Il ransomware continua a rappresentare una delle minacce più pervasive e dannose nel panorama della cybersecurity globale. Nel consueto report “DarkMirror” realizzato dal laboratorio di intelligence DarkLab di Red Hot Cyber, relativo al primo semestre del 2025, gli attacchi ransomware hanno mostrato un’evoluzione significativa sia nelle tecniche utilizzate che negli obiettivi colpiti. Questo report offre una panoramica delle principali tendenze emerse, con un focus sui dati quantitativi e sulle implicazioni per la sicurezza informatica.

Vengono analizzati i trend italiani e globali della minaccia ransomware relativi al secondo semestre del 2025, con un focus sulle tendenze emergenti, le tattiche dei gruppi criminali e l’impatto sui vari settori. In ambito Threat Actors si da spazio alle nuove minacce (insiders), ai modelli di affiliazione e monetizzazione, all’evoluzione dei servizi RaaS, alle operazioni delle forze dell’ordine, agli Initial Access broker (IaB) e alle CVE (Common Vulnerabilities and Exposures) e ai metodi di mitigazione.

Il report è stato realizzato dal gruppo DarkLab e nello specifico da Pietro Melillo, Luca Stivali, Edoardo Faccioli, Raffaela Crisci, Alessio Stefan, Inva Malaj e Massimiliano Brolli.

Scarica DarkMirror H1-2025: Report sulla minaccia ransomware

Trend Ransomware a livello globale

Il fenomeno del ransomware nel 2025 ha continuato a rappresentare una minaccia persistente e in crescita (Come visto nell’estratto di Pietro Melillo e Inva Malaj), colpendo indistintamente sia economie sviluppate che in via di sviluppo. Secondo i dati raccolti da Dark Lab, sono state documentate 3535 vittime di attacchi a livello globale, con un aumento di circa 1000 incidenti rispetto al H1 2024. Si tratta di un numero che rappresenta solo una frazione della reale portata del problema. Gli Stati Uniti si confermano il paese più colpito, con 1861 vittime documentate, seguiti da Canada 202, Regno Unito 152 e Germania 145.

L’industria e i servizi emergono come i settori economici più bersagliati dagli attacchi ransomware. Con 595 attacchi registrati, il comparto industriale è quello maggiormente colpito, a causa delle vulnerabilità presenti nelle sue infrastrutture IT. Il settore dei servizi segue con 580 attacchi, evidenziando rischi significativi nella gestione dei dati critici. Anche il Retail con 371 e le costruzioni con 310 sono settori particolarmente esposti.

In conclusione, il ransomware si conferma come uno dei business più consolidati e redditizi delle underground criminali, senza mostrare segnali di flessione, come evidenziato dalle tendenze di questo report. Ciò dimostra che, nonostante i consistenti sforzi messi in campo dalle organizzazioni negli ultimi anni, questa minaccia resta tra le più insidiose, con cui le aziende sono costrette a confrontarsi quotidianamente.

[strong]Scarica DarkMirror H1-2025: Report sulla minaccia ransomware[/strong]

Trend Ransomware a livello Italia

Nel periodo di osservazione sono stati documentati 85 attacchi ransomware documentati in Italia, sottolineando l’urgenza di rafforzare la sicurezza nei settori più vulnerabili. L’attività ransomware si concentra principalmente nei comparti industriale e dei servizi, considerati priorità dai threat actor, mentre pubblica amministrazione, sanità ed educazione, pur meno colpiti, restano a rischio.

Pochi gruppi dominano il panorama, con Akira in testa e altri come Qilin e Sarcoma attivi in modo significativo, accompagnati da una serie di attori meno frequenti ma costanti.

Il gruppo Akira si distingue come il threat actor più attivo, responsabile di 15 attacchi. Seguono Qilin con 9 attacchi, Sarcoma con 8, quindi Fog e Ransomhub entrambi con 5 attacchi. Lockbit3 totalizza 4 attacchi, mentre Dragonforce e Lynx si attestano su 3 attacchi ciascuno. Nova e Arcusmedia chiudono la classifica con 2 attacchi ciascuno.

[strong]Scarica DarkMirror H1-2025: Report sulla minaccia ransomware[/strong]
Heatmap – Distribuzione Attacchi Ransomware Top10 Gruppi (H1 2025) La heatmap offre una lettura immediata sulla concentrazione e la diversificazione delle campagne ransomware condotte dai dieci principali gruppi criminali nel primo semestre 2025.

Settori Coinvolti

Dall’analisi settoriale, il ransomware mostra una netta predilezione per il settore industriale, che risulta il più colpito a livello mondiale con 595 attacchi. Segue il settore dei servizi (580 attacchi) e quello retail (371 attacchi), dimostrando che gli attacchi non risparmiano le infrastrutture critiche e i servizi essenziali.

Salgono tra i primi posti anche i settori della costruzione (310 attacchi) e della finanza (277 attacchi), evidenziando una preoccupazione crescente per la sicurezza e la resilienza di questi settori.

Il settore sanitario, con 164 attacchi, rimane particolarmente vulnerabile, ma è preceduto dai settori industriale, dei servizi, retail, costruzione, finanza e tecnologia (180 attacchi). Anche il settore pubblico, dei trasporti e legale sono frequentemente bersagliati, mostrando come la dipendenza dalle tecnologie digitali e la gestione dei dati siano fattori che aumentano l’attrattività per i criminali informatici.

[strong]Scarica DarkMirror H1-2025: Report sulla minaccia ransomware[/strong]

Conclusioni

Il 2024 e’ stato un anno di grandi cambiamenti per l’ecosistema che alimenta il ransomware ed altre minacce digitali. Operazioni da parte di agenzie ed intelligence governative hanno impattato pesantemente RaaS come LockBit, campagne infostealer e Malware-as-a-Service oltre ad effettuare arresti su (parte) dei responsabili dietro a queste azioni. Il leak del backend di LockBit (oltre ad analisi sui wallet dei RaaS) ha fatto riflettere diversi analisti sul declino dei pagamenti dei riscatti che ha portato ad un incremento dei file rubati alle vittime pubblicati sui DLS dei gruppi come previsto dal modello di estorsione perpetrato dagli attaccanti, questo a portato ad uno spike sul numero di vittime (visibili) osservate dai diversi threat analysts. In tale report mostreremo la nostra analisi su tali movimenti cercando di ridimensionare la minaccia che nonostante le risposte da parte delle forze dell’ordine sembra non abbia nessuna intenzione di lasciare la scena.

Il ransomware rimane tuttora una delle minacce più persistenti ed impattanti sulla scena che riesce ad evolversi non solo a livello operativo ma anche per business model avanzando alternative per incentivare gli operatori a portare avanti le loro campagne. La nascita di realta’ come DragonForce fanno emergere un approccio proattivo al compensare la decadenza di RaaS come ALPHV/BlackCat e LockBit cercando di recuperare la fetta di mercato e gli affiliati che si stanno spargendo nei RaaS esistenti o creando dei nuovi.

Collettivi come Cl0p e Hunters stanno cambiando la loro metodologia ed approccio per la monetizzazione rimuovendo l’uso del loro ransomware (Hunters) o focalizzandosi sulla scoperta, creazione ed uso di 0-day su larga scala (Cl0p). Gli attori in gioco stanno mostrando una resistenza fuori dal comune che va ben oltre il semplice rebranding alla quale eravamo abituati negli anni precedenti e questo, unito alla frammentazione dei diversi RaaS, rende difficile la protezione dalle campagne in corso vista la loro natura silenziosa e di difficile scoperta tecnico-operativa. L’altra faccia della medaglia porta l’attenzione su attori non meglio identificati che portano avanti azioni di depistaggio attivo ai RaaS (come il leak di LockBit e deface di Everest) donando alla comunità infosec materiale prezioso per le analisi.

Oggi più che mai, vista la complessità dello scenario, bisogna affiancare l’informazione sulle minacce ad ogni livello tecnico dei difensori per poter rispondere in maniera adeguata ai mutamenti del mondo ransomware. Inoltre non possiamo non appoggiare le operazioni delle forze dell’ordine che, seppur non portino a sopprimere completamente il modello RaaS, riescono ad irrompere e sabotare le funzioni di RaaS e MaaS cercando di disincentivare o fermare i responsabili creando un clima sempre più avverso per loro. Nonostante alcuni specifici individui non possono essere raggiunti (per motivi geografici, politici o tecnici), altri componenti chiave (eg:/ sviluppatori, negoziatori, operatori, affiliati) sono stati fermati e gestiti dalla giustizia.

La prima meta’ del 2025, nonostante la (apparente) decadenza nel pagamento dei riscatti e le attività di polizia/intelligence, ha messo a dura prova le minacce che seppure alcuni casi isolati siano stati disarmati riescono comunque a mantenere un ambiente florido per le loro attività sottolineando per le organizzazioni l’importanza della sicurezza informatica che deve essere presente e continuativa nel tempo.

In conclusione, il ransomware si conferma come uno dei business più consolidati e redditizi delle underground criminali, senza mostrare segnali di flessione, come evidenziato dalle tendenze di questo report. Ciò dimostra che, nonostante i consistenti sforzi messi in campo dalle organizzazioni negli ultimi anni, questa minaccia resta tra le più insidiose, con cui le aziende sono costrette a confrontarsi quotidianamente.

Scarica DarkMirror H1-2025: Report sulla minaccia ransomware

L'articolo Esce DarkMirror H1 2025. Il report sulla minaccia Ransomware di Dark Lab proviene da il blog della sicurezza informatica.

In Russia, il 1° settembre è entrata in vigore una legge contenente modifiche alle multe da 3.000 a 5.000 rubli per la ricerca deliberata di materiale estremista su Internet, incluso l’utilizzo di una VPN. Il documento è stato pubblicato sul portale per la pubblicazione degli atti giuridici. Per i cittadini è prevista una multa di tale importo.

Per la pubblicità di servizi VPN la multa sarà di 50-80 mila rubli, per i funzionari di 80-150 mila rubli e per le persone giuridiche di 200-500 mila rubli. I materiali estremisti includono quelli inseriti dal Ministero della Giustizia nell’elenco federale pubblicato dei materiali estremisti o quelli specificati nel paragrafo 3 dell’articolo 1 della legge federale “Sulla lotta alle attività estremiste”. Questo registro contiene attualmente circa 5.500 voci.

Il presidente russo Vladimir Putin ha firmato la legge il 31 luglio. La Duma di Stato l’ha adottata il 22 luglio e tre giorni dopo il Consiglio della Federazione ha approvato il documento. A metà luglio, un gruppo di deputati di Russia Unita ha presentato emendamenti alle multe per la ricerca deliberata di materiale estremista su Internet, in vista della seconda lettura, al disegno di legge che prevedeva il “rafforzamento della responsabilità amministrativa per determinati reati nel settore dei trasporti e delle spedizioni”. La proposta ha suscitato scalpore, anche nella stessa Duma di Stato.

Ad esempio, durante l’esame dell’iniziativa in seconda lettura, il deputato del Partito Comunista Alexei Kurinny ha affermato che le multe per la ricerca di materiale estremista sono simili alla punizione per i reati d’opinione. I coautori degli emendamenti hanno sottolineato che i cittadini non saranno puniti per l’utilizzo delle VPN e che discuterne sui social network non è considerato pubblicità dei servizi.

Il Cremlino ha chiesto una spiegazione più dettagliata dell’iniziativa. Prima del voto in terza lettura alla Duma di Stato, il Ministro dello Sviluppo Digitale Maksut Shadayev si è rivolto ai deputati spiegando le disposizioni del disegno di legge. Ha sottolineato che saranno previste sanzioni solo per la visualizzazione intenzionale di materiale estremista, mentre non saranno previste sanzioni per l’utilizzo dei social network, anche se riconosciuti come estremisti.

Inoltre, gli addetti alla sicurezza dovranno dimostrare l’intenzionalità: questo sarà il loro compito principale quando emetteranno una sentenza su un reato, ha osservato il ministro. Nonostante le critiche, entrambe le camere del Parlamento alla fine approvarono il disegno di legge.

L'articolo Legge shock in Russia: ricercare contenuti proibiti sul web diventa reato amministrativo proviene da il blog della sicurezza informatica.

Negli ultimi anni, le aziende si sono trovate ad affrontare un cambiamento radicale nella gestione della propria sicurezza informatica. La crescente complessità delle infrastrutture digitali, la diffusione del lavoro da remoto, la progressiva adozione del cloud e la digitalizzazione di processi e servizi hanno trasformato il perimetro aziendale in qualcosa di estremamente dinamico e spesso difficile da controllare e forse, addirittura complicato solo comprenderlo. In questo contesto, la semplice adozione di strumenti di protezione non è più sufficiente: è necessario un presidio costante, attivo, capace di reagire in tempo reale e, idealmente, di anticipare le minacce.

È qui che entra in gioco il Security Operations Center o SOC. Una funzione che fino a qualche anno fa era appannaggio esclusivo delle grandi aziende, oggi è diventata una componente critica anche per realtà di medie dimensioni, data l’intensificarsi e la sofisticazione delle minacce cyber. Ma gestire un SOC internamente è tutt’altro che semplice.

Costruire un SOC significa disporre di un’infrastruttura tecnologica altamente specializzata, capace di raccogliere, correlare e analizzare grandi volumi di dati provenienti da endpoint, reti, sistemi e applicazioni. Significa anche dotarsi di strumenti di orchestrazione e risposta automatizzata, di sistemi SIEM aggiornati e integrati con fonti di threat intelligence, e soprattutto, di un team di analisti capaci di interpretare i segnali, distinguere i falsi positivi da indicatori reali di compromissione e intervenire tempestivamente. Il tutto, garantendo copertura continua, 24 ore su 24, 7 giorni su 7. Un obiettivo estremamente oneroso, sotto il profilo sia tecnologico che umano.

Questa difficoltà oggettiva ha reso sempre più interessante, e in molti casi determinante, l’opzione del SOC gestito, ovvero l’affidamento della gestione della sicurezza a un partner esterno altamente specializzato. A differenza di una soluzione interna, un SOC as a Service consente alle aziende di accedere a una struttura già rodata, dotata di tecnologie avanzate e soprattutto di competenze professionali difficilmente replicabili in house.

Un SOC gestito opera tipicamente con team suddivisi su turni h24, dotati di analisti esperti, threat hunter e incident responder e dispone di playbook di risposta. In più, grazie all’interazione con esperti di threat intelligence che fra le altre attività analizza feed – sia open source che commerciali – riesce a mantenere un livello di allerta aggiornato nel SOC sullo scenario delle minacce globali, intercettando indicatori emergenti anche da fonti non convenzionali come il dark web o i forum underground.

La forza di un SOC gestito risiede anche nell’effetto rete: mentre un SOC interno è esposto solo al proprio contesto, un SOC che gestisce più clienti può riconoscere prima le tendenze comuni, i modelli di attacco ricorrenti e i segnali deboli, grazie alla correlazione trasversale dei dati. Nell’esperienza di Olympos Consulting questo approccio ha permesso di bloccare campagne ransomware ancora in fase preparatoria, grazie alla tempestiva individuazione di indicatori di compromissione visti su altri target. Una serie di tentativi di accesso anomali via VPN, inizialmente considerati di basso impatto, sono stati rapidamente elevati a minaccia concreta dopo il riconoscimento dello stesso pattern su altri clienti afferenti allo stesso SOC gestito. L’azione combinata ha permesso di attivare contromisure efficaci in tempi brevissimi e di applicare queste contromisure a tutti gli altri clienti.

Un altro esempio concreto riguarda un’azienda colpita da un attacco di tipo supply chain. Il nostro SOC gestito ha identificato anomalie nel comportamento delle chiamate API verso servizi esterni e, grazie ad un caso d’uso preconfigurato, l’attacco è stato isolato prima che potesse propagarsi. Un’operazione che difficilmente un SOC interno, magari operativo solo in orario d’ufficio e con risorse limitate, avrebbe potuto gestire con la stessa efficacia e tempestività.

Anche sul fronte economico, il SOC gestito si rivela spesso la scelta più sostenibile. Mentre la creazione di un SOC interno comporta investimenti significativi in licenze, infrastruttura, formazione e personale, il modello “as a Service” consente di trasformare questi costi in una voce prevedibile, scalabile e calibrabile in base alle esigenze reali. Si passa tecnicamente da un modello capex a un modello opex, più agile e compatibile con la variabilità dei budget aziendali. In altre parole, si ha accesso a un servizio di altissimo livello senza dover sostenere i costi di creazione e mantenimento di una struttura dedicata. Non ultimo un modello di tipo opex essendo una “spesa corrente” (si compra un servizio) ha come vantaggio fiscale la sua deduzione immediata rispetto ad un modello capex in cui si ha un ammortamento pluriennale di materiale che è soggetto ad una obsolescenza molto rapida.

Naturalmente, non tutti i SOC gestiti sono uguali. La qualità del servizio dipende molto dal livello di personalizzazione, dalla trasparenza nella comunicazione, dalla maturità dei processi e dalla capacità del provider di adattarsi al contesto del cliente. In Italia, uno dei player che ha saputo distinguersi in questo settore è Olympos Consulting, realtà con una solida esperienza nella cybersecurity e un portafoglio clienti che include organizzazioni di primo piano. Il valore di un partner come Olympos non sta solo nella tecnologia adottata, ma nella capacità di affiancare i team interni, contribuire alla costruzione di una cultura della sicurezza e fornire reportistica utile anche ai fini della compliance normativa.

Inoltre, i servizi SOC erogati non si limitano al monitoraggio e alla risposta. Offrono anche soluzioni proattive come il threat hunting, la simulazione di attacchi (red/purple teaming), l’analisi della postura cyber e la consulenza per la gestione delle crisi. Un SOC gestito può diventare, in questo senso, un’estensione naturale del team IT aziendale, offrendo non solo reattività ma anche visione strategica.

Il messaggio chiave è che oggi le aziende, anche di dimensioni medie, non devono più scegliere tra “fare da sole” o “non fare nulla”. Possono accedere a un livello di sicurezza avanzato, professionale e in linea con le minacce attuali affidandosi a partner qualificati che offrono servizi SOC su misura. L’obiettivo non è delegare in blocco, ma costruire una sinergia intelligente in cui le competenze interne sono potenziate, non sostituite. E in un’epoca in cui la velocità di rilevazione fa spesso la differenza tra un incidente evitato e un disastro operativo, questa sinergia può fare davvero la differenza.

L’esternalizzazione del SOC non è una scelta di compromesso, ma una decisione strategica. Significa dotarsi degli strumenti, delle competenze e delle risorse necessarie per affrontare un panorama di minaccia in continua evoluzione, senza appesantire l’organizzazione con complessità tecniche e operative che non rappresentano il core business. Significa, soprattutto, mettere al centro la resilienza digitale, facendo della sicurezza un alleato per l’innovazione e la continuità del business.

L'articolo SOC gestito: una scelta strategica per la sicurezza informatica aziendale proviene da il blog della sicurezza informatica.

In late 2024 Microsoft removed support for WMR (Windows Mixed Reality), and they didn’t just cease development. As of Windows 11 version 24H2, headsets like the HP Reverb and others by Acer, Samsung, Lenovo, and Dell stopped working at all. But the good news is developer [Matthieu Bucchianeri] created the Oasis driver for Windows Mixed Reality which allows WMR headsets (and their controllers) to work again.

Oasis is available as a free download from Steam and involves a few specific setup steps in order to get working, but once the headset and controllers are unlocked and room setup is complete, the hardware will be usable again. Note that while SteamVR is handy, one’s headset and controllers are not actually tied to SteamVR. Any VR application that uses OpenVR or OpenXR should work.

It’s an extremely well-documented project, and anyone willing to read and follow a short list of directions should be off to the races in no time.

Now that there’s a way for folks to dust off their WMR hardware and get back in the game, it’s a good time to mention that if you have ever suffered from VR sickness, we’ve covered ways to help deal with and adapt to it.

hackaday.com/2025/08/31/micros…

PER LA TUA FIRMA PROSSIMO APPUNTAMENTO 2 SETTEMBRE AL SITO
Roma, Via Ardeatina Km 23.600

Qui il video di questo ultimo fine settimana agostano a raccogliere le vostre firme nelle piazze.

30/31 agosto 2025

Link al video su YouTube:
youtube.com/shorts/E3Tm-F4G9i8…

Stel je voor: de overheid zet standaard een afluisterapparaat in je woonkamer. Niet omdat je iets verkeerd hebt gedaan, maar omdat iemand, ergens, misschien ooit een misdrijf pleegt. Absurd? Toch is dat precies wat de Europese Commissie met Chatcontrole wil: al onze privéberichten laten scannen door algoritmes, permanent en zonder verdenking. Wat betekent dat concreet? […]

Het bericht Chatcontrole, Het einde van het briefgeheim verscheen eerst op Piratenpartij.

LA TUA FIRMA CONTRO L'INCENERITORE, BASTA POTERI SPECIALI!

Ad Albano piazza San Pietro fino alle 12.30, a Genzano Piazza Francioni fino alle 13 e a Tor San Lorenzo Piazza Falcone e Borsellino tutto il giorno (ore 20.00).

30 AGOSTO: SETTE ORE DI RACCOLTA, OLTRE 800 FIRME

youtu.be/d-0w-OrXD0g?feature=s…