Sept. 10 – “We, along with the majority of Americans, condemn this and all acts of political violence. We reject the rhetoric inciting violence.

This is NOT the way and never should be.

No matter the party you vote for, violence is not the way.”

Those are the exact words we posted when an attempt was made on the President’s life. Unfortunately since then, the escalation of political violence is has only gotten worse. We have seen political assassinations in Minnesota with the death of Melissa Hortman. Today we saw Turning Point USA’s Charlie Kirk die via gunman’s hands.

This has to end.

The dueling bloodshed of the culture war is your sign that things have gotten too far. Charlie Kirk is a victim of political hatred he was paid handsomely to manufacture. This is the inevitable result of political polarization. We cannot stand by idly and say nothing on this issue.

The time to remember that we are all US Americans and what we share in common dwarfs what makes us different. If we are to make things right in this country, then we need to expel the elephant in the room and not replace it with a donkey. The culture war cannot spiral into a larger conflict. We must remain focused on dealing with the Powers That Be and not turning to political violence on fellow US Americans.

uspirates.org/sept-10-statemen…

The patient hooked up for some reverse-engineering. (Credit: Caralynx, Twitter)
Released in July of 2025, the Tamagotchi Paradise may look somewhat like the late 90s toy that terrorized parents and teachers alike for years, but it’s significantly more complex and powerful hardware-wise. This has led many to dig into its ARM Cortex-M3-powered guts, including [Yukai Li] who recently tripped over a hidden section in the bootrom of the dual-core Sonix SNC73410 MCU that makes up most of the smarts inside this new Tamagotchi toy.

Interestingly, [Yukai] did see that the visible part of the bootrom image calls into the addresses that make up the hidden part right in the reset handler, which suggests that after reset this hidden bootrom section is accessible, just not when trying to read it via e.g. SWD as the hiding occurs before the SWD interface becomes active. This led [Yukai] to look at a way to make this ROM section not hidden by using the Cortex-M3’s standard Flash Patch and Breakpoint (FPB) unit. This approach is covered in the project’s source file.

With this code running, the FPB successfully unset the responsible ROM hide bit in the OSC_CTRL register, allowing the full bootrom to be dumped via SWD and thus defeating this copy protection with relatively little effort.

Heading image: PCB and other components of a torn-down Tamagotchi Paradise. (Credit: Tamagotchi Center)

hackaday.com/2025/09/10/using-…

Nel 2024 avevamo raccontato ARTO come un’intuizione coraggiosa: un progetto che univa arte e blockchain con l’obiettivo di ridurre le frodi nel mercato artistico e di aprire a un nuovo modo di intendere la creatività.

Oggi, a distanza di mesi, quell’intuizione si è trasformata in una piattaforma concreta, già online pronta a raccogliere la sfida di rendere l’arte più sicura, trasparente e accessibile.

Una rete di innovazione e cultura

ARTO non è nato dal nulla: dietro questa visione ci sono tre realtà italiane che da anni lavorano su ricerca, innovazione e cultura.IAD S.r.l., capofila del progetto (cofinanziato dall’Unione Europea Programma PR FESR Regione Lazio 2021- 2027 Avviso pubblico Riposizionamento competitivo RSI Ambito 4 industrie creative e digitali e patrimonio culturale e tecnologie della cultura – Approv. dalla Regione Lazio con Det. n. G14831 del 09/11/2023 – CUP F89J23000910007 e con COR 16161824 – 1661828 – 16161827), ha guidato il percorso insieme a Ulteriora S.r.l. e Mirart Point S.r.l., con il sostegno della Regione Lazio.

(Scopri di più sul sito à artetoken.it/)

Un ecosistema per l’arte digitale

È grazie a questa alleanza che ARTO è diventato molto più di un’idea: oggi è una piattaforma attiva, online, capace di accogliere opere, trasformarle in NFT certificati e proporle in asta in un contesto sicuro, trasparente e scalabile.

Oltre il marketplace: una nuova esperienza culturale

ARTO non è solo un marketplace di NFT. È un ecosistema culturale e tecnologico che ha saputo intrecciare linguaggi diversi in un’unica architettura: l’espressione artistica, le aste digitali, la tracciabilità immutabile della blockchain.

Gli artisti possono caricare le proprie opere, digitalizzarle e trasformarle in certificati unici, mentre il pubblico e i collezionisti possono finalmente vivere un’esperienza libera da intermediazioni opache, basata sulla sicurezza e sulla trasparenza.

Le aste come motore del cambiamento

Il cuore pulsante della piattaforma sono le aste. Non parliamo di aste tradizionali, ma di eventi digitali costruiti su smart contract che garantiscono regole certe e risultati inviolabili. Ogni opera che entra in ARTO trova un palcoscenico dove il suo valore non è stabilito a tavolino, ma riconosciuto da chi partecipa, in un meccanismo che restituisce dignità e autenticità al processo creativo. In questo modo, il mercato dell’arte smette di essere un territorio riservato a pochi e si apre a una comunità più ampia, inclusiva e consapevole.

Una piattaforma aperta e partecipativa

La piattaforma è oggi viva e consultabile. Aspetta soltanto gli artisti pronti a mettersi in gioco, a caricare le loro opere, a dare al mondo nuovi sguardi e nuove possibilità. ARTO non nasce solo per creare opportunità economiche, ma per portare l’arte fuori dai recinti elitari e trasformarla in esperienza culturale diffusa, accessibile a tutti.

Emergenza Arte: creatività come cura

Dentro questo impianto trova spazio anche una delle sfide più ambiziose: il progetto “Emergenza Arte”. L’obiettivo è portare l’arte nei reparti pediatrici come strumento di cura, offrendo ai bambini un linguaggio con cui raccontare paure e desideri. Non è ancora una sperimentazione attiva, ma una direzione precisa e dichiarata: sono stati definiti protocolli e strumenti, e la volontà è quella di trasformare questa idea in realtà, convinti che potrà dare un contributo enorme ai piccoli pazienti e alle loro famiglie. ARTO ha già le basi tecnologiche e organizzative per custodire quelle esperienze e trasformarle in NFT unici, che diventerebbero memorie eterne di resilienza e creatività.

Tecnologia al servizio della fiducia

Il percorso compiuto fin qui è stato tutt’altro che semplice. Creare una piattaforma che unisse sicurezza, user experience e tracciabilità ha richiesto mesi di lavoro, test e validazioni. Le componenti tecnologiche più delicate, come gli smart contract per le aste, sono state sviluppate e messe alla prova con rigore. Il risultato è un’infrastruttura robusta, pronta a scalare, in grado di affrontare le sfide di un mercato che sempre più chiede trasparenza e affidabilità.

Le persone dietro il progetto

Questo lavoro è stato possibile grazie anche alle competenze delle persone coinvolte. Tra i protagonisti ci sono Daniele Fiungo, responsabile dell’area Ricerca e Sviluppo di IAD, e Flaviano Cardone, coordinatore tecnico-scientifico del progetto. Entrambi hanno guidato lo sviluppo e la definizione dei processi chiave di ARTO, unendo visione e pragmatismo. E a conferma del loro impegno verso la sicurezza e la qualità, hanno conseguito di recente la certificazione Cyber Threat Intelligence Professional (CTIP) rilasciata da Red Hot Cyber Academy. Un segno di come in ARTO la tecnologia non sia mai separata dal tema della sicurezza, ma al contrario ne rappresenti la spina dorsale.

Il debutto ufficiale: ottobre 2025, Arte Parma Fair

Il futuro è già scritto nel calendario: ottobre 2025, Arte Parma Fair. Qui ARTO avrà il suo debutto ufficiale davanti al grande pubblico, con uno stand pensato per stupire e coinvolgere. Ci saranno NFT visibili in realtà aumentata, aste live, installazioni multimediali e persino un omaggio speciale al maestro Arnaldo Pomodoro, reinterpretato con linguaggi digitali per intrecciare memoria e innovazione. Sarà il momento per mostrare che ARTO non è più un esperimento, ma un modello che può fare scuola, pronto a replicarsi e a crescere.

ARTO: un ponte tra tecnologia e umanità

Oggi ARTO rappresenta un punto di incontro tra digitale e cultura, tra tecnologia e umanità. È la prova che la blockchain non serve solo alla finanza, ma può generare valore reale per artisti, collezionisti e comunità. È un progetto che guarda avanti, con l’ambizione di connettere mondi che spesso restano separati: il mercato dell’arte, le pratiche terapeutiche, la dimensione sociale.

Perché l’arte, se accompagnata da strumenti giusti, può diventare molto più di un segno su una tela. Può trasformarsi in esperienza collettiva, in memoria condivisa, in valore che resta. ARTO è già questo: un modello concreto che nasce dall’innovazione e dalla ricerca, e che oggi è pronto a dare voce a chiunque voglia farsi ascoltare.

L'articolo ARTO: la piattaforma italiana che rivoluziona l’arte con la blockchain e NFT certificati proviene da il blog della sicurezza informatica.

Il panorama del ransomware continua a essere caratterizzato da dinamiche di adattamento e resilienza. Anche quando un’operazione internazionale sembra decretare la fine di un gruppo criminale, l’esperienza ci mostra che la scomparsa è spesso solo temporanea.

È questo il caso di LockBit, una delle gang più prolifiche e strutturate dell’ultimo quinquennio, la cui parabola sembrava essersi chiusa con l’operazione Cronos del febbraio 2024. Oggi, tuttavia, nuove evidenze provenienti dal dark web stanno alimentando l’ipotesi di un ritorno sotto una nuova veste: LockBit 5.0.

LockBit: dal dominio incontrastato al declino apparente

LockBit ha rappresentato negli anni un modello di riferimento per l’ecosistema criminale, grazie al suo approccio Ransomware-as-a-Service (RaaS), alla struttura capillare di affiliati e a una costante innovazione nelle tecniche di cifratura e propagazione. L’introduzione dei data leak site (DLS) come strumento di pressione ha reso LockBit una vera e propria icona del cybercrime.

Con l’operazione Cronos, culminata nel sequestro di numerose infrastrutture e nella compromissione dei pannelli affiliati, il gruppo sembrava destinato a un declino definitivo. Tuttavia, come già analizzato nel precedente articolo, tracce residue di attività e segnali sparsi sul dark web lasciavano presagire una possibile riorganizzazione.

L’emergere di LockBit 5.0

Nelle ultime ore è emersa un’immagine che sembra confermare questa ipotesi: una schermata di autenticazione relativa a un nuovo DLS legato al brand LockBit. A differenza dei portali tradizionali, liberamente consultabili per massimizzare l’effetto coercitivo sulle vittime, questa nuova infrastruttura richiede l’inserimento di una chiave privata per poter accedere ai contenuti.

Questa scelta introduce elementi di novità e apre a scenari interpretativi differenti:

• un tentativo di aumentare la segretezza operativa, riducendo l’esposizione verso ricercatori e forze dell’ordine;
• una logica di selezione degli interlocutori, limitando l’accesso a partner fidati o affiliati;
• oppure un esperimento di rebranding, utile a testare nuove modalità di gestione dei dati esfiltrati.

Un ecosistema in evoluzione: AI e automazione

La ricomparsa di LockBit deve essere letta nel contesto di un’evoluzione più ampia. Diversi gruppi ransomware stanno infatti sperimentando nuove tecniche di attacco, integrando automazione, moduli di evasione avanzata e strategie di doppia estorsione più aggressive.

In questo quadro, il dibattito sull’impiego dell’intelligenza artificiale come fattore dirompente è sempre più centrale. Come sottolineato anche nel post di Anastasia Sentsova, la possibilità che in futuro si affermino campagne di AI-orchestrated ransomware apre a scenari in cui targeting, movimento laterale e negoziazione potrebbero essere ottimizzati in tempo reale. In questo senso, la potenziale rinascita di LockBit 5.0 potrebbe segnare l’inizio di una nuova fase sperimentale.

Conclusioni

La schermata di login trapelata dal nuovo DLS, con la richiesta di una chiave privata, non rappresenta soltanto un dettaglio tecnico, ma un indizio capace di alimentare una serie di domande aperte:

• chi gestisce realmente questa infrastruttura?
• è davvero LockBit a orchestrare la riapparizione, o un nuovo attore che sfrutta il brand?
• quale sarà la prossima evoluzione nel modello di estorsione e pubblicazione dei dati?

Al momento, non vi sono risposte definitive. Tuttavia, un elemento è certo: il vuoto lasciato da LockBit nel panorama del ransomware è troppo grande perché rimanga tale a lungo. Se LockBit 5.0 dovesse confermarsi come realtà, il settore potrebbe trovarsi di fronte a un nuovo punto di svolta, con impatti significativi su tattiche, tecniche e procedure del cybercrime internazionale.

L'articolo LockBit 5.0: segnali concreti di una possibile rinascita? proviene da il blog della sicurezza informatica.

The Diné (aka Navajo) people have been using their weaving as trade goods at least since European contact, and probably long before. They’ve never shied from adopting innovation: churro sheep from the Spanish in the 17th century, aniline dies in the 19th, and in the 20th and 21st… integrated circuits? At least one Navajo Weaver, [Marilou Schultz] thinks they’re a good match for the traditional geometric forms. Her latest creation is a woven depiction of the venerable 555 timer.
“Popular Chip” by Marilou Schultz. Photo courtesy of First American Art Magazine, via righto.com
This isn’t the first time [Marilou] has turned an IC into a Navajo rug; she’s been weaving chip rugs since 1994– including a Pentium rug commissioned by Intel that hangs in USA’s National Gallery of Art–but it’s somehow flown below the Hackaday radar until now. The closest thing we’ve seen on these pages was a beaded bracelet embedding a QR code, inspired by traditional Native American forms.

That’s why we’re so thankful to [VivCocoa] for the tip. It’s a wild and wonderful world out there, and we can’t cover all of it without you. Are there any other fusions of tradition and high-tech we’ve been missing out on? Send us a tip.

hackaday.com/2025/09/10/the-55…

This week Jonathan and Dan chat with Frank Vasquez and Chris Simmonds about Embedded Linux, and the 4th edition of the Mastering Embedded Linux Programming book. How has this space changed in the last 20 years, and what’s the latest in Embedded Linux?

• Mastering Embedded Linux Development on Amazon
• 2net.co.uk/
• The Linux Plumbers Conference Call For Proposals page
• AOSP and AAOS meetup on Wednesday 17 September
• aosp-devs.org/

youtube.com/embed/6JKmZAQMgh0?…

Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2025/09/10/floss-…

Si terrà martedì 16 settembre alle 17.30 alla Sala dei Notari Perugia per Laura, una commemorazione in memoria di Laura Santi. A volere fortemente questo evento era stata la stessa giornalista, morta il 21 luglio scorso, dopo aver ricevuto il via libera dalla Asl Umbria 1 per il suicidio assistito. Il suo è stato il primo nella regione Umbria.

Seguendo le sue indicazioni, il marito, Stefano Massoli, insieme alla sindaca di Perugia, Vittoria Ferdinandi e al Comune di Perugia, organizzano la cerimonia a cui prenderanno parte rappresentanti delle istituzioni comunali e regionali, esponenti dell’Associazione Luca Coscioni – che ha supportato in modo fondamentale la battaglia portata avanti dalla giornalista malata di sclerosi multipla progressiva – e alcune persone che hanno affiancato Laura Santi nel suo ultimo tratto di vita.

Intento dichiarato della commemorazione è quello di rendere omaggio a una cittadina perugina che ha affrontato la sua malattia con dignità e coraggio, lottando per il riconoscimento di un diritto civile e offrire un’occasione per promuovere un dibattito costruttivo, informare la cittadinanza e sensibilizzare l’opinione pubblica su queste tematiche. Sarà anche un momento per condividere ricordi personali di chi è stato vicino a Laura e raccontare, una volta ancora, chi era la giornalista. Tutta la cittadinanza è invitata a partecipare.

L'articolo Perugia per Laura: la città rende omaggio a Laura Santi proviene da Associazione Luca Coscioni.

Hacktivism and geopolitically motivated APT groups have become a significant threat to many regions of the world in recent years, damaging infrastructure and important functions of government, business, and society. In late 2022 we predicted that the involvement of hacktivist groups in all major geopolitical conflicts from now on will only increase and this is what we’ve been observing throughout the years. With regard to the Ukrainian-Russian conflict, this has led to a sharp increase of activities carried out by groups that identify themselves as either pro-Ukrainian or pro-Russian.

The rise in cybercrime amid geopolitical tensions is alarming. Our Kaspersky Cyber Threat Intelligence team has been observing several geopolitically motivated threat actors and hacktivist groups operating in various conflict zones. Through collecting and analyzing extensive data on these groups’ tactics, techniques, and procedures (TTPs), we’ve discovered a concerning trend: hacktivists are increasingly interconnected with financially motivated groups. They share tools, infrastructure, and resources.

This collaboration has serious implications. Their campaigns may disrupt not only business operations but also ordinary citizens’ lives, affecting everything from banking services to personal data security or the functioning of the healthcare system. Moreover, monetized techniques can spread exponentially as profit-seeking actors worldwide replicate and refine them. We consider these technical findings a valuable resource for global cybersecurity efforts. In this report, we share observations on threat actors who identify themselves as pro-Ukrainian.

About this report

The main goal of this report is to provide technical evidence supporting the theory we’ve proposed based on our previous research: that most of the groups we describe here actively collaborate, effectively forming three major threat clusters.

This report includes:

• A library of threat groups, current as of 2025, with details on their main TTPs and tools.
• A technical description of signature tactics, techniques, procedures, and toolsets used by these groups. This information is intended for practical use by SOC, DFIR, CTI, and threat hunting professionals.

What this report covers

This report contains information on the current TTPs of hacktivists and APT groups targeting Russian organizations particularly in 2025, however they are not limited to Russia as a target. Further research showed that among some of the groups’ targets, such as CloudAtlas and XDSpy, were assets in European, Asian, and Middle Eastern countries. In particular, traces of infections were discovered in 2024 in Slovakia and Serbia. The report doesn’t include groups that emerged in 2025, as we didn’t have sufficient time to research their activity. We’ve divided all groups into three clusters based on their TTPs:

• Cluster I combines hacktivist and dual-purpose groups that use similar tactics, techniques, and tools. This cluster is characterized by:
  • Shared infrastructure
  • A unique software suite
  • Identical processes, command lines, directories, and so on
  • Distinctive TTPs

Example: Cyberthreat landscape in Russia in 2025

Hacktivism remains the key threat to Russian businesses and businesses in other conflict areas today, and the scale and complexity of these attacks keep growing. Traditionally, the term “hacktivism” refers to a blend of hacking and activism, where attackers use their skills to achieve social or political goals. Over the past few years, these threat actors have become more experienced and organized, collaborating with one another and sharing knowledge and tools to achieve common objectives.

Additionally, a new phenomenon known as “dual-purpose groups” has appeared in the Russian threat landscape in recent years. We’ve detected links between hacktivists and financially motivated groups. They use the same tools, techniques, and tactics, and even share common infrastructure and resources. Depending on the victim, they may pursue a variety of goals: demanding a ransom to decrypt data, causing irreparable damage, or leaking stolen data to the media. This suggests that these attackers belong to a single complex cluster.

Beyond this, “traditional” categories of attackers continue to operate in Russia and other regions: groups engaged in cyberespionage and purely financially motivated threat actors also remain a significant problem. Like other groups, geopolitically motivated groups are cybercriminals who undermine the secure and trustworthy use of digitalization opportunities and they can change and adapt their target regions depending on political developments.

That is why it is important to also be aware of the TTPs used by threat actors who appear to be attacking other targets. We will continue to monitor geopolitically motivated threat actors and publish technical reports about their TTPs.

Recommendations

To defend against the threats described in this report, Kaspersky experts recommend the following:

• Provide your SOC teams with access to up-to-date information on the latest attacker tactics, techniques, and procedures (TTPs). Threat intelligence feeds from reliable providers, like Kaspersky Threat Intelligence, can help with this.
• Use a comprehensive security solution that combines centralized monitoring and analysis, advanced threat detection and response, and security incident investigation tools. The Kaspersky NEXT XDR platform provides this functionality and is suitable for medium and large businesses in any industry.
• Protect every component of modern and legacy industrial automation systems with specialized OT security solutions. Kaspersky Industrial CyberSecurity (KICS) — an XDR-class platform — ensures reliable protection for critical infrastructure in energy, manufacturing, mining, and transportation.
• Conduct regular security awareness training for employees to reduce the likelihood of successful phishing and other social engineering attacks. Kaspersky Automated Security Awareness Platform is a good option for this.

The report is available for our partners and customers. If you are interested, please contact report@kaspersky.com

securelist.com/three-hacktivis…

Here at Hackaday Central, we fancy that we know a little something about Linux. But if you’d tasked us to run any GUI program inside a Linux terminal, we’d have said that wasn’t possible. But, it turns out, you should have asked [mmulet] who put together term.everything.

You might be thinking that of course, you can launch a GUI program from a terminal. Sure. That’s not what this is. Instead, it hijacks the Wayland protocol and renders the graphics as text. Or, if your terminal supports it, as an image. Performance is probably not your goal if you want to do this. As the old saying goes, “It’s not that the dog can sing well; it’s that the dog can sing at all.”

If, like us, you are more interested in how it works, there’s a write up explaining the nuances of the Wayland protocol. The article points out that Wayland doesn’t actually care what you do with the graphical output. In particular, “… you could print out the graphics and give them to a league of crochet grandmas to individually tie together every single pixel into the afghan of legend!” We expect to see this tested at an upcoming hacker conference. Maybe even Supercon.

We generally don’t like Wayland very much. We use a lot of hacks like xdotool and autokey that Wayland doesn’t like. We also think people didn’t understand X11’s network abilities until it was too late. If you think of it as only a video card driver, then you get what you deserve. But we have to admit, we are humbled by term.everything.

hackaday.com/2025/09/10/everyt…

Keeping track of time is essential, even for microcontrollers, which is why a real-time clock (RTC) peripheral is a common feature in MCUs. In the case of the STM32 family there are three varieties of RTC peripherals, with the newest two creatively called ‘RTC2′ and RTC3’, to contrast them from the very basic and barebones RTC that debuted with the STM32F1 series.

Commonly experienced in the ubiquitous and often cloned STM32F103 MCU, this ‘RTC1’ features little more than a basic 32-bit counter alongside an alarm feature and a collection of battery-backed registers that requires you to do all of the heavy lifting of time and date keeping yourself. This is quite a contrast with the two rather similar successor RTC peripherals, which seem to insist on doing everything possible themselves – except offer you that basic counter – including giving you a full-blown calendar and today’s time with consideration for 12/24 hour format, DST and much more.

With such a wide gulf between RTC1 and its successors, this raises the question of how to best approach these from a low-level perspective.

You Can Count On Me

If it was just about counting seconds, then any of the timer peripherals in an MCU would be more than up to the task, limited only by the precision of the used system clock. The RTC requirements are a bit more extensive, however, as indicated by what is called the backup domain in F1 and the backup registers in the RTC2 and RTC3 peripherals. Powered by an external power source, this clock and register data are expected to survive any power event, the CPU being reset, halted or powered off, while happily continuing to count the progress of time until the rest of the MCU and its firmware returns to check up on its progress.

Naturally, this continuation requires two things: the first is a power source to the special power pin on the MCU (V_BAT), often provided from a ubiquitous 3 V lithium cell, along with a clock source that remains powered when the rest of the MCU isn’t. This provides the first gotcha as the RTC clock can be configured to be one of these three:

• Low Speed External (LSE): usually an external 32,768 Hz oscillator which is powered via V_BAT.
• Low Speed Internal (LSI): a simple internal ~40-ish kHz oscillator that is only powered by V_DD.
• High Speed External (HSE): the external clock signal that’s generally used to clock the MCU’s CPU and many of its peripherals. Also not available in all low-power modes.

Thus, the logical RTCCLK choice for an RTC that has to survive any and all adverse power events is the LSE as it feeds into the RTC. Take for example the STM32F103 RTC block diagram:
Simplified RTC diagram of the STM32F103. (Source: RM0008)
Here we can see the elements of the very basic RTC1 peripheral, with the sections that are powered by V_BAT marked in grey. The incoming RTCCLK is used to generate the RTC time base TR_CLK in the RTC prescaler, which increases the value in the RTC_CNT register. It being a 32-bit register and TR_CLK usually being 1 Hz means that this counter can be run for approximately 136 years if we ignore details like leap years, without overflowing.

For initializing and using the RTC1 peripheral, we can consult application note AN2821 alongside reference manual RM0008, which covers a clock and calendar implementation, specifically on the STM3210B-EVAL board, but applicable to all STM32F10x MCUs. If you want to keep a running calendar going, it’s possible to use the backup registers for this whenever the counter reaches a certain number of seconds.

That said, where having just this counter is rather pleasant is when using the C <time.h> functions with Newlib, such as time(). As Newlib on STM32 requires you to implement at least [url=https://www.man7.org/linux/man-pages/man2/gettimeofday.2.html]_gettimeofday()[/url], this means that you can just let RTC_CNT do its thing and copy it into the seconds member of a timeval struct – after converting from BCD to binary – before returning it. This is significantly easier than with RTC2 and 3, with my own implementation in Nodate’s RTC code currently fudging things with mktime() to get a basic seconds counter again from the clock and calendar register values.

All The Bells And Whistles

If the RTC1 peripheral was rather basic with just a counter, an alarm and some backup registers, its successor and the rather similar RTC3 peripheral are basically the exact opposite. A good, quick comparison is provided here, with AN4759 providing a detailed overview, initialization and usage of these newest RTCs. One nice thing about RTC3 is that it adds back an optional counter much like the – BCD-based – RTC1 counter by extending the RTC_SSR register to 32-bit and using it as a binary counter. However as the summary by Efton notes, this counter and some other features are not present on every MCU, so beware.

Correspondingly, the block diagram for the RTC2 peripheral is rather more complicated:
Block diagram of the RTC 2 peripheral in the STM32F401 MCU. (Source: ST, RM0368)
Although we can still see the prescaler and backup/tamper registers, the prescaler is significantly more complex with added calibration options, the alarms span more registers and there are now three shadow registers for the time, date and sub-seconds in RTC_TR, RTC_DR and RTC_SSR respectively. This is practically identical to the RTC3 block diagram.

These shadow registers lay out the individual values as for example in the RTC_TR register:
The RTC_TR register in the STM32F401. (Source: ST, RM0368)
Taking the seconds as an example, we got the tens (ST) and units (SU), both in BCD format which together form the current number of seconds. For the minutes and hours the same pattern is used, with PM keeping track of whether it’s AM or PM if 12 hour format is used. Effectively this makes these shadow registers a direct source of time and calendar information, albeit generally in BCD format and unlike with the basic RTC1 peripheral, using it as the source for C-style functions via Newlib has become rather tricky.

Unix Time Things

In the world of computing the ‘seconds since the Unix Epoch’ thing has become rather defining as the starting point for many timing-related functions. One consequence of this is that indicating a point in time often involves listing the number of seconds since said epoch on January 1st of 1970, at 00:00:00 UTC. This includes the time-related functions in the standard C libraries, such as Newlib, as discussed earlier.

This is perhaps the most frustrating point with these three-ish different STM32 RTC peripherals, as although the RTC1 is barebones, making it work with Newlib is a snap, while RTC2 and RTC3 are for the most part a nightmare, except for the RTC3 implementations that support the binary mode, although even that is a down-counter instead of an up-counter. This leaves one with the dreadful task of turning those shadow register values back into a Unix timestamp.

One way to do this is by using the mktime() function as mentioned earlier. This takes a tm struct whose fields define the elements of a date, e.g. for seconds:
tm tt;
tt.tm_sec = (uint8_t) bcd2dec32(RTC_TR & (RTC_TR_ST | RTC_TR_SU));
By repeating this for each part of RTC_TR and RTC_DR, we end up with a filled in struct that we can pass to mktime which will then spit out our coveted Unix timestamp in the form of a time_t integer. Of course, that would be far too easy, and thus we run head-first into the problem that mktime is incredibly picky about what it likes, and makes this implementation-dependent.

For example, despite the claims made about ranges for the tm struct, running a simple local test case in an MSYS2 environment indicated that negative years since 1970 wasn’t allowed, so that not having the RTC set to a current-ish date will always error out when the year is less than 71. It’s quite possible that a custom alternative to mktime will be less headache-inducing here.

Of course, ST could just have been nice and offered the basic counter of RTC1 along with all of the good stuff added with RTC2 and RTC3, but maybe for that we’ll have to count the seconds until the release of RTC4.

hackaday.com/2025/09/10/bare-m…

Adobe ha segnalato un bug critico (CVE-2025-54236) che colpisce le piattaforme Commerce e Magento. I ricercatori hanno chiamato questa vulnerabilità SessionReaper e la descrivono come una delle più gravi nella storia di questi prodotti.

Questa settimana, gli sviluppatori Adobe hanno già rilasciato una patch per il bug di sicurezza, che ha ricevuto un punteggio CVSS di 9,1. Si segnala che la vulnerabilità può essere sfruttata senza autenticazione per prendere il controllo degli account dei clienti tramite l’API REST di Commerce.

Secondo gli esperti della società di sicurezza informatica Sansec, il 4 settembre Adobe ha notificato a “clienti Commerce selezionati” l’imminente correzione, che è stata rilasciata il 9 settembre.

I clienti che utilizzano Adobe Commerce su Cloud sono già protetti da una regola WAF implementata da Adobe come misura di sicurezza provvisoria.

Né Adobe né Sansec sono a conoscenza di casi in cui SessionReaper sia stato utilizzato in attacchi reali. Tuttavia, Sansec segnala che l’hotfix iniziale per CVE-2025-54236 è trapelato la scorsa settimana, il che significa che gli aggressori hanno avuto più tempo per creare un exploit.

Secondo i ricercatori, lo sfruttamento efficace del problema dipende dalla memorizzazione dei dati della sessione nel file system (questa è la configurazione predefinita utilizzata nella maggior parte dei casi). Si consiglia vivamente agli amministratori di installare la patch disponibile il prima possibile. Tuttavia, gli esperti avvertono che la correzione disabilita alcune funzioni interne di Magento e questo potrebbe causare problemi nel codice personalizzato ed esterno.

Gli esperti di Sansec prevedono che CVE-2025-54236 verrà sfruttata in attacchi automatizzati su larga scala. Fanno notare che questa vulnerabilità è tra le più gravi nella storia di Magento, insieme a CosmicSting , TrojanOrder , Ambionics SQLi e Shoplift .

In passato, problemi simili sono stati sfruttati per falsificare sessioni, aumentare i privilegi, accedere a servizi interni ed eseguire codice.

L'articolo Vulnerabilità critica in Adobe Commerce e Magento: il bug SessionReaper proviene da il blog della sicurezza informatica.

Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

All’interno del post, la gang riporta quanto segue:

Laboratorio Clinico Santa Rita
Santa Rita Laboratorios offers a wide range of medical laboratory services, including hematology, immunology, microbiology, and molecular biology. The company is committed to preserving health through accurate diagnostics and operates with state-of-the-art technology and high-resolution equipment. They provide personalized medical assistance 24/7, as well as home sample collection services for client convenience. Intended clients include individuals seeking reliable laboratory tests and diagnostics.”

Chi sono i criminali informatici di The gentlemen

La cyber gang The Gentlemen è emersa di recente nello scenario del cybercrime distinguendosi per un approccio organizzato e un’infrastruttura ben strutturata. Il gruppo opera attraverso un proprio data leak site nel dark web, dove pubblica avvisi di compromissione e minacce di esposizione dei dati.

La loro comunicazione è caratterizzata da uno stile curato e studiato, con un’immagine pubblica che mira a costruire credibilità e timore nel settore della criminalità informatica, nonostante la relativa novità della loro presenza. Questo aspetto lascia intendere che dietro al progetto possano esserci attori già esperti di ransomware e data extortion.

Il modus operandi dei The Gentlemen ricalca i modelli tipici del ransomware moderno: compromissione iniziale delle infrastrutture, esfiltrazione dei dati sensibili e successiva estorsione basata sulla minaccia di pubblicazione. Le prime vittime individuate dal gruppo appartengono a settori sensibili come sanità, manifattura e servizi, aree particolarmente appetibili per la pressione che la perdita o la fuga di informazioni può generare. Il loro sito non si limita a elencare le vittime, ma fornisce anche dettagli sui dati sottratti, aumentando così la pressione psicologica sulle aziende colpite.

La rapidità con cui il gruppo si è imposto nell’ecosistema del cybercrime solleva interrogativi sulla sua reale origine e sulla possibilità che sia una riorganizzazione o una “costola” di operatori già noti. La capacità di attrarre l’attenzione della comunità di sicurezza informatica. In un panorama già saturo di gang ransomware, i The Gentlemen puntano a differenziarsi con uno stile comunicativo elegante ma allo stesso tempo aggressivo, posizionandosi rapidamente come una minaccia emergente di cui monitorare attentamente le mosse future.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana proviene da il blog della sicurezza informatica.