Nell’ambito delle indagini condotte dalla Procura della Repubblica di Roma e con il coordinamento della Direzione Nazionale Antimafia e Antiterrorismo, la Polizia Postale ha portato a termine importanti attività investigative nell’Operazione Eastwood nei confronti gruppo hacker filorusso noto come “NoName057(16)”, contemporaneamente ad analoghe attività in Germania, Stati Uniti, Olanda, Svizzera, Svezia, Francia e Spagna.

Il gruppo NONAME dal marzo del 2022 ad oggi, ha portato migliaia di attacchi verso siti governativi, della pubblica amministrazione, di infrastrutture di trasporto pubblico, istituti bancari, sanità e telecomunicazioni in diversi paesi europei.

Le indagini, coordinate a livello internazionale da Eurojust ed Europol hanno consentito di identificare numerosi aderenti al gruppo, disvelando chi si celava dietro ai server remoti, agli account Telegram e ai pagamenti in criptovaluta riconducibili alla crew hacker.

Cinque mandati di arresto internazionali sono stati altresì emessi nei confronti di altrettanti soggetti di nazionalità russa, 2 dei quali ritenuti vertici dell’organizzazione. Più di 600 server in vari Paesi sono stati disattivati ed in parte sottoposti a sequestro, in quanto server costituenti l’infrastruttura criminale da cui partivano gli attacchi.

NONAME reclutava simpatizzanti, distribuendo gli elenchi dei target occidentali da colpire e rivendicando poi gli attacchi attraverso ipropri canali anonimi Telegram. Con il canale DDosia Project, NONAME metteva a disposizione un software per entrare e operare nel gruppo.

L’infrastruttura criminale è risultata articolata su un livello centrale di comando e controllo nella Federazione russa, server intermedi dedicati alla anonimizzazione del segnale e alla dispersione delle tracce e, quindi in migliaia di computer messi a disposizione di NONAME dagli aderenti per gli attacchi.

NONAME ha coordinato gli attacchi dal territorio russo, remunerando in criptovalute gli aderenti. Gli attacchi “DDOS” (Distributed Denial of Service), con ingenti quantità di connessioni simultanee dai computer verso i siti da colpire, sono stati mirati a provocarne il collasso e la temporanea inservibilità, con ripercussioni anche rilevanti sull’erogazione dei servizi pubblici.

In Italia, le indagini delCNAIPIC, con i Centri operativi della Polizia Postale di Piemonte, Lombardia, Veneto, Friuli-VG, Emilia-Romagna e Calabria, hanno condotto alla identificazione di 5 soggetti, ritenuti aderenti al gruppo avendo effettuato attacchi ad infrastrutture nazionali ed europee.

Nei confronti degli stessi la Procura della Repubblica di Roma ha emesso decreti di perquisizione eseguiti dai medesimi uffici. Sono inoltre al vaglio altre posizioni. Si sottolinea che le persone sottoposte ad indagine nei cui confronti si procede, debbono ritenersi innocenti fino a quando la loro colpevolezza non sia stata legalmente accertata con una sentenza definitiva.

Risultati complessivi dell’operazione Eastwood

• 2 arresti (1 arresto preliminare in Francia e 1 in Spagna)
• 7 mandati di arresto emessi (6 dalla Germania e 1 dalla Spagna)
• 24 perquisizioni domiciliari (2 in Repubblica Ceca, 1 in Francia, 3 in Germania, 5 in Italia, 12 in Spagna, 1 in Polonia)
• 13 persone intervistate (2 in Germania, 1 in Francia, 4 in Italia, 1 in Polonia, 5 in Spagna)
• Oltre 1.000 sostenitori, di cui 15 amministratori, sono stati avvisati della loro responsabilità legale tramite un’app di messaggistica
• Oltre 100 server interrotti in tutto il mondo
• La maggior parte dell’infrastruttura principale di NoName057(16) è stata messa offline

Paesi partecipanti

• Repubblica Ceca – Agenzia nazionale antiterrorismo, estremismo e criminalità informatica
• Finlandia – Ufficio nazionale investigativo (NBI)
• Francia – Unità nazionale di sicurezza informatica della Gendarmeria nazionale, Procura della Repubblica di Parigi – Giurisdizione nazionale contro la criminalità organizzata (JUNALCO)
• Germania – Ufficio federale di polizia criminale (Bundeskriminalamt), Procura generale di Francoforte sul Meno – Centro per la criminalità informatica
• Italia – Polizia di Stato (Polizia di Stato)
• Lituania – Polizia nazionale
• Paesi Bassi – Polizia nazionale (Politie), Procura della Repubblica
• Polonia – Ufficio centrale per la criminalità informatica
• Spagna – Guardia Civil, Polizia Nazionale (Policía Nacional)
• Svezia – Polisen
• Svizzera – Ufficio federale di polizia fedpol e Ministero pubblico della Confederazione (MPC)
• Stati Uniti – Federal Bureau of Investigation

Paesi di supporto

• Belgio
• Canada
• Danimarca
• Estonia
• Lettonia
• Romania
• Ucraina

Agenzie UE partecipanti

• Europol
• Eurojust
• ENISA

L'articolo Operazione Eastwood: Smantellato il gruppo hacker filorusso NoName057(16) proviene da il blog della sicurezza informatica.

For decades there has been this tantalizing idea being pitched of pulling CO₂ out of the air and using the carbon molecules for something more useful, like making plastics. Although this is a fairly simple process, it is also remarkably inefficient. Recently Caltech researchers have managed to boost the efficiency somewhat with a new two-stage process involving electrocatalysis and thermocatalysis that gets a CO₂ utilization of 14%, albeit with pure CO₂ as input.
The experimental setup with the gas diffusion electrode (GDE) and the copolymerization steps. (Credit: Caltech)
The full paper as published in Angewandte Chemie International is sadly paywalled with no preprint available, but we can look at the Supplemental Information for some details. We can see for example the actual gas diffusion cell (GDE) starting on page 107 in which the copper and silver electrodes react with CO₂ in a potassium bicarbonate (KHCO₃) aqueous electrolyte, which produces carbon monoxide (CO) and ethylene (C₂H₄). These then react under influence of a palladium catalyst in the second step to form polyketones, which is already the typical way that these thermoplastics are created on an industrial scale.

The novelty here appears to be that the ethylene and CO are generated in the GDEs, which require only the input of CO₂ and the potassium bicarbonate, with the CO2 recirculated for about an hour to build up high enough concentrations of CO and C₂H₄. Even so, the researchers note a disappointing final quality of the produced polyketones.

Considering that a big commercial outfit like Novomer that attempted something similar just filed for Chapter 11 bankruptcy protection, it seems right to be skeptical about producing plastics on an industrial scale, before even considering using atmospheric CO₂ for this at less than 450 ppm.

hackaday.com/2025/07/16/caltec…

Cloudflare ha registrato un netto calo degli attacchi DDoS nel secondo trimestre del 2025, bloccandone 7,3 milioni, rispetto ai 20,5 milioni segnalati nel primo trimestre. Nonostante il calo complessivo degli attacchi, la quota di incidenti estremi è aumentata significativamente.

Nel secondo trimestre, Cloudflare ha registrato una media di 71 attacchi ipervolumetrici al giorno, portando il totale a oltre 6.500. Questi attacchi, caratterizzati da un’intensità estrema, sono diventati particolarmente evidenti nel contesto del calo generale. Un incidente di questo tipo ha raggiunto il picco di 7,3 terabit al secondo e 4,8 miliardi di pacchetti al secondo in meno di un minuto. Questi picchi di traffico sono accompagnati non solo da attacchi di forza bruta, ma anche da tecniche più subdole, come la scansione delle vulnerabilità in background, che consente agli aggressori di aggirare le difese standard.

Il numero di attacchi L3/L4 è diminuito dell’81% rispetto al primo trimestre, attestandosi a 3,2 milioni, mentre gli attacchi HTTP sono aumentati del 9%, raggiungendo quota 4,1 milioni. Oltre il 70% degli attacchi HTTP proveniva da botnet note. I metodi più frequentemente utilizzati si basavano sul sovraccarico tramite protocolli DNS, TCP SYN e UDP.

I criminali informatici hanno preso di mira più spesso le aziende di telecomunicazioni e i fornitori di servizi, seguiti dai settori di Internet, dei servizi IT e del gioco d’azzardo. Le regioni più colpite sono state Cina, Brasile, Germania, India, Corea del Sud, Turchia, Hong Kong, Vietnam, Russia e Azerbaigian. La maggior parte degli attacchi ha avuto origine da Indonesia, Singapore, Hong Kong, Argentina e Ucraina.

Di particolare rilievo è l’aumento degli attacchi che superano la soglia dei 100 milioni di pacchetti al secondo, con un aumento del 592% rispetto al trimestre precedente. Anche gli attacchi ransomware sono aumentati del 68%. In questi casi, gli aggressori minacciano di lanciare un attacco DDoS o ne stanno già eseguendo uno, chiedendo poi un compenso per fermarlo.

Cloudflare sottolinea che gli attacchi di grandi dimensioni stanno diventando sempre più frequenti. Su 100 attacchi HTTP, sei superano un milione di richieste al secondo e su 10.000 attacchi L3/L4, cinque superano 1 terabit al secondo, con un aumento del 1.150% in un trimestre.

L’azienda ha anche segnalato l’attività della botnet DemonBot , che prende di mira i sistemi Linux, principalmente i dispositivi IoT vulnerabili. Il malware sfrutta porte aperte e password deboli per ingaggiare i dispositivi in attacchi DDoS su larga scala a livello UDP, TCP e applicazione. DemonBot è controllato tramite server di comando e controllo ed è in grado di generare enormi quantità di traffico, attaccando servizi di gaming, hosting e aziendali.

La diffusione di tali minacce è associata a problemi tipici: scarsa sicurezza dei dispositivi IoT, porte SSH aperte e software obsoleto. Tali vulnerabilità, in combinazione con tecniche come attacchi TCP riflessi, amplificazione DNS e burst di traffico ingannevoli, vengono sempre più analizzate nei report di Cloudflare sulla sicurezza delle minacce e delle API.

L'articolo Cloudflare: Calo degli attacchi DDoS nel secondo trimestre del 2025, ma aumentano quelli estremi proviene da il blog della sicurezza informatica.

For home HVAC systems, heat pumps seem to be the way of the future. When compared to electric heating they can be three to four times more efficient, and they don’t directly burn fossil fuels. They also have a leg up over standard air conditioning systems since they can provide both cooling and heating, and they can even be used on water heating systems. Their versatility seems unmatched, but it does come at a slight cost of complexity as [Janne] learned while trying to bring one back to life.

The heat pump here is a Samsung with some physical damage, as well as missing the indoor half of the system. Once the damage to the unit was repaired and refilled with refrigerant, [Janne] used an Optidrive E3 inverter controlled by an Arduino Mega to get the system functional since the original setup wouldn’t run the compressor without the indoor unit attached. The Arduino manages everything else on the system as well including all of the temperature sensors and fan motor control.

With everything up and running [Janne] connected the system to a swimming pool, which was able to heat the pool in about three hours using 60 kWh of energy. The system is surprisingly efficient especially compared to more traditional means of heating water, and repairing an old or damaged unit rather than buying a new one likely saves a significant amount of money as well. Heat pump projects are getting more common around here as well, and if you have one in your home take a look at this project which adds better climate control capabilities. to a wall mount unit.

hackaday.com/2025/07/16/arduin…

Nine civil society organisations, including EDRi, submitted a complaint against X for violating the Digital Services Act (DSA) by using people’s sensitive personal data for targeted ads. Together, we are calling for Digital Services Coordinators and the European Commission to promptly investigate X, and hold it to accountable for undermining users’ fundamental rights.

The post Civil society files joint DSA complaint against X for targeting people with ads using their sensitive personal data appeared first on European Digital Rights (EDRi).

L’11 luglio, ora locale, è stato rivelato che Google DeepMind aveva “reclutato” con successo il team principale della startup di intelligenza artificiale Windsurf. Non molto tempo prima, OpenAI stava negoziando un’acquisizione da 3 miliardi di dollari con Windsurf, e anche Geek Park ne aveva parlato in un podcast. Inaspettatamente, la collaborazione tra le due parti non si è concretizzata, ma Google si è assicurata nuovo “sangue” nel settore dell’AI. Secondo indiscrezioni, Google pagherà 2,4 miliardi di dollari in licenze e compensi per ottenere il contributo di Douglas Chen, co-fondatore di Windsurf, insieme ad alcuni istituti di ricerca avanzata, per rafforzare i propri progetti nel campo della programmazione AI. Windsurf, dal canto suo, rimarrà formalmente indipendente e potrà continuare a concedere in licenza la propria tecnologia ad altre aziende.

Questo modello non è una novità, ma un riflesso di una strategia sempre più aggressiva da parte dei giganti tecnologici: Meta, Google, Apple e la xAI di Elon Musk competono ormai apertamente per attrarre i migliori talenti, anche a costo di “rubare” interi team alle startup emergenti o sottrarli direttamente a colossi rivali come OpenAI e Anthropic. Si parla di pacchetti retributivi che possono arrivare a decine o addirittura centinaia di milioni di dollari, bonus alla firma fuori scala e stock option che trasformano ricercatori e ingegneri chiave in vere e proprie “star” del mercato tecnologico. Spesso sono gli stessi CEO a scendere in campo, organizzando chiamate personali, meeting riservati o investimenti mirati per conquistare pochi profili di altissimo livello.

Tra tutti i big, l’approccio di Meta si distingue per la sua spregiudicatezza. A giugno, l’azienda di Mark Zuckerberg ha riorganizzato completamente il proprio team AI, creando un “super laboratorio” e acquistando quasi metà della startup Scale AI per 14,3 miliardi di dollari. Oltre alla quota societaria, Meta ha nominato il giovane CEO di Scale AI, Alexandr Wang, come nuovo Chief AI Officer, dimostrando quanto sia disposta a spendere per garantirsi figure strategiche. In parallelo, Meta ha puntato direttamente ai migliori ricercatori di OpenAI e Google, offrendo pacchetti contrattuali fino a 300 milioni di dollari in quattro anni, con possibilità di incassare subito una parte consistente.

OpenAI si è trovata così a diventare, suo malgrado, una sorta di “supermercato” del talento AI. Secondo fonti interne, Meta avrebbe già strappato almeno sette tra i migliori sviluppatori e ricercatori di modelli AI della compagnia fondata da Sam Altman. Quest’ultimo, pur minimizzando la fuga dei profili più strategici, ha ammesso la necessità di intervenire, distribuendo bonus di fidelizzazione tra 1 e 2 milioni di dollari per convincere i ricercatori chiave a resistere alle offerte esterne. La situazione è stata aggravata dalle tensioni interne e dalle crisi di governance che hanno scosso OpenAI negli ultimi due anni, rendendo il personale più vulnerabile al corteggiamento dei rivali.

La concorrenza però non si limita a Meta. Anche Apple, storicamente restia a pubblicizzare le proprie ricerche AI, si è trovata costretta a cambiare rotta. Ha iniziato a permettere ai propri ricercatori di pubblicare articoli scientifici e ha avviato massicci investimenti nei modelli di grandi dimensioni. Tuttavia, questo non ha impedito a Meta di convincere il direttore della ricerca sui modelli di base di Apple a cambiare azienda, offrendogli oltre 100 milioni di dollari, uno stipendio che supera quello della quasi totalità dei dirigenti Apple, fatta eccezione per il CEO Tim Cook.

Nel complesso, quello che sta accadendo in Silicon Valley somiglia sempre più a un vero “calciomercato” dei talenti dell’intelligenza artificiale. Profili che in pochi anni passano da Google a OpenAI, poi a Meta o xAI, in cerca del pacchetto più ricco o della promozione più ambita. In alcuni casi, questi ricercatori decidono di fondare una nuova startup, attirando centinaia di milioni di finanziamenti solo grazie al curriculum accumulato.

Altri, invece, rifiutano le cifre stellari per non diventare “nomadi del talento”. Intanto, sui social, è diventata virale la foto che paragona un ricercatore AI cinese, pagato come una superstar del calcio, a Cristiano Ronaldo: un segno evidente che nella Silicon Valley il vero campione, oggi, non è chi segna più gol, ma chi scrive il miglior algoritmo.

I grandi colossi offrono pacchetti retributivi da decine o addirittura centinaia di milioni di dollari per sottrarre, in tempi rapidissimi, interi team e talenti chiave ai rivali. Spesso sono gli stessi CEO a scendere in campo in prima persona: organizzano chiamate dirette, incontri riservati o investono strategicamente in startup, con l’obiettivo di conquistare pochi fondatori o ingegneri di altissimo profilo. Le aziende “colpite” da queste manovre sono quindi costrette a reagire, distribuendo bonus di fidelizzazione sempre più elevati per arginare la fuga di competenze e trattenere i propri talenti migliori.

Si può dire che la “guerra dei talenti” nel campo dell’intelligenza artificiale nella Silicon Valley abbia ormai raggiunto livelli parossistici, con la stragrande maggioranza dei fondi che finisce per alimentare un’esigua élite: quell’1% dei talenti più ambiti e qualificati del settore.

È l’ennesima conferma che il mondo del lavoro sta cambiando radicalmente: l’intelligenza artificiale rischia di concentrare nelle mani di pochi ciò che un tempo apparteneva a molti.

Ai posteri l’ardua sentenza.

L'articolo La verità scomoda sul lavoro e l’AI: il 99% lotta, l’1% vince proviene da il blog della sicurezza informatica.

Radio Shack, despite being gone for a number of years, is still in our cultural consciousness. But Tandy, the company behind Radio Shack for many years. Did you ever wonder how a leather company started in 1919, because, briefly, a computer giant? Or even an electronics retailer? [Abort Retry Fail] has the story in three parts. Well, three parts so far. They are only up to the Tandy 1000.

At first, the company made parts for shoes. But after World War II, they found that catering to leather crafting hobbyists was lucrative. Within a few years, they’d opened stores across the country, making sure that the store managers owned 25% of their stores, even if it meant they had to borrow money from the home office to do so. Meanwhile, Radio Shack was in Boston selling ot radio amateurs. By 1935, Radio Shack was a corporation. In 1954, they started selling “Realist” brand equipment (what we would come to know as Realistic, of course).

In 1961, Tandy decided to branch out into other hobby markets, including radio hobbyists. But Radio Shack, dabbling in consumer credit, was sunk with $800,000 of uncollectable consumer credit.

In 1963, Tandy purchased the struggling Radio Shack for $300,000, which was a substantial amount of money in those days. Tandy immediately set about making Radio Shack profitable. Tandy would eventually split into three companies, spinning off its original leather and craft businesses.

Then came computers. If you are at all interested in the history of early computers, the TRS-80, or any of the other Radio Shack computers, you’ll enjoy the story. It wasn’t all smooth sailing. We can’t wait to read part four, although sadly, we know how the story ends.

We don’t just miss the Radio Shack computers. We loved P-Box kits. Yeah, we know someone bought the brand. But if you visit the site, you’ll see it just isn’t the same.

hackaday.com/2025/07/15/a-hist…

Il gruppo di hacker ransomware Interlock sta distribuendo un trojan di accesso remoto (RAT) attraverso siti web compromessi. Gli hacker utilizzano attacchi FileFix per diffondere il malware. Gli attacchi ClickFix si basano sull’ingegneria sociale. Recentemente, diverse varianti di questi attacchi sono diventate comuni. In genere, le vittime vengono attirate su siti fraudolenti e indotte con l’inganno a copiare ed eseguire comandi PowerShell dannosi. In altre parole, infettano manualmente il proprio sistema con malware.

Gli aggressori spiegano la necessità di eseguire determinati comandi risolvendo problemi di visualizzazione del contenuto nel browser o chiedendo all’utente di risolvere un CAPTCHA falso. Sebbene gli attacchi ClickFix prendano di mira più spesso gli utenti Windows convinti a eseguire comandi PowerShell, i ricercatori di sicurezza hanno già segnalato campagne mirate anche agli utenti macOS e Linux.

Secondo ESET, l’uso di ClickFix come vettore di accesso iniziale è aumentato del 517% tra la seconda metà del 2024 e la prima metà del 2025. La tecnica FileFix , descritta di recente dall’esperto di sicurezza mr.d0x, è una variante dell’attacco ClickFix, ma utilizza l’interfaccia più familiare di Windows File Explorer anziché la riga di comando.

Pertanto, sulla pagina dannosa, l’utente viene informato che gli è stato concesso l’accesso generale a un determinato file. Per trovare questo file, il percorso dovrebbe essere copiato e incollato in Explorer. “La pagina di phishing potrebbe contenere un pulsante ‘Apri Esplora file’, che se cliccato avvierà Esplora file (utilizzando la funzionalità di caricamento file) e copierà il comando PowerShell negli appunti”, ha spiegato mr.d0x. Ciò significa che dopo aver inserito il percorso del file e premuto Invio, verrà eseguito il comando PowerShell dannoso.

Già all’inizio di maggio 2025, il DFIR Report e Proofpoint avevano segnalato che l’Interlock RAT veniva distribuito tramite KongTuke (o LandUpdate808), un sofisticato sistema di distribuzione del traffico (TDS) che distribuiva malware tramite un processo in più fasi che prevedeva l’uso di ClickFix e falsi CAPTCHA. Come ormai noto, all’inizio di giugno gli hacker sono passati a FileFix e hanno iniziato a distribuire la variante PHP di Interlock RAT. Gli specialisti del rapporto DFIR segnalano che in alcuni casi viene distribuita anche la variante Node.js del malware.

Una volta eseguito, il RAT raccoglie informazioni sul sistema utilizzando comandi PowerShell per raccogliere e trasmettere dati ai suoi operatori. Il malware verifica anche i privilegi dell’utente connesso. Il RAT si collega al sistema e attende l’esecuzione di ulteriori comandi. Allo stesso tempo, il rapporto degli esperti rileva che gli aggressori operano chiaramente manualmente con il malware, controllando i backup, navigando tra le directory locali e controllando i controller di dominio. I ricercatori osservano che in alcuni casi gli aggressori hanno utilizzato RDP per spostarsi lateralmente negli ambienti compromessi.

Il malware utilizza trycloudflare[.]com come server di comando e controllo, abusando del legittimo servizio Cloudflare Tunnel per nascondere la propria attività. Il rappresentante del DFIR ritiene che questa campagna sia opportunistica.

L'articolo Gli hacker utilizzano ClickFix e FileFix per diffondere il trojan Interlock proviene da il blog della sicurezza informatica.

A cura del Cyber Defence Center Maticmind (Andrea Mariucci, Riccardo Michetti, Federico Savastano, Ada Spinelli)

Il threat actor SCATTERED SPIDER, UNC9344 fa la sua comparsa nel 2022, con due attacchi mirati ai casinò Caesars e MGM. Afferente al gruppo informale “The Com”, UNC3944 è noto per le sue sofisticate tattiche di social engineering e la capacità di navigare negli ambienti cloud.

SCATTERED SPIDER utilizza una varietà di tecniche per ottenere l’accesso ai sistemi delle vittime, tra cui il furto di credenziali amministrative attraverso attacchi di phishing via e-mail, SMS, SIM swapping e impersonation di personale IT/helpdesk, nonché software legittimi come AnyDesk e ScreenConnect per mantenere la persistenza.

Il gruppo è anche noto per l’uso di ransomware come BlackCat/ALPHV e tecniche di Bring Your Own Vulnerable Driver (BYOVD) per evadere i software di sicurezza. BlackCat, gruppo ransomware russofono, ha dato vita a una partnership con Scattered Spider, dando loro accesso al proprio ransomware.

Nonostante alcuni arresti tra il 2024 e il 2025, gli attacchi SCATTERED SPIDER ha mostrato una notevole resilienza, anche grazie alla sua capacità di costruire alleanze con gruppi cybercriminali afferenti alla galassia russa, fattore che contribuisce a rendere il gruppo una delle minacce più significative nel panorama attuale.

Scheda del Threat Actors

• Denominazione Principale: SCATTERED SPIDER
• Alias: – UNC3944, Scatter Swine, Star Fraud, Octo Tempest, e Muddled Libra, Oktapus, Storm-0971, DEV-0971
• Classificazione: Collettivo cybercriminale decentralizzato
• Prima rilevazione: 2022
• Stato Attuale: Attivo a giugno 2025, con attività recenti rivolte al settore aereo
• Composizione: Principalmente individui madrelingua inglese. Alcuni membri arrestati da FBI e Polizia del Regno Unito erano residenti con un’età inferiore ai venticinque anni.
• Membri noti: Tyler Buchanan, 22, Scozia; Ahmed Elbadawy, 23, US; Joel Evans, US; Evans Osiebo, 20, US; Noah Urban, 20, US; Remington Ogletree, 19, US.
• Affiliazioni: Ha stretto accordi di collaborazione con gruppi ransomware russi come BlackCat/ALPHV, Dragonforce e Qilin, effettuando deployment dei rispettivi ransomware. Scattered Spider è associato a “The Com”, una comunità cybercriminale decentrata, lapsus.

Motivazioni e Obiettivi

• Obiettivo primario: Finanziario
  Scattered Spider è principalmente motivato da obiettivi finanziari, conducendo attività come estorsione di dati, furto di criptovalute e attacchi ransomware.
• Motivazione Geopolitica: Assente
  Il focus del gruppo su vittime anglofone sembra derivare da vantaggi linguistici nelle tattiche di social engineering e impersonificazione. Sebbene esistano collaborazioni con cybercriminali russi come BlackCat/ALPHV, queste appaiono opportunistiche piuttosto che guidate da motivazioni ideologiche.
• Valore strategico: Colpendo settori ad alto profilo come telecomunicazioni, tecnologia, trasporti, retail e infrastrutture critiche, Scattered Spider si è affermato come un threat actor avanzato. La sua expertise lo rende attraente per entità ostili interessate a sfruttarne le capacità.

Diamond Model

MITRE TTP

Ransomware e Malware/Tools

Scattered Spider impiega diverse famiglie di malware con funzionalità di furto di informazioni (InfoStealer) e accesso remoto (RAT), oltre a ransomware come BlackCat,

Exploited Open Source tools & Living-off-the-Land (LotL)

Scattered Spider sfrutta frequentemente software Open Source o legittimi come strumenti di gestione remota presenti nell’ambiente della vittima, oppure installati dopo l’accesso, come parte di attacchi in stile Living-off-the-Land (LotL).

Focus: EDR evasion abusing BYOVD – STONESTOP e POORTRY

Il loader STONESTOP è stato utilizzato dal gruppo SCATTERED SPIDER almeno a partire da agosto 2022. Si tratta di un’utilità per Windows che opera in modalità utente e funge da loader e installer per POORTRY. POORTRY è un driver in modalità kernel di Windows utilizzato per terminare i processi legati ai sistemi di sicurezza, come EDR (Endpoint Detection and Response) e antivirus.

Questi strumenti vengono utilizzati in combinazione da SCATTERED SPIDER, ma sono stati osservati anche in attacchi lanciati da altri attori, il che suggerisce una circolazione del toolkit malevolo in canali sommersi legati al crimine informatico.

I driver risultavano firmati con certificati Microsoft attraverso il programma Microsoft Windows Hardware Developer Program. L’abuso di tali certificati ha portato l’azienda a chiudere gli account coinvolti nelle firme e a revocare i certificati stessi. Secondo una ricerca di Mandiant, si è trattato di un’operazione malevola di tipo “Malicious Driver Signing as a Service”, indicando che i certificati potrebbero essere stati ottenuti attraverso servizi illegali che forniscono firme digitali per software malevoli.

Timeline degli Attacchi Principali

Attacco a MGM Resorts e Caesars Palace (2023)

• Data: Settembre 2023
• Obiettivo: MGM Resorts e Caesars Palace, due dei principali hotel e casinò di Las Vegas
• Metodo d’attacco: Utilizzo di tecniche di social engineering, impersonation di personale dell’IT per bypassare MFA. Deployment del ransomware ALPHV/BlackCat tramite comandi powershell. L’attaccante è riuscito a penetrare nell’infrastruttura cloud e on-premise delle vittime, infiltrando servizi Okta, Azure, Citrix e Sharepoint
• Impatto: Interruzione dei servizi. Esfiltrazione di dati personali dei clienti. Perdite stimate attorno ai 100 milioni di dollari.
• Malware/Toolset: BlackCat/ALPHV, social engineering

Campagna UK Retailers (2025)

• Data: Q1 2025
• Obiettivo: Aziende UK del settore retail
• Metodo d’attacco: Ransomware, con accesso iniziale tramite social engineering, compromissione delle credenziali e potenziale abuso dei processi del helpdesk IT. L’uso del ransomware Dragonforce evidenzia una potenziale partecipazione del gruppo, con coinvolgimento di Scattered Spider.
• Impatto: Interruzione delle funzioni aziendali critiche, esfiltrazione dei dati dei clienti, costi finanziari stimati tra £270 milioni e £440 milioni
• Malware/Toolset: Social engineering, compromissione delle credenziali, abuso dei processi dell’helpdesk IT, ransomware Dragonforce

Campagna Insurance (2025)

• Data: Q1 2025
• Obiettivo: Compagnie assicurative statunitensi
• Metodo d’attacco: Accesso iniziale tramite social engineering, Phishing, SIM-Swapping, MFA Fatigue/MFA Bombing
• Impatto: Disconnessione dei sistemi colpiti, interruzione dei servizi
• Malware/Toolset: Non noto

Campagna Airlines (2025)

Con una nota pubblicata su X il 28/06/2025, l’FBI comunicava lo spostamento dell’attenzione di Scattered Spider sul settore del trasporto aereo. L’agenzia statunitense ha inoltre messo in guardia gli operatori del settore contro le tecniche di social engineering tipicamente usate dall’attore e volte a bypassare i sistemi di autenticazione. Nelle settimane seguenti, attacchi cibernetici hanno colpito tre compagnie aeree occidentali con TTP simili a quelle di Scattered Spider. Al momento, tuttavia, non ci sono attribuzioni ufficiali all’attore.
Figura 1 – Post X di FBI su Scattered Spider e aviazione civile

Contrimisure

Sulla base delle evidenze presentate all’interno del report, si formulano alcune raccomandazioni e contromisure utili a minimizzare o contenere danni provenienti dall’attore qui descritto o da eventuali gruppi emulatori.

IoC

Domini che seguono il seguente pattern:

• victimname-sso[.]com
• victimname-servicedesk[.]com
• victimname-okta[.]com

Fonti

• Microsoft, learn.microsoft.com/en-us/wind…
• Google, cloud.google.com/blog/topics/t…-sim-swapping-ransomware,[/url] cloud.google.com/blog/topics/t… cloud.google.com/blog/topics/t… cloud.google.com/blog/topics/t…-sim-swapping-ransomware,[/url] cloud.google.com/blog/topics/t…
• Group-ib, group-ib.com/blog/0ktapus/
• Mphasis, mphasis.com/content/dam/mphasi…
• SOCRadar, socradar.io/dark-web-profile-s…
• Morphisec, morphisec.com/blog/mgm-resorts…
• Threatdown, threatdown.com/blog/ransomware…
• Bitsight, bitsight.com/blog/who-is-scatt…
• Crowdstrike, crowdstrike.com/en-us/blog/ana… crowdstrike.com/en-us/blog/sca… crowdstrike.com/en-us/blog/ana… crowdstrike.com/en-us/blog/cro…
• Security Journal UK, securityjournaluk.com/m-and-s-…
• Paloalto, unit42.paloaltonetworks.com/mu…
• Cyber Monitoring Center, cybermonitoringcentre.com/2025…
• aha.org, aha.org/system/files/media/fil…
• Forescout, forescout.com/blog/analysis-a-…
• Trellix, trellix.com/blogs/research/sca…
• Checkpoint, blog.checkpoint.com/research/e…
• Dark reading, darkreading.com/cyberattacks-d…[/url]
• SOSintel, sosintel.co.uk/understanding-s…
• Cyberint, cyberint.com/blog/dark-web/mee…
• SANS, sans.org/blog/defending-agains…
• CBS, cbsnews.com/news/scattered-spi…
  CISA cisa.gov/news-events/cybersecu…
• Cyberint, cyberint.com/blog/dark-web/mee…
• Forbes, forbes.com/sites/suzannerowank…
• Cybersecurity Dive, cybersecuritydive.com/news/mgm…
• Reuters, reuters.com/technology/cyberse…-scheme-2024-11-20/[/url]
• Halcyon, halcyon.ai/blog/understanding-…
• Picus Security, picussecurity.com/resource/blo…
• BBC, bbc.com/news/articles/ckgnndrg…
• Bleeping, bleepingcomputer.com/news/secu… bleepingcomputer.com/news/secu… bleepingcomputer.com/news/secu…
• Mjolnir, mjolnirsecurity.com/an-actiona…

Telegram e X:

• twitter.com/FBI/status/1938746…

L'articolo Alla scoperta di Scattered Spider: la minaccia criminale che utilizza tattiche e tecniche avanzate proviene da il blog della sicurezza informatica.

La Cina ha chiesto un’urgente revisione etica e legale dell’uso militare dei robot umanoidi, riporta il South China Morning Post , citando il quotidiano ufficiale dell’esercito cinese, il PLA Daily. Secondo gli autori della pubblicazione, l’uso quotidiano e massivo di tali macchine potrebbe portare a “uccisioni indiscriminate e morti accidentali”, il che causerebbe non solo condanne morali, ma anche conseguenze legali. I veicoli da combattimento umanoidi, secondo gli autori dell’articolo Yuan Yi, Ma Ye e Yue Shiguang, sono attualmente le armi più “umanizzate” e pertanto richiedono una regolamentazione speciale.

Gli autori sottolineano che tali macchine violano già la prima delle tre leggi della robotica di Isaac Asimov: “Un robot non può arrecare danno a un essere umano né, per inazione, permettere che un essere umano subisca danno”. A loro avviso, queste linee guida morali devono essere riviste alla luce degli sviluppi tecnologici. Il nuovo approccio dovrebbe basarsi sui principi di subordinazione agli esseri umani, rispetto per gli esseri umani e protezione degli esseri umani.

I robot devono essere in grado di limitare l’uso della forza, fermare gli attacchi quando necessario e non causare danni indiscriminatamente. Questo, sottolinea il testo, è particolarmente importante per il rispetto delle norme internazionali, comprese le leggi belliche.

Il vantaggio principale di questi mezzi è considerato la presenza di bracci e l’elevata manovrabilità durante l’utilizzo delle attrezzature, che consentono di svolgere compiti inaccessibili ad altri sistemi senza pilota. Tra questi, lo sminamento, la manutenzione, l’evacuazione dei feriti e il lavoro in condizioni difficili.

Tuttavia, gli umanoidi presentano ancora limitazioni significative: bassa velocità, scarsa adattabilità all’ambiente, prezzo elevato e complessità tecnologica di implementazione. Anche se ampiamente diffusi, non sostituiranno altre piattaforme senza pilota, ma solo le completeranno.

Questa non è la prima pubblicazione del PLA Daily sul tema della robotizzazione dell’esercito. A maggio, il quotidiano ha osservato che le macchine umanoidi sono in grado di “ridefinire la comprensione dell’umanità del futuro della guerra”. All’epoca, era stata sottolineata la loro capacità di prendere decisioni in modo autonomo basandosi su algoritmi di intelligenza artificiale e di svolgere missioni di combattimento senza la partecipazione umana.

L'articolo La Cina chiede una revisione etica e legale dei robot umanoidi militari proviene da il blog della sicurezza informatica.

All’inizio di quest’anno, Google ha annunciato che avrebbe sviluppato Android interamente a porte chiuse per semplificare e velocizzare le cose. Si parlava di passare a un’unica branca interna invece di diverse branche parallele. All’epoca, parte della comunità degli sviluppatori Android reagì alla notizia con allarme, ma la tempesta si placò rapidamente, poiché l’azienda aveva precedentemente apportato la maggior parte delle modifiche a porte chiuse, pur promettendo che il codice sorgente sarebbe stato comunque pubblicato. Tuttavia, le recenti modifiche alla parte aperta di Android hanno nuovamente sollevato un’ondata di preoccupazioni sul fatto che Google possa abbandonare la distribuzione completa del codice sorgente.

Questa settimana, come promesso, l’azienda ha finalmente rilasciato il codice sorgente di Android 16 nell’ambito del progetto AOSP con licenza open source Apache 2.0. Tuttavia, gli sviluppatori hanno notato che questa volta mancava qualcosa. I cosiddetti file “device tree” per i dispositivi Pixel sono scomparsi dalla pubblicazione: si tratta di un set di configurazioni che in precedenza semplificava la compilazione di Android per modelli specifici. Inoltre, non sono stati rilasciati nuovi driver binari e la cronologia dei commit nel codice sorgente del kernel è stata compressa in un unico commit comune. In precedenza, Google pubblicava regolarmente tutto questo e la scomparsa di tali elementi è diventata un segnale allarmante. android.googlesource.com/platf…

Alcuni hanno deciso che questo sia il primo passo verso la chiusura del progetto AOSP. In risposta, il vicepresidente della piattaforma Android di Google, Sean Chau, ha affermato che le voci sono infondate e ha sottolineato che il progetto rimane aperto. Ha spiegato che Android necessita di un dispositivo di riferimento indipendente da un produttore specifico e che possa essere utilizzato liberamente dagli sviluppatori. Il dispositivo virtuale Cuttlefish fungerà ora da piattaforma di riferimento, che funzionerà su PC standard e consentirà di testare nuove funzionalità Android senza essere vincolato all’hardware. Google continuerà inoltre a supportare le immagini di sistema GSI universali, adatte alla maggior parte dei dispositivi.

Dal punto di vista di Google, la logica dei cambiamenti è chiara. L’azienda non vuole più utilizzare Pixel come benchmark per AOSP, poiché questo smartphone è un prodotto di consumo finale con molti miglioramenti proprietari. In questo senso, il Cuttlefish virtuale appare più universale, sebbene non sia in grado di riprodurre al cento per cento il comportamento dell’hardware reale.

Ancora più importante, questo avrà un impatto sulla community di sviluppatori di firmware personalizzati come LineageOS. Uno dei principali contributori al progetto, Nolan Johnson, ha affermato che sviluppare firmware per Pixel diventerà “dolorosamente” difficile. In precedenza, gli sviluppatori potevano semplicemente prendere configurazioni già pronte da Google, apportare le proprie modifiche e compilare il sistema. Ora dovranno utilizzare configurazioni obsolete di Android 15 e, attraverso tentativi ed errori, capire cosa è cambiato analizzando i file binari predefiniti.

Senza un albero dei dispositivi, è impossibile sviluppare Android completamente per un dispositivo specifico, poiché questi file descrivono l’hardware, i driver e altri parametri importanti. Inoltre, la scomparsa della cronologia dei commit del kernel impedisce agli sviluppatori di monitorare le correzioni di bug e le vulnerabilità. Sebbene Google non sia legalmente obbligata a pubblicare questi dati, lo fa da anni perché Pixel era considerato una piattaforma di test aperta.

Ora le cose sono cambiate. Per i team di LineageOS e GrapheneOS che creano build Android personalizzate per Pixel, il processo è diventato notevolmente più complesso. Sebbene tecnicamente possano ancora sviluppare AOSP, ora devono ricostruire l’intera configurazione da zero, come hanno fatto a lungo con altri dispositivi Android. L’unico vantaggio rimasto di Pixel è che è ancora facile sbloccare e flashare un’immagine di fabbrica, ma la strada per una ROM personalizzata stabile è diventata molto più tortuosa.

L'articolo Android 16 è open, ma non ha più l’Anima! Sono spariti i file chiave per i Google Pixel proviene da il blog della sicurezza informatica.

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CEST (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement aka Cabinet of Curiosities.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…