Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

All’interno del post, la gang riporta quanto segue:

Laboratorio Clinico Santa Rita
Santa Rita Laboratorios offers a wide range of medical laboratory services, including hematology, immunology, microbiology, and molecular biology. The company is committed to preserving health through accurate diagnostics and operates with state-of-the-art technology and high-resolution equipment. They provide personalized medical assistance 24/7, as well as home sample collection services for client convenience. Intended clients include individuals seeking reliable laboratory tests and diagnostics.”

Chi sono i criminali informatici di The gentlemen

La cyber gang The Gentlemen è emersa di recente nello scenario del cybercrime distinguendosi per un approccio organizzato e un’infrastruttura ben strutturata. Il gruppo opera attraverso un proprio data leak site nel dark web, dove pubblica avvisi di compromissione e minacce di esposizione dei dati.

La loro comunicazione è caratterizzata da uno stile curato e studiato, con un’immagine pubblica che mira a costruire credibilità e timore nel settore della criminalità informatica, nonostante la relativa novità della loro presenza. Questo aspetto lascia intendere che dietro al progetto possano esserci attori già esperti di ransomware e data extortion.

Il modus operandi dei The Gentlemen ricalca i modelli tipici del ransomware moderno: compromissione iniziale delle infrastrutture, esfiltrazione dei dati sensibili e successiva estorsione basata sulla minaccia di pubblicazione. Le prime vittime individuate dal gruppo appartengono a settori sensibili come sanità, manifattura e servizi, aree particolarmente appetibili per la pressione che la perdita o la fuga di informazioni può generare. Il loro sito non si limita a elencare le vittime, ma fornisce anche dettagli sui dati sottratti, aumentando così la pressione psicologica sulle aziende colpite.

La rapidità con cui il gruppo si è imposto nell’ecosistema del cybercrime solleva interrogativi sulla sua reale origine e sulla possibilità che sia una riorganizzazione o una “costola” di operatori già noti. La capacità di attrarre l’attenzione della comunità di sicurezza informatica. In un panorama già saturo di gang ransomware, i The Gentlemen puntano a differenziarsi con uno stile comunicativo elegante ma allo stesso tempo aggressivo, posizionandosi rapidamente come una minaccia emergente di cui monitorare attentamente le mosse future.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana proviene da il blog della sicurezza informatica.

I ricercatori di Check Point hanno scoperto una campagna di phishing attiva su larga scala che sfrutta Google Classroom, una piattaforma a cui si affidano milioni di studenti ed educatori in tutto il mondo.

Nel corso di una sola settimana, gli aggressori hanno lanciato cinque ondate coordinate, distribuendo più di 115.000 e-mail di phishing rivolte a 13.500 organizzazioni di diversi settori. Sono state prese di mira organizzazioni in Europa, Nord America, Medio Oriente e Asia.

Uno strumento affidabile trasformato in un vettore di minacce

Google Classroom è progettato per mettere in contatto insegnanti e studenti attraverso inviti a partecipare a classi virtuali. Gli aggressori hanno sfruttato questa fiducia inviando inviti fasulli che contenevano offerte commerciali non correlate, che andavano dalla rivendita di prodotti ai servizi SEO.

Ogni e-mail indirizzava i destinatari a contattare i truffatori tramite un numero di telefono WhatsApp, una tattica spesso legata a schemi di frode.

L’inganno funziona perché i sistemi di sicurezza tendono a fidarsi dei messaggi provenienti da servizi Google legittimi. Sfruttando l’infrastruttura di Google Classroom, gli aggressori sono stati in grado di aggirare alcuni livelli di sicurezza tradizionali, tentando di raggiungere le caselle di posta elettronica di oltre 13.500 aziende prima che le difese venissero attivate.

Anatomia della campagna

• Scala: 115.000 e-mail di phishing inviate tra il 6 e il 12 agosto 2025.
• Obiettivi: 13.500 organizzazioni in tutto il mondo, in diversi settori.
• Esca: Falsi inviti a Google Classroom contenenti offerte non correlate all’istruzione
• Invito all’azione (call to action): Un numero di telefono WhatsApp, progettato per spostare la conversazione al di fuori della posta elettronica e del monitoraggio aziendale.
• Metodo di consegna: Cinque ondate principali, ognuna delle quali ha sfruttato la legittimità di Google Classroom per eludere i filtri.

Come Check Point ha bloccato l’attacco

Nonostante l’uso sofisticato da parte degli aggressori della fidata infrastruttura, la tecnologia SmartPhish di Check Point Harmony Email & Collaboration ha rilevato e bloccato automaticamente la maggior parte dei tentativi di phishing. Ulteriori livelli di sicurezza hanno impedito ai messaggi rimanenti di raggiungere gli utenti finali.

Questo incidente sottolinea l’importanza delle difese a più livelli. Gli aggressori utilizzano sempre più spesso servizi cloud legittimi, rendendo i gateway di posta elettronica tradizionali insufficienti a bloccare le tattiche di phishing in continua evoluzione.

Cosa devono fare le organizzazioni

• Educare: Istruire utenti, studenti e dipendenti a trattare con cautela gli inviti inattesi (anche quelli provenienti da piattaforme familiari).
• Prevenzione avanzata delle minacce: Utilizzate un rilevamento basato sull’intelligenza artificiale che analizza il contesto e l’intento, non solo la reputazione del mittente.
• Monitorare le applicazioni cloud: Estendete la protezione dal phishing oltre le e-mail anche alle app di collaborazione, alle piattaforme di messaggistica e ai servizi SaaS.
• Difendersi dall’ingegneria sociale: Essere consapevoli che gli aggressori spingono sempre più spesso le vittime verso comunicazioni al di fuori dei canali “ufficiali” (come WhatsApp) per eludere i controlli aziendali.

Gli aggressori continuano a trovare modi creativi per sfruttare servizi legittimi come Google Classroom per ottenere fiducia, aggirare le difese e raggiungere obiettivi su larga scala. Con oltre 115.000 e-mail in una sola settimana, questa campagna evidenzia la facilità con cui i criminali informatici possono armare le piattaforme digitali a scopo di frode.

Riconosciuto come Leader e Outperformer nel GigaOm Radar 2025 per l’Anti-Phishing, Check Point Harmony Email & Collaboration fornisce la difesa avanzata e stratificata necessaria per proteggere le organizzazioni dagli attacchi di phishing, anche quando si nascondono in bella vista.

L'articolo Phishing in Classe! 115.000 email per 13.500 organizzazioni con Google Classroom proviene da il blog della sicurezza informatica.

NO INCENERITORE: LIBERI DAI VELENI DI ROMA È UN PATTO PER IL FUTURO
“No all’inceneritore” è stato lo striscione che Carla, attivista di Albano, ha confezionato con le sue mani per consegnarlo a bambine e bambini che, con orgoglio hanno poi portato lungo tutto il percorso del corteo. Con quella luce negli occhi che solo i più piccoli sanno sprigionare, erano a decine, tanto da formare con le loro mamme e papà una testa del corteo numericamente tanto significativa da separare, a grande distanza da tutti loro riempita, lo striscione liberi dai veleni di Roma che gli attivisti dell’Unione dei Comitati hanno condiviso con i tre Sindaci di Albano, Ardea e Pomezia. Il “No all’inceneritore” è stato il coro continuo che ha accompagnato tutto il corteo fino alla Chimec, primo stabilimento a rischio di incidente rilevante (RIR), situato a poche centinaia di metri dal terreno di Ama. L’elevata concentrazione di stabilimenti RIR, quattro nella sola area di Santa Palomba, fa dell’area un’area a elevato rischio di crisi ambientale e in quanto tale inidonea a ospitare l’impianto.
In migliaia siamo partiti per arrivare davanti alla Chimec dove ci sono stati gli interventi istituzionali aperti da Veronica Felici, Sindaco di Pomezia, Maurizio Cremonini, Sindaco di Ardea e Massimiliano Borrelli, Sindaco di Albano. Per il Municipio 9, il sito ricade nel suo territorio, il Consigliere Massimiliano De Julis; gli interventi istituzionali sono terminati con Alessandra Zeppieri, Consigliera alla Regione Lazio. Al corteo i consiglieri comunali di Pomezia Giacomo castro e Renzo Mercanti, di Albano Salvatore Tedone e Barbara Cerro, consigliera di Marino.
La fiaccolata che al ritorno ha concluso il corteo ha reso ancor più suggestiva la straordinaria mobilitazione a sostegno di “liberi dai veleni di Roma”, una mobilitazione che ha coinvolto in donne e uomini consapevoli che la difesa della Terra dove viviamo, della salute di tutti noi e delle generazioni che verranno, dell’ambiente e di un paesaggio senza eguali passa per l’impegno in prima persona. Liberi dai Veleni di Roma diviene così un patto per il futuro della Terra dove viviamo capace di coinvolgere cittadini e istituzioni anche nei passi successivi.
Infatti, a sostegno della nuova petizione abbiamo raccolto oltre seimila firme, gran parte delle quali nei martedì estivi in presidio al sito. La prossima settimana intendiamo far valere tutte quelle firme davanti al Parlamento perché tutte le forze politiche comprendano che va posta fine alla stagione di Gualtieri posto al di sopra della legge per effetto di una norma che ha favorito e legalizzato l’abuso di potere. A chiedere di cancellare il potere di ordinanza in deroga a tutte le pertinenti normative di settore sono le donne e gli uomini che pretendono che la legge sia uguale per tutti, Gualtieri compreso, e che Repubblica finalmente tuteli tutti noi, oltre quanto di nostro già facciamo, specialmente per quei meravigliosi piccoli che aprivano il corteo di ieri. È per loro che trasformeremo il sito destinato a emettere veleni per oltre trent’anni in un parco naturale con polo museale perché Santa Palomba siamo tutti noi che difendiamo il diritto al futuro della Terra dove viviamo. Liberi dai veleni di Roma è quindi il nostro patto per il futuro.

Ambiente, StopInceneritore, NoInceneritore, NoInceneritori, ZeroWaste, Rifiuti, Riciclo, EconomiaCircolare, NoAlCarbone, EnergiaPulita,

Il procuratore degli Stati Uniti Gregory W. Kehoe annuncia che Liridon Masurica (33 anni, Gjilan, Kosovo), noto anche come “@blackdb”, si è dichiarato colpevole di associazione a delinquere finalizzata a commettere una frode relativa a dispositivi di accesso. Masurica rischia una pena massima di 10 anni di carcere federale. La data della sentenza non è ancora stata fissata.

Secondo l’accordo di patteggiamento, Masurica era l’amministratore principale di BlackDB.cc, un mercato criminale online attivo dal 2018 al 2025. Il mercato, messo in vendita illegalmente, comprometteva credenziali di account e server, dati di carte di credito e altre informazioni personali identificabili di individui residenti principalmente negli Stati Uniti, compresi quelli residenti nel Middle District della Florida. Una volta acquistati, i criminali informatici utilizzavano gli articoli acquistati su BlackDB.cc per facilitare un’ampia gamma di attività illegali, tra cui frodi fiscali, frodi con carte di credito e furto di identità.

Masurica, cittadino e residente del Kosovo, è stato arrestato dalle autorità kosovare il 12 dicembre 2024 e successivamente estradato negli Stati Uniti ai sensi del trattato di estradizione tra gli Stati Uniti e la Repubblica del Kosovo. La data della sua condanna non è ancora stata fissata.

Questo caso è stato condotto dall’FBI in collaborazione con la Direzione Investigativa sui Crimini Informatici della Polizia del Kosovo.

L’Ufficio Legale dell’FBI a Sofia, in Bulgaria, e l’Ufficio Affari Internazionali del Dipartimento di Giustizia hanno fornito un’assistenza sostanziale per garantire l’arresto e l’estradizione di Masurica. Anche la Procura Speciale della Repubblica del Kosovo e la Direzione Investigativa sui Crimini Informatici della Polizia del Kosovo hanno fornito un’assistenza sostanziale all’arresto di Masurica. Il caso è seguito dal Procuratore Aggiunto degli Stati Uniti Carlton C. Gammons.

L'articolo L’admin di BlackDB si dichiara colpevole di frode informatica proviene da il blog della sicurezza informatica.

Il noto ex ingegnere di Microsoft, Dave Plummer, ha fatto una sorprendente ammissione: l’errore più grave che abbia mai commesso in una versione di Windows non riguardava le utility di sistema, bensì un gioco molto amato, Pinball.

Questo gioco arcade, ben noto agli utenti di Windows 95 e NT, era stato originariamente scritto in C e per esso lo sviluppatore aveva realizzato un motore personalizzato per gestire grafica e audio. Proprio in questo componente era presente l’errore: il gioco non prevedeva alcun limite al frame rate, permettendo la resa grafica ad una velocità direttamente proporzionale a quella del processore.

Al momento della sua uscita, il problema in questione non era immediatamente apparente. Le macchine equipaggiate con processori MIPS R4000 a 200 MHz erano in grado di processare solo 60-90 fotogrammi al secondo (FPS), un valore che all’epoca appariva più che soddisfacente.

Tuttavia, con l’evoluzione delle prestazioni dei computer, il problema divenne via via più manifesto. Man mano che la capacità di calcolo aumentava, Pinball iniziò a monopolizzare l’intera capacità di calcolo della CPU, raggiungendo valori di FPS estremamente alti, fino a 5.000. La natura evidente di questo problema spinse Raymond Chen, un altro veterano di Microsoft, a intraprendere un’indagine dettagliata. Egli abilitò la visualizzazione della frequenza dei fotogrammi e constatò che il contatore aveva cessato di visualizzare i valori in quanto la velocità era da tempo superiore a tre cifre.

La decisione di implementare un dispositivo di controllo portò alla risoluzione del problema. La configurazione del limite a una velocità di 100 fotogrammi al secondo comportò una rapida riduzione dell’utilizzo delle risorse, che scese all’1%. Secondo Chen, questa strategia avrebbe consentito agli sviluppatori di lavorare in ambiente Windows e, contemporaneamente, utilizzare il gioco Pinball senza il timore di un arresto anomalo del sistema. Tale episodio costituì, per gli ingegneri dell’epoca, una chiara dimostrazione di come una lieve anomalia nel codice potesse trasformarsi in un guasto critico a seconda delle caratteristiche dell’hardware.

Plummer ha osservato che avere un bug nel prodotto finale era sempre percepito come un evento vergognoso. All’interno del team, la cosa veniva presa sul serio: i colleghi scherzavano senza pietà su build difettose o modifiche di scarsa qualità, e il leggendario architetto Windows Dave Cutler faceva un commento sarcastico, insinuando che l’autore non fosse chiaramente in forma smagliante durante la scrittura del codice. Plummer ha ricordato che tutte le battute finivano nel momento in cui il bug veniva inserito nella release: a quel punto la responsabilità diventava assolutamente reale.

Oggi, la storia del flipper è percepita più come una barzelletta su un gioco “goloso”, ma per gli ingegneri Microsoft di fine anni ’90, fu una lezione su come qualsiasi presupposto in architettura prima o poi diventi evidente. Soprattutto quando si tratta di software che finisce su milioni di computer in tutto il mondo.

L'articolo Il Grande Errore di Pinball: quando un gioco Arcade mise in ginocchio Windows 95 proviene da il blog della sicurezza informatica.

L’Agenzia per la cybersicurezza nazionale partecipa alla Rome Future Week con un Open Day, martedì 16 settembre 2025, dalle 9.30 alle 18.30, presso la Casa delle Tecnologie Emergenti di Roma (Stazione Tiburtina).

Talk, incontri, workshop e momenti di confronto offriranno una panoramica concreta e immersiva sui temi chiave della cybersicurezza: dai sistemi di difesa più avanzati al monitoraggio in tempo reale delle minacce informatiche, fino ai nuovi profili professionali richiesti da un settore in rapida evoluzione. Nel pomeriggio, focus sul ruolo delle donne nella cybersicurezza.

9:30–10:15
La cybersicurezza: una sfida per il presente, una professione per il futuro. Parteciperanno i vertici dell’Agenzia per la Cybersicurezza Nazionale.

Apertura istituzionale ACN con overview su:

• Analisi di contesto
• dati aggiornati sul panorama delle minacce
• overview sul futuro delle professioni (Risorse umane)

10:15–11:00
Servizio Operazioni e gestione delle crisi cyber
“Il cuore operativo dell’ACN: rilevamento e gestione della minaccia cyber“. Relatori del Servizio.

11:00–11:15
Coffee break

11:15–12:00
Servizio Certificazione e Vigilanza
Presentazione del Centro di Valutazione e Certificazione Nazionale (CVCN): analisi delle vulnerabilità nei sistemi ICT. Focus su casi e metodologie. Relatori del Servizio

12:00–13:15
Servizio Programmi Industriali tecnologici e di Ricerca
“Il futuro della cybersicurezza: progetti nazionali ed europei”
Relatori del Servizio

Servizio Certificazione e Vigilanza

15:00–16:00
Dimostrazione pratica di PT ( Penetration test )

Divisioni Formazione e Consapevolezza

16:00-16:30L’ACN e il mondo degli ITS Academy

16:30-17:30
Capture the flag in collaborazione con ITS Academy

17:30–18:00
Donne della Cybersecurity: esperienze a confronto (squadra cyber femminile delle scuole superiori – women4cyber)

18:15-19:15
Matching libero e networking
I partecipanti potranno avvicinare aziende e enti formativi, distribuire CV, fare domande, conoscere opportunità

Pubblico invitato:
Studenti delle scuole superiori, Studenti universitari, Giovani professionisti. Appassionati di tecnologia, Cittadini e cittadine curiosi/e, Aziende e startup, Enti di formazione

I lavori della giornata saranno moderati dal dott. Arturo Di Corinto

dicorinto.it/formazione/lagenz…

Jaguar Land Rover (JLR), una delle più grandi case automobilistiche britanniche, è stata colpita da un attacco informatico che ha paralizzato i suoi sistemi IT. La produzione negli stabilimenti nel Regno Unito e all’estero è stata interrotta da fine agosto, con i concessionari impossibilitati a immatricolare le nuove auto e i clienti impossibilitati a ricevere i veicoli pagati nei tempi previsti. I tempi di fermo costano all’azienda circa 5 milioni di sterline di mancati profitti al giorno.

Come riportato dalla BBC, l’ex ingegnere capo di Land Rover Charles Tennant ha ricordato che in condizioni normali l’azienda guadagna circa 75 milioni di sterline al giorno. Secondo lui, una settimana di fermo macchina si traduce in perdite per decine di milioni di sterline. L’azienda non divulga dati ufficiali, limitandosi a scusarsi con clienti, fornitori e partner.

Un colpo a metà stagione

L’attacco arriva in un momento inopportuno per Jaguar Land Rover. Settembre segna l’inizio delle immatricolazioni nel Regno Unito per le auto con targhe nuove, uno dei periodi di punta per le vendite.

Come ha osservato Charles Tennant, gli hacker “hanno scelto il momento peggiore possibile”, quando l’azienda contava sulla crescita del fatturato. Di conseguenza, l’azienda sta perdendo non solo volumi di produzione, ma anche l’opportunità di sfruttare la domanda stagionale.

Un gruppo di giovani hacker che in precedenza aveva preso di mira il rivenditore britannico Marks & Spencer (M&S) ha rivendicato pubblicamente il proprio coinvolgimento nell’attacco hacker a JLR. Nel caso di M&S, il rivenditore ha stimato il danno a circa 300 milioni di sterline.

Rischi per fornitori e clienti

L’incidente non ha colpito solo Jaguar Land Rover. Un fornitore di ricambi ha già definito la chiusura “preoccupante”.

Le catene di approvvigionamento sono interrotte e, nell’industria automobilistica globale, anche poche settimane di fermo possono portare a interruzioni prolungate. Per i clienti, il rischio è chiaro: non ricevono puntualmente le auto per cui hanno pagato, il che mina la fiducia nel marchio.

Contesto

Jaguar Land Rover, di proprietà del gruppo indiano Tata Motors, rimane il più grande produttore di automobili del Regno Unito. Negli ultimi anni, l’azienda ha dovuto affrontare una crescente concorrenza nel mercato dei veicoli elettrici e l’aumento dei costi.

L’attacco informatico, che ha coinciso con la ristrutturazione aziendale, ha aggravato la crisi: i sistemi di controllo e protezione digitale hanno mostrato vulnerabilità, trasformando i rischi informatici in un fattore di instabilità strategica per l’intero settore automobilistico.

Questo attacco deve essere un monito per tutti: la sicurezza informatica non è un costo da rimandare, ma un investimento strategico. Se non la paghi prima, la pagherai dopo — e i danni possono essere enormi, sia in termini economici che reputazionali. Nel mondo iperconnesso di oggi, la resilienza digitale è ciò che distingue chi riesce a riprendersi rapidamente da chi rischia di non rialzarsi più.

L'articolo 6 milioni di euro al giorno! E’ il costo dell’Attacco informatico a Jaguar Land Rover proviene da il blog della sicurezza informatica.

For all its friendly countenance and award-winning industrial design, there’s one thing the venerable Macintosh Plus can’t do: fit into a 1U rack space. OK, if we’re being honest with ourselves, there are a lot of things a Mac from 1986 can’t do, but the rack space is what [identity4] was focused on when they built the 2025 Rackintosh Plus.
Some folks may have been fooled by this ad to think this was an actual product.
For those of you already sharpening your pitchforks, worry not: [identity4]’s beloved vintage Mac was not disassembled for this project. This rack mount has instead become the home for a spare logic board they had acquired Why? They wanted to use a classic Mac in their studio, and for any more equipment to fit the space, it needed to go into the existing racks. It’s more practical than the motivation we see for a lot of hacks; it’s almost surprising it hasn’t happened before. (We’ve seen Mac Minis in racks, but not the classic hardware.)

Aside from the genuine Apple logic board, the thin rack also contains a BlueSCSI hard drive emulator, a Floppy Emu for SD-card floppy emulator, an RGB-to-HDMI converter to allow System 7 to shine on modern monitors, and of course a Mean Well power supply to keep everything running.The Floppy Emu required a little light surgery to move the screen so it would fit inside the low-profile rack. [identity4] also broke out the keyboard and mouse connectors to the front of the rack, but all other connectors stayed on the logic board at the rear.

Sound is handled by a single 8-ohm speaker that lives inside the rack mount, because even if the Rackintosh can now fit into a 1U space, it still can’t do stereo sound…or anything else a Macintosh Plus with 4 MB of RAM couldn’t do. Still, it’s a lovely hack. and the vintage-style advertisement was an excellent touch.

Now they just need the right monochrome display.

hackaday.com/2025/09/10/rackin…

Il recente aggiornamento di sicurezza Patch Tuesday di settembre, ha visto Microsoft rilasciare una serie completa di update, andando a risolvere un totale di 81 vulnerabilità presenti all’interno dei propri prodotti e servizi.

In particolare, ben 9 di queste vulnerabilità sono state classificate come critiche, con 2 di esse segnalate come zero-day, ovvero già note e sfruttate prima della pubblicazione delle correzioni.

Queste ultime hanno destato particolare attenzione tra gli esperti del settore, in quanto sfruttate o descritte minuziosamente ancor prima della distribuzione delle soluzioni di sicurezza.

La prima vulnerabilità, identificata come CVE-2025-55234, riguarda il server SMB. Consente agli aggressori di eseguire attacchi relay e ottenere l’escalation dei privilegi. Microsoft sottolinea che il sistema stesso dispone già di meccanismi di protezione, ovvero SMB Server Signing e Extended Protection for Authentication, ma abilitarli potrebbe causare problemi di compatibilità con i dispositivi meno recenti. Pertanto, gli amministratori dovrebbero abilitare l’audit e verificare attentamente le configurazioni prima di passare a policy rigorose.

Il secondo problema, CVE-2024-21907 , è correlato alla libreria Newtonsoft.Json utilizzata in SQL Server. Durante l’elaborazione di dati appositamente preparati tramite il metodo JsonConvert.DeserializeObject, si verifica uno stack overflow , che può portare a un Denial of Service. Il bug è stato divulgato già nel 2024, ma solo ora è stato incluso nel pacchetto di patch ufficiale di Microsoft.

Oltre a questi due, la versione di settembre corregge decine di altri bug critici e importanti. In Microsoft Office, sono state corrette diverse vulnerabilità in Excel, PowerPoint, Visio e SharePoint che consentivano l’esecuzione di codice arbitrario all’apertura di documenti dannosi. Per Windows, sono state chiuse falle nel componente grafico, nel sottosistema Hyper-V e in NTLM, quest’ultimo particolarmente pericoloso, in quanto poteva essere utilizzato per compromettere le credenziali nell’infrastruttura di dominio. Sono stati inoltre corretti errori in BitLocker e LSASS che consentivano l’escalation dei privilegi, e bug nei servizi Defender Firewall, Bluetooth e Dispositivi Connessi.

Tra le altre cose, vale la pena sottolineare una vulnerabilità in Windows NTFS, in cui un attacco potrebbe portare all’esecuzione di codice remoto, nonché bug critici nei driver DirectX e nei componenti Win32K. Questi errori consentono potenzialmente di aggirare le difese del kernel ed eseguire istruzioni dannose a livello di sistema.

Microsoft sottolinea inoltre che questo ciclo di aggiornamento ha ampliato le funzionalità di auditing dei client SMB. Ciò è necessario affinché gli amministratori possano valutare in anticipo la compatibilità quando passeranno a nuove policy di sicurezza che diventeranno obbligatorie in futuro.

Microsoft non è stata l’unica azienda a correggere falle critiche a settembre. Adobe ha chiuso la vulnerabilità SessionReaper in Magento, che consentiva agli utenti di intercettare le sessioni. Google ha rilasciato la patch Android di settembre, che ha corretto 84 bug, inclusi due attivamente sfruttati in attacchi reali. SAP ha corretto una vulnerabilità di massima gravità in NetWeaver, che consentiva l’esecuzione di comandi con privilegi di sistema. TP-Link ha riconosciuto una falla in diversi router domestici, ancora in fase di studio, ma l’azienda sta già preparando le patch per gli utenti americani. Cisco ha aggiornato WebEx, ASA e altri prodotti di rete, eliminando i rischi di accesso remoto e perdite di dati.

Il Patch Tuesday di settembre è stato uno dei più intensi dell’anno. Due vulnerabilità zero-day divulgate pubblicamente in SMB e SQL Server evidenziano la necessità di installare gli aggiornamenti il più rapidamente possibile, mentre un lungo elenco di vulnerabilità in Windows e Office dimostra che gli aggressori possono utilizzare una varietà di vettori per compromettere l’infrastruttura aziendale. Amministratori e professionisti della sicurezza dovrebbero verificare immediatamente la pertinenza delle patch installate e sottoporre a un attento.

L'articolo Microsoft Patch Tuesday di settembre: 81 vulnerabilità e 2 0day attivi proviene da il blog della sicurezza informatica.