzione o riciclaggio di denaro. È caratterizzata dall'essere la prima Procura sovranazionale dell'UE, con giurisdizione in 22 Stati membri; avere poteri di indagine e di azione penale diretti a livello transnazionale; essere indipendente sia dalle istituzioni dell'UE che dai singoli Stati membri; mirare a garantire un'applicazione uniforme del diritto penale dell'UE in tutta l'Unione.

@Attualità, Geopolitica e Satira

Il cyberspazio non è più una dimensione marginale ma un vero e proprio dominio operativo strategico. La sua rilevanza è oggi equiparabile a quella di terra mare aria e spazio. L’accelerazione tecnologica trainata dall’Intelligenza Artificiale e dalla digitalizzazione diffusa ha trasformato infrastrutture critiche, servizi sanitari, università e comunicazioni personali in superfici di attacco permanenti. In questo scenario la linea di confine tra criminalità informatica, attivismo politico e minacce di matrice statale si è progressivamente assottigliata dando vita a nuove forme di conflitto ibrido.

In Italia questa trasformazione si riflette nel dibattito sul disegno di legge presentato dal presidente della Commissione Difesa Nino Minardo che attribuisce alle Forze Armate un ruolo operativo anche al di fuori dei tradizionali contesti bellici. L’iniziativa si colloca in un percorso avviato in sede NATO che dal 2016 riconosce il cyberspazio come dominio operativo. L’urgenza della proposta nasce dalla crescita esponenziale di attacchi informatici diretti verso istituzioni imprese e cittadini.

Il contenuto del disegno di legge

Il testo introduce modifiche al codice dell’ordinamento militare, prevedendo la creazione di una riserva ausiliaria composta da ex militari e la possibilità di integrare competenze esterne altamente specializzate. Questo personale civile affiancherebbe i militari nelle operazioni digitali e verrebbe equiparato per alcuni profili giuridici agli operatori delle Forze Armate.

Si tratta di una scelta che apre scenari innovativi e al tempo stesso complessi. Non siamo davanti a una semplice esternalizzazione di servizi ma alla creazione di un nuovo attore ibrido dotato di una speciale causa di giustificazione. Tale istituto, già previsto per l’intelligence, consente di escludere la rilevanza penale di condotte poste in essere nell’interesse istituzionale. L’estensione al dominio militare e a figure civili rischia tuttavia di creare un’area di opacità difficilmente compatibile con le esigenze di trasparenza e con la giurisdizione della magistratura ordinaria.

Le ragioni di una scelta

Il contesto che ha spinto il legislatore a proporre questo intervento è chiaro. Tra gennaio 2023 e luglio 2024 l’Italia ha registrato oltre 19 mila attacchi informatici con una media di più di trenta al giorno. Nei primi sei mesi del 2025 l’Agenzia per la Cybersicurezza Nazionale ha rilevato un aumento del 53 per cento rispetto all’anno precedente con quasi trecentocinquanta incidenti a impatto confermato.

Gli attacchi colpiscono soprattutto i settori dell’energia e dell’acqua ma anche pubblica amministrazione università e telecomunicazioni. L’episodio del ransomware che nel 2021 paralizzò la Regione Lazio resta un caso emblematico della vulnerabilità del sistema Paese e del potenziale impatto delle minacce ibride. Nonostante non fosse un atto di guerra il blocco dei servizi sanitari e delle prenotazioni vaccinali produsse effetti paragonabili a quelli di un’azione militare convenzionale.

Il nodo della governance

Il disegno di legge apre inevitabilmente una riflessione sul coordinamento istituzionale. L’Italia dispone già di un’autorità civile unica l’Agenzia per la Cybersicurezza Nazionale con il compito di prevenire mitigare e certificare la sicurezza informatica. L’ingresso delle Forze Armate con funzioni operative anche in tempo di pace solleva il rischio di un doppio binario che potrebbe replicare frammentazioni già sperimentate in passato.

Una difesa cibernetica efficace richiede al contrario una strategia unitaria che definisca ruoli e responsabilità senza sovrapposizioni. La Difesa può avere un ruolo centrale nella risposta attiva, mentre l’Agenzia dovrebbe mantenere la funzione di coordinamento della resilienza nazionale. Una governance competitiva anziché integrata rischierebbe di indebolire il sistema complessivo.

Il confronto con i modelli internazionali

Gli alleati occidentali hanno già affrontato sfide simili. Negli Stati Uniti lo US Cyber Command opera come comando unificato con meccanismi di supervisione civile e un sistema di accountability consolidato. Nel Regno Unito il GCHQ gestisce la maggior parte delle operazioni mantenendo una chiara separazione tra compiti civili e militari.

Il caso più vicino all’Italia è la Germania che ha istituito il Comando per lo Spazio Cibernetico e delle Informazioni all’interno della Bundeswehr. Anche lì il tema della compatibilità costituzionale e del controllo parlamentare è ancora aperto. L’esperienza tedesca dimostra che un trasferimento diretto di poteri alla Difesa non basta a risolvere le criticità legali e democratiche del dominio cibernetico.

Verso un equilibrio tra sicurezza ed equità giuridica

Il rafforzamento della capacità di risposta è una priorità strategica ma non può tradursi in un indebolimento delle garanzie dello stato di diritto. L’attribuzione di poteri eccezionali a militari e civili specializzati deve essere accompagnata da una cornice normativa chiara che definisca presupposti limiti e modalità di intervento.

Occorre inoltre investire nelle competenze con un polo formativo cyber interforze che coinvolga università e industria e attragga talenti con strumenti di lungo periodo. La trasparenza deve restare un pilastro anche quando le operazioni richiedono riservatezza. La rendicontazione parlamentare non può essere un atto formale ma deve tradursi in un controllo sostanziale.

Il futuro della difesa cibernetica in Italia

Il disegno di legge Minardo rappresenta una tappa significativa nell’evoluzione della difesa nazionale. La sua attualità deriva dall’urgenza di affrontare minacce crescenti che non conoscono confini né dichiarazioni di guerra. Ma la vera sfida per l’Italia è costruire un’architettura di sicurezza cibernetica solida sul piano operativo coerente sul piano istituzionale e inattaccabile sul piano democratico.

Solo superando le frammentazioni, definendo regole certe e valorizzando le competenze, sarà possibile proteggere il Paese dalle guerre ibride senza sacrificare i diritti civili e i principi costituzionali che ne garantiscono la coesione.

L'articolo Cyberwar in Italia: il governo porta l’esercito nel cyberspazio proviene da il blog della sicurezza informatica.

Dopo una intro che è più un rant, parliamo di come El Zucko continua a pensare di avere qualcosa da dire sul "futuro" e soprattutto che a qualcuno interessino le sue idee da quattro soldi al riguardo. Sì, parliamo di Meta Ray-Ban Display (sono stupidi smart glass, nonostante il nome roboante).

spreaker.com/episode/dk-10x03-…

EDRi, along with a broad coalition of civil society organisations, demands urgent action from the European Commission and Member States to ensure that the rights enshrined in the AI Act do not remain hollow promises, but that the Commission and Member States act decisively and immediately to ensure the timely national implementation of the AI Act now.

The post Open Letter: The European Commission and Member States must keep AI Act national implementation on track appeared first on European Digital Rights (EDRi).

What do you do when you find a ISA Sound Blaster 2.0 card in a pile of scrap? Try to repair the damage on it to give it a second shot at life, of course. This is what [Adrian Black] did with one hapless victim, with the card in question being mostly in good condition minus an IC that had been rather rudely removed. The core Creative CT1336A and Yamaha YM3812 ICs were still in place, so the task was to figure out what IC was missing, find a replacement and install it.

The CT1350 is the final revision of the original 8-bit ISA Sound Blaster card, with a number of upgrades that makes this actually quite a desirable soundcard. The CT1350B revision featured here on a card from 1994 was the last to retain compatibility with the C/MS chips featured on the original SB card. After consulting with [Alex] from the Bits und Bolts YT channel, it was found that not only is the missing IC merely an Intel 8051-based Atmel MCU, but replacements are readily available. After [Alex] sent him a few replacements with two versions of the firmware preflashed, all [Adrian] had to do was install one.

Before installation, [Adrian] tested the card to see whether the expected remaining functionality like the basic OPL2 soundchip worked, which was the case. Installing the new MCU got somewhat hairy as multiple damaged pads and traces were discovered, probably because the old chip was violently removed. Along the way of figuring out how important these damaged pads are, a reverse-engineered schematic of the card was discovered, which was super helpful.

Some awkward soldering later, the card’s Sound Blaster functionality sprung back to life, after nudging the volume dial on the card up from zero. Clearly the missing MCU was the only major issue with the card, along with the missing IO bracket, for which a replacement was printed after the video was recorded.

youtube.com/embed/40nBje9KRTk?…

hackaday.com/2025/09/22/revivi…

Pronti per portare a Roma destinazione Camera dei deputati le 24 mila firme contro i poteri speciali di Gualtieri.

Appuntamento a piazza Capranica dalle 12 alle 18. Domani 23 settembre e mercoledì 24 settembre.