The PC has had its fair share of bus slots. What started with the ISA bus has culminated, so far, in PCI Express slots, M.2 slots, and a few other mechanisms to connect devices to your computer internally. But if the 8-bit ISA card is the first bus you can remember, you are missing out. There were practically as many bus slots in computers as there were computers. Perhaps the most famous bus in early home computers was the Altair 8800’s bus, retroactively termed the S-100 bus, but that wasn’t the oldest standard.

There are more buses than we can cover in a single post, but to narrow it down, we’ll assume a bus is a standard that allows uniform cards to plug into the system in some meaningful way. A typical bus will provide power and access to the computer’s data bus, or at least to its I/O system. Some bus connectors also allow access to the computer’s memory. In a way, the term is overloaded. Not all buses are created equal. Since we are talking about old bus connectors, we’ll exclude new-fangled high speed serial buses, for the most part.

Tradeoffs

There are several trade-offs to consider when designing a bus. For example, it is tempting to provide regulated power via the bus connector. However, that also may limit the amount of power-hungry electronics you can put on a card and — even worse — on all the cards at one time. That’s why the S-100 bus, for example, provided unregulated power and expected each card to regulate it.

On the other hand, later buses, such as VME, will typically have regulated power supplies available. Switching power supplies were a big driver of this. Providing, for example, 100 W of 5 V power using a linear power supply was a headache and wasteful. With a switching power supply, you can easily and efficiently deliver regulated power on demand.

Some bus standards provide access to just the CPU’s I/O space. Others allow adding memory, and, of course, some processors only allow memory-mapped I/O. Depending on the CPU and the complexity of the bus, cards may be able to interrupt the processor or engage in direct memory access independent of the CPU.

In addition to power, there are several things that tend to differentiate traditional parallel buses. Of course, power is one of them, as well as the number of bits available for data or addresses. Many bus structures are synchronous. They operate at a fixed speed, and in general, devices need to keep up. This is simple, but it can impose tight requirements on devices.

Tight timing requirements constrain the length of bus wires. Slow devices may need to insert wait states to slow the bus, which, of course, slows it for everyone.

An asynchronous bus, on the other hand, works transactionally. A transaction sends data and waits until it is acknowledged. This is good for long wires and devices with mixed speed capability, but it may also require additional complexity.

Some buses are relatively dumb — little more than wires hanging off the processor through some drivers. Then how can many devices share these wires? Open-collector logic is simple and clever, but not very good at higher speeds. Tri-state drivers are a common solution, although the fanout limitations of the drivers can limit how many devices you can connect to the bus.

If you look at any modern bus, you’ll see these limitations have driven things to serial solutions, usually with differential signaling and sophisticated arbitration built into the bus. But that’s not our topic today.

Unibus

A Unibus card (public domain)
A common early bus was the Digital Equipment Corporation Unibus. In 1969, you needed a lot of board space to implement nearly anything, so Unibus cards were big. PDP-11 computers and some early VAX machines used Unibus as both the system bus for memory and I/O operations.

Unibus was asynchronous, so devices could go as fast as they could or as slow as they needed. There were two 36-pin edge connectors with 56 pins of signals and 16 pins for power and ground.

Unibus was advanced for its time. Many of the pins had pull-up resistors on the bus so that multiple cards could assert them by pulling them to ground. For example, INTR, the interrupt request line, would normally be high, with no cards asserting an interrupt. If any board pulls the line low, the processor will service the interrupt, subject to priority resolution that Unibus supported via bus requests and grants.

The grants daisy-chained from card to card. This means that empty slots required a “grant continuity card” that connected the grant lines to prevent breaking the daisy chain.

Q-Bus CPU card (CC BY-SA 4.0 by [Phiarc])The bus also had power quality lines that could inform devices when AC or DC power was low. High-performance computers might have “Fastbus,” which was two Unibuses connected but optimized to increase bandwidth. Because the boards were large, Digital would eventually adopt Q-Bus, or the LSI-11 bus. This was very similar to Unibus, but it multiplexed data and address lines, allowing boards to be smaller and cheaper to produce. Fewer wires also meant simplified backplanes and wiring, reducing costs.

Eventually, the Digital machines acquired Massbus for connecting to specific disk and tape drives. It was also an asynchronous bus, but only for data. It carried 18 bits plus a parity bit. Boards like the RH11 would connect Massbus devices to the Unibus. There would be other Digital Equipment buses like TURBOChannel.

Other computer makers, of course, had their own ideas. Sun had MBus and HP 3000 and 9000 computers, which used the HP Precision Bus and HP GSC. But the real action for people like us was with the small computers.

S-100 and Other Micros

It is easy to see that when the designers defined the Altair 8800 bus, they didn’t expect it to be a standard. There was simply a 100-pin connector that accepted cards 10 inches long by 5 inches tall. The bus was just barely more than the Intel 8080 pins brought out, along with some power. At first, the bus split the databus into an input and output bus. However, later cards used a bidirectional bus to allow for more grounds on the now unused bus bits to help reduce noise.

Through the late 1970s and early 1980s, the S-100 market was robust. Most CP/M machines using an 8080 or Z-80 had S-100 bus slots. In fact, it was popular enough that it gave birth to a real standard: IEEE 696. However, by 1994, the IBM PC had made the S-100 bus a relic, and the IEEE retired the standard.

Of course, the PC bus would go on to be dominant on x86 machines for a while; other systems had other buses. The SS-50 was sort of the S-100 for 6800 computers. The 68000 computers often used VMEbus, which was closely tied to the asynchronous bus of that CPU.

Embedded Systems

While things like S-100 were great for desktop systems, they were generally big and expensive. That led to competitors for small system use. Eurocard was a popular mechanical standard that could handle up to 96 signals. The DIN 41612 connectors had 32 pins per row, with two or three rows.

Eurocard CPU (CC BY-SA 4.0 by [SpareHeadOne])A proper Eurocard could handle batteries and had strict rules about signal fanout and input levels. Unfortunately, it wasn’t really a bus because it didn’t define all the pin assignments, so cards made by one vendor didn’t always work with cards from another vendor. The N8VEM homebrew computer (see the video below) used Eurocards. VME used a 3-row Eurocard connector, as well.

youtube.com/embed/wjf0k0vNxrQ?…

STD Bus card (CC-BY 4.0 by [AkBkukU])Another popular small system bus was the STD Bus popularized by companies like Mostek. These were small 6.5″ x 4.5″ cards with a 56-pin connector. At one time, more than 100 companies produced these cards. You can still find a few of them around, and the boards show up regularly on the surplus market. You can see more about the history of these common cards and their bus in the video below.

youtube.com/embed/HaqWV9qY5fs?…

Catching the Bus

We don’t deal much with these kinds of buses in modern equipment. Modern busses tend to be high-speed serial and sophisticated. Besides, a hobby-level embedded system now probably uses a system-on-a-chip or, at least, a single board computer, with little need for an actual bus other than, perhaps, SPI, I2C, or USB for I/O expansion.

Of course, modern bus standards are the winners of wars with other standards. You can still get new S-100 boards. Sort of.

hackaday.com/2025/12/17/catchi…

E’ arrivato! E’ dicembre che arriva sempre con quel carico di bilanci che pesano sulla schiena.

Ma ormai il bilancio non si fa più solo tra sé e sé. C’è questo strano fenomeno del sovraccarico, una specie di rumore di fondo che diventa insopportabile proprio quando dovremmo rallentare.

I social ad esempio, si riempiono di gente che urla i propri successi dell’anno e le chat di lavoro esplodono perché bisogna chiudere tutto, subito, prima che scatti il primo gennaio, come se poi il mondo finisse davvero.

In mezzo a questo caos, gli algoritmi dei negozi non ti lasciano respirare.

Ti inseguono con sconti che sembrano occasioni imperdibili, che rasentano lo scam di massa, e intanto senti la pressione di dover scattare la foto perfetta per Instagram. E poi intorno al 24, si finisce a passare le ore a fare copia e incolla di un unico messaggio di auguri (con tanto di immagine) da inviare a tutti gli “amici” su WhatsApp, perdendo di vista quello che sta succedendo davvero nella nostra stanza.

Il bisogno di staccare la spina

“Stacca, Stacca, Staccami la spina” cantava Jovanotti (Lorenzo Cherubini) moltissimi anni fa.

Ma molti (e non nascondetelo) se ne accorgono così, quasi per caso, di quanto sono diventati schiavi di quel rettangolo luminoso. Uno tira fuori il telefono per guardare che tempo fa o se sono già le otto, e trenta minuti dopo è ancora lì che scorre notizie o reals a caso, senza un motivo preciso.

Capita pure durante le cene: il cibo arriva in tavola e invece di mangiarlo lo si fotografa da ogni angolazione, interrompendo tutto il ritmo della serata.

Le famiglie si ritrovano sedute allo stesso tavolo ma vivono vite parallele.

Ognuno fissa il suo schermo, immerso in una bolla digitale che rende la presenza fisica una specie di accessorio opzionale. È un modo di stare insieme che non è stare insieme, ed è in questo momento di massima frizione che la voglia di una disintossicazione digitale inizia a farsi strada nella testa della gente.

La fatica di elaborare troppi dati

I ricercatori hanno pure dato un nome a questa sensazione di pesantezza:burnout digitale.

È una stanchezza cronica che viene dal mangiare troppe informazioni, un’indigestione di dati che il cervello umano non è proprio fatto per gestire. Siamo bombardati.

Ogni notifica che arriva attiva il sistema dello stress e ci tiene in uno stato di allerta perenne, manco fossimo nella giungla a scappare dai predatori, e invece stiamo solo leggendo una mail.

Il problema grosso è che la nostra capacità di concentrarci profondamente sta andando a farsi benedire.

Passiamo da un’app all’altra, da una scheda del browser a un’altra, e il cervello poveretto non riesce a starti dietro. Esiste questa cosa chiamata attenzione residua: un pezzo di te resta incastrato nel compito di prima, così quello che stai facendo adesso lo fai peggio. È un’efficienza che cola a picco, un po’ come cercare di correre nel fango.

Chimica del sonno e giornate corte

A dicembre questa stanchezza accumulata per dodici mesi arriva a un punto di rottura.

La gente diventa irritabile (e ci credo), fa fatica a prendere sonno e non combina più niente di buono al lavoro.

C’è anche una questione tecnica, legata alla luce blu degli schermi che blocca la melatonina. In inverno, con le giornate che durano un attimo e la luce naturale che scarseggia, questa interferenza con l’ormone del sonno è una mazzata per l’organismo.

Il fatto è che dicembre non è un mese come gli altri, ha questo peso simbolico di chiusura del cerchio. È il momento in cui ci si guarda indietro e si pensa che forse si potrebbe vivere diversamente, anche se questa “consapevolezza”, capita molte poche volte all’anno. Se per tutto l’anno hai rimandato il pensiero di cambiare abitudini, l’arrivo dell’anno nuovo ti dà quella spinta di “ultima occasione” per rimetterti in sesto.

Preparare il terreno per il nuovo anno

Fare un detox digitale prima di Capodanno viene visto un po’ come un rito di purificazione.

Come quando si fanno le pulizie di primavera in casa, solo che qui si pulisce lo spazio mentale.

È l’opportunità per smettere di agire come robot, di rendersi conto di quanto tempo si butta via a guardare il nulla e provare a riprendersi le redini della propria attenzione.

Non è che bisogna buttare il telefono nel cassonetto, eh. Si tratta di ritrovare un equilibrio che abbia un senso.

Qualcuno stabilisce dei coprifuoco digitali, tipo che un’ora prima di dormire o durante i pasti i telefoni spariscono dalla vista. Altri cancellano le app che creano più dipendenza o decidono che un giorno a settimana i social non esistono proprio.

Piccole strategie di sopravvivenza

C’è chi prova a tornare all’analogico, che sembra quasi un concetto vintage.

Un libro di carta invece dell’e-book, o un gioco da tavolo invece di rincitrullirsi davanti ai videogiochi. Una cosa che aiuta molto, dicono, è farsi una domanda banale prima di sbloccare lo schermo: “Perché sto prendendo in mano il telefono?”. Spesso la risposta è “per noia”, e già rendersene conto è un passo avanti.

Alla fine, il punto non è odiare la tecnologia, ma smettere di farsi usare da lei. Il vero vantaggio di tutto questo staccare è che si torna a essere presenti, a stare nel momento mentre le cose succedono.

Dicembre è pieno di momenti che meriterebbero di essere vissuti davvero, tra cene e parenti, e riscoprire la gioia di parlarsi dal vivo senza notifiche che vibrano in tasca non è poi così male.

Io questo anno stacco veramente la spina per riaccenderla ad inizio gennaio. E voi?

L'articolo Dicembre ti sta friggendo il cervello? La soluzione è la disintossicazione digitale! proviene da Red Hot Cyber.

Basta avvisi inutili. Basta monitoraggi passivi. Meno di due anni dopo il suo lancio, Google ha deciso di chiudere uno degli strumenti più chiacchierati per la sicurezza digitale: il Dark Web Report. La funzione, pensata per aiutare gli utenti a scoprire se i propri dati personali fossero finiti sul dark web, cesserà di esistere il 16 febbraio 2026, mentre le scansioni per nuove violazioni si fermeranno già il 15 gennaio 2026.

Secondo il gigante tecnologico, il report “offriva informazioni generali, ma il feedback degli utenti ha mostrato che non forniva indicazioni concrete su cosa fare”. Google promette ora di concentrarsi su strumenti che offrano passi chiari e immediatamente azionabili per proteggere le proprie informazioni online.

Per chi lo desidera, è possibile eliminare anticipatamente il proprio profilo di monitoraggio: basta accedere al Dark Web Report, cliccare su “Edit monitoring profile” e infine selezionare “Delete monitoring profile”. Tutti i dati verranno cancellati automaticamente con la disattivazione della funzione.

Lanciato a marzo 2023, il Dark Web Report era stato concepito come una difesa contro le frodi d’identità online, controllando il darknet per dati personali come nome, indirizzo, email, numero di telefono e Social Security Number. Nel luglio 2024, Google aveva esteso il servizio da Google One a tutti gli account, ampliando così la portata del monitoraggio.

Ora Google invita gli utenti a prendere in mano la propria sicurezza digitale. La prima mossa consigliata è attivare le passkey, strumenti di autenticazione multifattore resistenti al phishing, che rendono più difficile per i criminali rubare le credenziali. Non basta più avere una password complessa: serve una protezione che non si limiti a segnalare i rischi, ma li neutralizzi davvero.

In parallelo, Google suggerisce di utilizzare la funzione “Results about you” per rimuovere i propri dati personali dai risultati di ricerca. Questo non è solo un passo di privacy, ma un vero scudo contro l’esposizione non voluta dei propri dati online. Ogni informazione lasciata pubblica può essere raccolta, combinata e rivenduta sul dark web: proteggerla significa ridurre drasticamente il rischio di furti d’identità.

La decisione segna un cambio di rotta netto: da un approccio di monitoraggio passivo a una strategia basata su azioni concrete e protezione attiva, lasciando dietro di sé uno strumento che, seppur utile per scovare i dati nel dark web, non forniva la guida necessaria per difendersi davvero.

L'articolo Google abbandona il Dark Web: Stop allo strumento di monitoraggio nel 2026 proviene da Red Hot Cyber.

With the availability of increasingly cheaper equipment, welding has become far more accessible these days. While this is definitely a plus, it also comes with the elephant-sized asterisk that as with any tool you absolutely must take into account basic safety precautions for yourself and others. This extends to the way you prepare metal for welding, with [Dr. Bernard], AKA [ChubbyEmu] recently joining forces with [styropyro] to highlight the risks of cleaning metal with brake cleaner prior to welding.

Much like with common household chemicals used for cleaning, such as bleach and ammonia, improper use of these can produce e.g. chlorine gas, which while harmful is generally not lethal. Things get much more serious with brake cleaner, containing tetrachloroethylene. As explained in the video, getting brake cleaner on a rusty part to clean it and then exposing it to the intensive energies of the welding process suffices to create phosgene.

Phosgene strongly interacts with fats, proteins and DNA in the body. (Credit: Chubbyemu, YouTube)
Used as a devastating chemical weapon during World War I, phosgene does not dissolve or otherwise noticeably reduce in potency after it enters the lungs. Instead it clings to surfaces where it attacks and destroys proteins and DNA until the affected person typically dies from disruption of the lung’s blood-air barrier and subsequent pulmonary edema. Effectively your lungs fill with liquid, your blood oxygen saturation drops and at some point your body calls it quits.

The video is based on a real case study, where in 1982 a previously healthy 23-year old man accidentally inhaled phosgene, was admitted to the ER before being rushed to the ICU. Over the course of six days he deteriorated, developed a fever and passed away after his heart stopped pumping properly due to ventricular fibrillation.

Basically, if you are off minding your own business and suddenly smell something like musty hay or freshly cut grass when nobody is mowing the lawn, there’s a chance you just inhaled phosgene. Unlike in the video, where the victim keeps welding and waits a long time before going to the ER, immediate treatment can at least give you a shot at recovery if the exposure was mild enough.

As with laser safety, prevention is the best way to stay healthy. In the case of welding it’s essential to fully cover up your skin as there is intense UV radiation from the work area, protect your eyes with a quality welding mask and ideally wear a respirator especially when welding indoors. Show your eyes, lungs and skin how much you love them by taking good care of them — and please don’t use brake cleaner to prep parts for welding.

youtube.com/embed/rp6JyEdfjAQ?…

hackaday.com/2025/12/17/the-le…

Introduction

In March 2025, we discovered Operation ForumTroll, a series of sophisticated cyberattacks exploiting the CVE-2025-2783 vulnerability in Google Chrome. We previously detailed the malicious implants used in the operation: the LeetAgent backdoor and the complex spyware Dante, developed by Memento Labs (formerly Hacking Team). However, the attackers behind this operation didn’t stop at their spring campaign and have continued to infect targets within the Russian Federation.

Emails posing as a scientific library

In October 2025, just days before we presented our report detailing the ForumTroll APT group’s attack at the Security Analyst Summit, we detected a new targeted phishing campaign by the same group. However, while the spring cyberattacks focused on organizations, the fall campaign honed in on specific individuals: scholars in the field of political science, international relations, and global economics, working at major Russian universities and research institutions.

The emails received by the victims were sent from the address support@e-library[.]wiki. The campaign purported to be from the scientific electronic library, eLibrary, whose legitimate website is elibrary.ru. The phishing emails contained a malicious link in the format: https://e-library[.]wiki/elib/wiki.php?id=<8 pseudorandom letters and digits>. Recipients were prompted to click the link to download a plagiarism report. Clicking that link triggered the download of an archive file. The filename was personalized, using the victim’s own name in the format: <LastName>_<FirstName>_<Patronymic>.zip.

A well-prepared attack

The attackers did their homework before sending out the phishing emails. The malicious domain, e-library[.]wiki, was registered back in March 2025, over six months before the email campaign started. This was likely done to build the domain’s reputation, as sending emails from a suspicious, newly registered domain is a major red flag for spam filters.

Furthermore, the attackers placed a copy of the legitimate eLibrary homepage on https://e-library[.]wiki. According to the information on the page, they accessed the legitimate website from the IP address 193.65.18[.]14 back in December 2024.

A screenshot of the malicious site elements showing the IP address and initial session date

The attackers also carefully personalized the phishing emails for their targets, specific professionals in the field. As mentioned above, the downloaded archive was named with the victim’s last name, first name, and patronymic.

Another noteworthy technique was the attacker’s effort to hinder security analysis by restricting repeat downloads. When we attempted to download the archive from the malicious site, we received a message in Russian, indicating the download link was likely for one-time use only:

The message that was displayed when we attempted to download the archive

Our investigation found that the malicious site displayed a different message if the download was attempted from a non-Windows device. In that case, it prompted the user to try again from a Windows computer.

The message that was displayed when we attempted to download the archive from a non-Windows OS

The malicious archive

The malicious archives downloaded via the email links contained the following:

• A malicious shortcut file named after the victim: <LastName>_<FirstName>_<Patronymic>.lnk;
• A .Thumbs directory containing approximately 100 image files with names in Russian. These images were not used during the infection process and were likely added to make the archives appear less suspicious to security solutions.

A portion of the .Thumbs directory contents

When the user clicked the shortcut, it ran a PowerShell script. The script’s primary purpose was to download and execute a PowerShell-based payload from a malicious server.

The script that was launched by opening the shortcut

The downloaded payload then performed the following actions:

• Contacted a URL in the format: https://e-library[.]wiki/elib/query.php?id=<8 pseudorandom letters and digits>&key=<32 hexadecimal characters> to retrieve the final payload, a DLL file.
• Saved the downloaded file to %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 pseudorandom digits>.dll.
• Established persistence for the payload using COM Hijacking. This involved writing the path to the DLL file into the registry key HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Notably, the attackers had used that same technique in their spring attacks.
• Downloaded a decoy PDF from a URL in the format: https://e-library[.]wiki/pdf/<8 pseudorandom letters and digits>.pdf. This PDF was saved to the user’s Downloads folder with a filename in the format: <LastName>_<FirstName>_<Patronymic>.pdf and then opened automatically.

The decoy PDF contained no valuable information. It was merely a blurred report generated by a Russian plagiarism-checking system.

A screenshot of a page from the downloaded report

At the time of our investigation, the links for downloading the final payloads didn’t work. Attempting to access them returned error messages in English: “You are already blocked…” or “You have been bad ended” (sic). This likely indicates the use of a protective mechanism to prevent payloads from being downloaded more than once. Despite this, we managed to obtain and analyze the final payload.

The final payload: the Tuoni framework

The DLL file deployed to infected devices proved to be an OLLVM-obfuscated loader, which we described in our previous report on Operation ForumTroll. However, while this loader previously delivered rare implants like LeetAgent and Dante, this time the attackers opted for a better-known commercial red teaming framework: Tuoni. Portions of the Tuoni code are publicly available on GitHub. By deploying this tool, the attackers gained remote access to the victim’s device along with other capabilities for further system compromise.

As in the previous campaign, the attackers used fastly.net as C2 servers.

Conclusion

The cyberattacks carried out by the ForumTroll APT group in the spring and fall of 2025 share significant similarities. In both campaigns, infection began with targeted phishing emails, and persistence for the malicious implants was achieved with the COM Hijacking technique. The same loader was used to deploy the implants both in the spring and the fall.

Despite these similarities, the fall series of attacks cannot be considered as technically sophisticated as the spring campaign. In the spring, the ForumTroll APT group exploited zero-day vulnerabilities to infect systems. By contrast, the autumn attacks relied entirely on social engineering, counting on victims not only clicking the malicious link but also downloading the archive and launching the shortcut file. Furthermore, the malware used in the fall campaign, the Tuoni framework, is less rare.

ForumTroll has been targeting organizations and individuals in Russia and Belarus since at least 2022. Given this lengthy timeline, it is likely this APT group will continue to target entities and individuals of interest within these two countries. We believe that investigating ForumTroll’s potential future campaigns will allow us to shed light on shadowy malicious implants created by commercial developers – much as we did with the discovery of the Dante spyware.

Indicators of compromise

e-library[.]wiki
perf-service-clients2.global.ssl.fastly[.]net
bus-pod-tenant.global.ssl.fastly[.]net
status-portal-api.global.ssl.fastly[.]net

securelist.com/operation-forum…

Non è l’a prima colta che i criminal hacker commettono degli errori e non sdarà l’ultima.

Il gruppo di hacktivisti filorusso CyberVolk ha lanciato il servizio RaaS VolkLocker (noto anche come CyberVolk 2.x). Tuttavia, i ricercatori di sicurezza hanno scoperto che gli sviluppatori del malware hanno commesso diversi errori che consentono alle vittime di recuperare gratuitamente i propri file.

I ricercatori di SentinelOne riferiscono che gli aggressori hanno incorporato la chiave di crittografia master direttamente nel binario del malware e l’hanno salvata come file di testo normale nella cartella %TEMP%.

Il file si chiama system_backup.key e tutto il necessario per decrittografare i dati può essere facilmente estratto da esso. I ricercatori ipotizzano che si tratti di una sorta di artefatto di debug che non è stato “pulito” prima del rilascio.

Gli operatori RaaS apparentemente non sono a conoscenza del fatto che i loro clienti distribuiscono build con la funzione backupMasterKey().

Si ritiene che CyberVolk sia un gruppo filo-russo con sede in India che opera in modo indipendente. Mentre altri hacktivisti si limitano in genere ad attacchi DDoS, CyberVolk ha deciso di accettare la sfida di creare un proprio ransomware.

Gli aggressori lo hanno annunciato per la prima volta l’anno scorso e, sebbene siano stati successivamente banditi da Telegram diverse volte, nell’agosto di quest’anno il gruppo ha presentato il malware VolkLocker (CyberVolk 2.x) e la sua piattaforma RaaS (Ransomware-as-a-Service).

VolkLocker è scritto in Go e funziona sia su Linux (incluso VMware ESXi) che su Windows. L’accesso a RaaS per un singolo sistema operativo costa tra gli 800 e i 1.100 dollari, le versioni Linux e Windows costano tra i 1.600 e i 2.200 dollari, mentre un RAT o un keylogger autonomo costa 500 dollari. Gli acquirenti del malware ottengono l’accesso a un generatore di bot per Telegram, dove possono configurare il ransomware e ricevere il payload generato.

Per creare il tuo ransomware, devi specificare un indirizzo Bitcoin, un token bot di Telegram, un ID chat, una scadenza per il pagamento del riscatto, un’estensione per i file crittografati e impostare le opzioni di autodistruzione.

Una volta avviato sul sistema della vittima, VolkLocker aumenta i privilegi aggirando il Controllo dell’account utente di Windows, seleziona i file da crittografare da un elenco di esclusioni preconfigurato e crittografa i dati utilizzando AES-256 in modalità GCM.

I ricercatori hanno inoltre notato che il codice contiene un timer che attiva un wiper che distrugge le cartelle dell’utente (Documenti, Download, Immagini, Desktop) dopo la scadenza del ransomware o quando viene inserita una chiave errata nella finestra HTML del riscatto.

Secondo gli esperti, la principale debolezza del malware risiede nella crittografia. VolkLocker non genera chiavi dinamicamente, ma utilizza la stessa chiave master hardcoded per tutti i file presenti sul sistema infetto. Come accennato in precedenza, questa chiave viene scritta nel file eseguibile come stringa esadecimale e duplicata in un file di testo in formato %TEMP%.

Gli esperti ritengono che tali errori indichino problemi di controllo qualità: il gruppo sta cercando di espandersi in modo aggressivo attraendo nuovi “partner” inesperti, ma non riesce a portare a termine nemmeno i compiti più basilari.

In genere, si ritiene opportuno non divulgare dettagli sulle vulnerabilità dei ransomware mentre gli aggressori sono ancora attivi. Gli esperti, invece, in genere avvisano le forze dell’ordine e le aziende specializzate in trattative per il ransomware, che possono quindi assistere le vittime in privato. Poiché CyberVolk rimane attivo, SentinelOne spiega che è improbabile che la divulgazione di informazioni sulle vulnerabilità di VolkLocker ostacoli gli sforzi dei colleghi e delle forze dell’ordine per combattere il gruppo.

L'articolo Ransomware VolkLocker: Gli hacker sbagliano e lasciano la chiave master nel malware proviene da Red Hot Cyber.

L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua essenza è straordinariamente semplice: estrarre e analizzare dati da fonti pubbliche che si tratti di un post su X, di un bilancio depositato in Camera di Commercio, o di un articolo scientifico per trasformarli in intelligence concreta e utilizzabile.

Quella che un tempo era una tecnica appannaggio esclusivo di agenzie governative, oggi è uno strumento quotidiano per investigatori, giornalisti, analisti di threat intelligence e, inevitabilmente, anche per malintenzionati. Ed è proprio questa democratizzazione che ci costringe a porci una domanda fondamentale: dove finisce la ricerca legittima e dove inizia l’illecito?

Un’arma a doppio taglio

L’Open Source Intelligence (OSINT) si configura come un’arma a doppio taglio nell’era digitale: un lato è l’illuminazione, l’altro è l’ombra. Se da una parte ha permesso a organizzazioni non governative e a giornalisti d’inchiesta di portare alla luce crimini di guerra o corruzioni sistemiche, dall’altra ha fornito una metodologia incredibilmente potente a chiunque voglia nuocere. L’accessibilità e l’efficacia degli strumenti attuali, spesso automatizzati e basati su algoritmi di intelligenza artificiale, amplificano esponenzialmente il dilemma originario. L’analista OSINT non è più solo un investigatore paziente che spulcia archivi cartacei o vecchi siti web, ma è un operatore che, con pochi script o tool commerciali, è in grado di mappare intere reti sociali o infrastrutture aziendali in tempi brevissimi.

Il terreno su cui si muove l’OSINT è per sua natura scivoloso. La definizione stessa, “dati da fonti aperte“, suggerisce che tutto sia lecito, purché sia pubblico. Ma la realtà è molto più sfumata. In Italia, e in Europa in generale, il primo ostacolo è il GDPR. Non basta che un dato sia visibile a tutti per poterlo raccogliere, archiviare e analizzare sistematicamente. Questa rapidità e onnipotenza percepita è il cuore del problema legale, specialmente in Europa. La normativa sulla protezione dei dati, il GDPR, è stata concepita per bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali degli individui.

E qui si annida la trappola per l’analista OSINT non professionale. Molti sono convinti che, se un dato è “pubblicato”, l’individuo ne abbia implicitamente acconsentito alla rielaborazione. Ma il diritto europeo non funziona così. Quando si aggregano informazioni sparse – magari unendo un nome utente di Telegram, la foto di un profilo LinkedIn e l’indirizzo di casa trovato su un vecchio registro catastale – si sta effettuando un vero e proprio trattamento di dati personali.

La pubblicazione volontaria di un selfie su Instagram non è un via libera alla sua indicizzazione, archiviazione a lungo termine, e successiva associazione a informazioni sensibili tratte da altre fonti per la creazione di un “profilo di rischio”.

Aggregazione dei dati: OSINF e OSINT

L’aggregazione di dati è l’azione che trasforma l’OSINF in OSINT, e contemporaneamente, l’azione che più facilmente viola il GDPR. Pensiamo all’utilizzo delle e-mail e dei username recuperati. Un conto è notare che l’utente A ha lo stesso username su Twitter e su un forum di discussione tecnica. Un altro, ben diverso, è raccogliere sistematicamente migliaia di queste correlazioni, associarle a indirizzi IP, metadati e schemi di comportamento, e costruire un database ricercabile. In questo caso, l’attività sfocia in un vero e proprio trattamento su larga scala che non solo richiede una base giuridica solida (quasi sempre assente per il curioso o il freelance senza mandato), ma spesso imporrebbe anche l’obbligo di una Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Questo trattamento richiede una base giuridica (consenso, legittimo interesse, obbligo legale) che spesso, nel contesto di una ricerca OSINT non autorizzata, semplicemente non esiste. L’analista potrebbe agire in perfetta buona fede, convinto di non star facendo nulla di male, ma la semplice creazione di un dossier dettagliato su una persona, attingendo solo a fonti aperte, può già configurare una violazione normativa. L’analista improvvisato è quasi sempre inconsapevole di queste procedure, trasformando la sua “ricerca” in un potenziale illecito amministrativo con multe salatissime.

Il confine si fa ancora più netto quando la curiosità spinge il ricercatore a “dare una sbirciatina oltre il cancello”. L’OSINT dovrebbe limitarsi alla superficie del web, senza sfondare porte. Il confine si fa ancora più spinoso sul piano penale, come accennato con l’accesso abusivo. È fondamentale sottolineare che il diritto penale, in questo contesto, non valuta l’intenzione benevola, ma il fatto oggettivo dell’intrusione. Ma in un mondo dove le protezioni a volte sono banali, la tentazione è forte. Se un analista sfrutta un bug di configurazione di un sito, o indovina una password debole per accedere a un’area riservata – anche se non protetta da sistemi di sicurezza complessi – sta commettendo un accesso abusivo a sistema informatico o telematico.

Non tutto ciò che è pubblico è lecito: l’etica operativa dell’OSINT

Non è importante quanto sia stata facile l’intrusione, ma il fatto che non fosse autorizzata. L’utilizzo di sub-domain enumeration tools che tentano di accedere a cartelle nascoste non è OSINT; l’utilizzo di strumenti per la ricerca di credenziali esposte o database non protetti non è ricerca legittima, ma un’attività pre-offensiva che può facilmente degenerare in reato. Anche un semplice port scanning o la verifica di versioni di software esposte, se eseguiti con l’intento di trovare vulnerabilità da sfruttare, possono essere interpretati come azioni preparatorie all’accesso abusivo.

Allo stesso modo, l’utilizzo aggressivo di scraper automatizzati per rastrellare milioni di record violando i Termini di Servizio di una piattaforma, o aggirando deliberate limitazioni tecniche, ci porta in una zona grigia che è a un passo dal trasformarsi in illegalità, specialmente se l’obiettivo è la successiva monetizzazione o il data mining massivo di informazioni sensibili. L’OSINT agisce sulla superficie esposta e sui dati volontariamente o inconsapevolmente lasciati pubblici, ma si ferma dove inizia la necessità di forzare o aggirare qualsiasi tipo di barriera tecnica, anche la più banale come un file robots.txt ignorato intenzionalmente.

Ma i limiti della ricerca non sono soltanto giuridici. C’è un codice, spesso non scritto, che definisce l’etica dell’OSINT. Oltre la legge, persiste l’ineludibile questione etica, che funge da “norma interna” del professionista. La distinzione cruciale è tra “ciò che puoi fare” e “ciò che dovresti fare”. Pensiamo al social engineering: se un analista crea un profilo fittizio (sock puppet) per stringere amicizia virtuale con l’obiettivo e spingerlo a rivelare dettagli che altrimenti terrebbe privati, l’azione è tecnicamente legale finché non sfocia in truffa o minaccia.

L’uso di profili fittizi (sock puppets), ad esempio, è spesso dibattuto. Sebbene possa non essere illegale creare un alter ego virtuale, l’atto di ingannare un individuo per stabilire un rapporto di fiducia al fine di estorcergli informazioni private viola il principio di trasparenza e minaccia la fiducia digitale generale. Tuttavia, è universalmente considerata una prassi non etica e manipolativa. Sfruttare la debolezza emotiva o la scarsa consapevolezza digitale di un individuo per estorcergli informazioni tradisce lo spirito di trasparenza su cui l’OSINT dovrebbe basarsi. Un analista etico dovrebbe sempre cercare il dato con la sua vera identità professionale o, se necessario, tramite fonti neutrali, evitando la manipolazione psicologica. Il fine ultimo dell’OSINT professionale non è raccogliere il gossip o l’informazione compromettente, ma ottenere un quadro informativo che sia accurato, verificabile e contestualizzato.

Dal rumore al segnale: metodo, verifica ed etica nell’OSINT

Il professionista responsabile non cerca solo il dato, ma anche la sua validazione e il suo contesto. C’è un abisso tra l’OSINT (Intelligence) e l’OSINF (Information). Questa distinzione tra OSINT e OSINF è cruciale. Un analista etico sa che un’informazione decontestualizzata o non verificata può distruggere la reputazione di una persona o, in contesti geopolitici, mettere in pericolo vite. L’analista etico non si limita a trovare un tweet incendiario; verifica l’autenticità dell’account, analizza i metadati della foto, incrocia la dichiarazione con i dati geopolitici noti e valuta la sua rilevanza nel contesto investigativo. Il “martello pneumatico” dell’informazione decontestualizzata distrugge reputazioni, alimenta fake news e può persino mettere in pericolo l’incolumità fisica delle persone, in particolare in contesti di doxing o vendetta online. L’OSINT, quando ben eseguita, è un processo metodologico rigoroso che mira alla validazione e alla contestualizzazione del dato, trasformando il rumore in segnale.

In sintesi, l’OSINT è uno strumento chirurgico, non un martello pneumatico. La linea rossa non è un confine fisico tracciato sulla sabbia, ma una bussola interna che guida l’analista. In definitiva, l’analista responsabile deve adottare una mentalità di minimizzazione del dato e di proporzionalità dell’azione. Deve operare con la consapevolezza che ogni ricerca, anche la più innocua, può avere ripercussioni sulla privacy e sui diritti altrui. Prima di avviare una ricerca intrusiva o di aggregare informazioni personali, deve porsi la domanda: è strettamente necessario questo livello di dettaglio per raggiungere il mio obiettivo legittimo? Se l’obiettivo è la threat intelligence difensiva (es. identificare un attacco phishing in corso), l’azione è proporzionata.

Se l’obiettivo è la semplice curiosità o l’indagine su un ex-partner senza un mandato legale o una giustificazione etica cogente, l’azione è sproporzionata e abusiva. Ignorare i principi di proporzionalità, minimizzazione del dato e rispetto della legge non è solo un rischio legale: significa minare la credibilità e l’integrità dell’intera disciplina, trasformando uno strumento di conoscenza in un mezzo di sorveglianza e violazione. La legittimità dell’OSINT, quindi, non risiede solo nella legalità delle sue fonti, ma nella legittimità del suo scopo e nella riserva etica con cui lo si persegue. L’etica, in questo campo, non è un optional, ma la precondizione per la legittimità stessa del lavoro svolto. Ignorare questa bussola etica interna significa condannare l’OSINT a diventare, agli occhi della legge e della società, una forma sofisticata di sorveglianza non autorizzata.

L'articolo Linee Rosse e Limiti Etici nell’OSINT: Quando la Ricerca Oltrepassa il Confine della Legalità proviene da Red Hot Cyber.

Hanukkah is upon us, and if that’s your jam [Brian] has you covered with this stylish WiFi menorah. While we can’t say if it’ll stretch your last gigabyte of connectivity into eight, it’s certainly going to provide awesome signal with all those antennae.
You could perhaps coax us to make one of these.
[Brian] was inspired by the enterprise version of the Hak5 “WiFi Pineapple”, a high-powered pentesting device. Seeing its plethora of antennae, he was struck with the idea of mounting them all onto a menorah, so he did. The menorah itself is 3D printed (of course) with lots of coax running through it down to the base, where presumably it would be connected to a Pineapple or high-powered router.

The project is presented as more of an art piece than a functional device, as there’s no evidence that [Brian] has actually hooked it up to anything yet. But consider the possibilities — along with the traditional candles, you could “light” one WiFi antenna each night, bringing the holiday glow to 2.4 GHz or 5 GHz. If you prefer more visible wavelengths, perhaps this LED menorah would be more to your tastes.

If you’ve got a hack for your culturally-relevant holiday festival, be it Christmas, Hanukkah, or Festivus, we’d love to see it. The tips line is open all year round.

hackaday.com/2025/12/17/wifi-m…

La psicologia delle password parte proprio da qui: cercare di capire le persone prima dei sistemi.

Benvenuti in “La mente dietro le password”, la rubrica che guarda alla cybersecurity
da un’angolazione diversa: quella delle persone. Nel mondo digitale contiamo tutto: attacchi, patch, CVE, indicatori. Eppure l’elemento più determinante continua a sfuggire alle metriche: i comportamenti umani.

Le password lo dimostrano ogni giorno. Non nascono in laboratorio, ma nella nostra testa: tra ricordi, abitudini, scorciatoie, ansie, buoni propositi e quel pizzico di convinzione di “essere imprevedibili” mentre facciamo esattamente il contrario.

Dentro una password si nascondono routine, affetti, nostalgie, momenti di fretta, false sicurezze, piccoli autoinganni quotidiani. Non descrivono i sistemi: descrivono noi. Questa rubrica nasce per raccontare proprio questo. Ogni puntata esplora un gesto reale:

• il post-it sul monitor,
• la password affettiva ereditata da anni,
• il “la cambio domani” diventato rito aziendale, la creatività disperata del “tanto chi vuoi che lo indovini”.

Non servono moralismi, né tecnicismi inutili. L’obiettivo è capire perché facciamo ciò che facciamo e come questi automatismi diventano vulnerabilità senza che ce ne accorgiamo. E, soprattutto, capire come possiamo affrontarli: non con ricette magiche, ma con scelte più consapevoli, meno istintive e più vicine a come funzioniamo davvero.

Perché la sicurezza non è soltanto una questione di strumenti: è soprattutto una questione di consapevolezza.

Le password parlano di noi.
È ora di ascoltarle.

PARTIAMO DALLA FINE… Il mito dell’hacker genio

Hollywood ci ha venduto una narrativa irresistibile: l’hacker solitario, geniale, insonne,
che digita comandi impossibili mentre luci verdi scorrono su schermi impenetrabili.
Un essere mezzo mago, mezzo matematico, capace di entrare in qualunque sistema grazie a colpi di genio improvvisi.

Un’immagine talmente potente che ha finito persino per distorcere le parole:
oggi chiamiamo “hacker” ciò che, nella realtà, ha un altro nome.
L’hacker autentico costruisce, studia, migliora; chi viola davvero i sistemi è l’attaccante, il cracker.
Ma il mito ha ribaltato i ruoli, regalando al criminale la gloria del creativo.

La verità, però, è molto meno cinematografica e molto più efficace.

Non sempre serve essere un genio per violare un sistema.
Serve conoscere la matematica delle abitudini umane.

Gli attaccanti moderni non sono mostri di creatività. Sono ingegneri dell’ovvio: delle abitudini, dei percorsi ripetuti, delle password prevedibili.
E l’ovvio, quando diventa statistica, è devastante.

Il cervello ha smesso di collaborare: ecco le prove

C’è un momento preciso – quello in cui appare “Crea una nuova password” –
in cui l’essere umano moderno abbandona tutta la sua dignità digitale
e regredisce allo stadio primitivo del:
“Basta che me la ricordo.”

Un secondo prima siamo concentrati.
Un secondo dopo il cervello si siede, sbadiglia e attiva la modalità risparmio energetico.

La neuroscienza la chiama riduzione del carico cognitivo.
Noi la chiamiamo:
“Uff… di nuovo?”

Il problema è semplice: la nostra memoria non è fatta per ricordare caos.
Ricorda “gatto”.
Non ricorda fY9!rB2kQz.
Non per stupidità: per fisiologia.
Una password complessa non ha storia, non ha associazioni,
non ha un motivo per restare.

E così, nell’attimo di fatica, il cervello pigro prende il comando.

“Dai… metti Marco1984.
Tanto chi vuoi che la indovini?”

Ah sì? Prova a digitarla su Have I Been Pwned.

Ed ecco la sfilata delle soluzioni creative:

• nome del cane + 1
• compleanno del partner (che la password ricorda meglio di noi)
• il cognome dell’ex con cui non parli da dieci anni
• piatto preferito + punto esclamativo, perché fa “professionale”

Non è ignoranza digitale.
È psicologia applicata alla sopravvivenza quotidiana.

Il bias di disponibilità fa il resto:
il cervello pesca dal primo cassetto aperto. Ricordi recenti, affetti, date, luoghi, emozioni.
Non stiamo creando una password: stiamo scegliendo un ricordo comodo.

È umano.

Naturale, quasi inevitabile.

E il risultato, spesso, è disastroso

Nessuna policy può cambiare questo dato:
una password complessa è innaturale quanto memorizzare il numero di serie del frigorifero.

E infatti non la memorizziamo. Facciamo quello che fa qualunque cervello in difficoltà: cerchiamo scorciatoie.

• post-it
• WhatsApp a noi stessi
• email con oggetto “Password nuova”
• salvata nella rubrica del telefono
• altre fantasie

Siamo esseri biologici con trenta chiavi digitali da gestire.
È ovvio che la mente collassi sulla prima scorciatoia che trova.

Dietro le password peggiori c’è sempre un desiderio innocente:
semplificarsi la vita.

“Chi vuoi che venga proprio da me?”
“Non ho niente di interessante.”
“È solo temporanea…”

Il cervello ci convince che siamo troppo piccoli per essere un bersaglio.
Il problema è che, nel mondo digitale, siamo tutti bersagli grandi uguale.

I numeri che non vorremmo vedere

E prima di pensare che siano esagerazioni, ecco qualche numero reale (a volte più spietato delle battute):

• solo il 69% degli utenti che conoscono le passkey ne ha attivata una (FIDO Alliance)
• il 57% degli utenti salva le password su post-it o foglietti (Keeper Security – Workplace Password – Habits Report)
• solo il 63% usa la 2FA su almeno un account, e molto meno su tutti (Bitwarden)
• il 60–65% ricicla la stessa password su più servizi (NordPass)
• il 52% continua a usare password già compromesse in passato (DeepStrike)
• il 43% cambia solo un carattere quando “aggiorna” la password (DeepStrike)
• l’80% delle violazioni confermate coinvolge credenziali deboli o riutilizzate (Varonis)

È qui che l’ironia finisce e la statistica diventa spietata: ciò che è prevedibile, per un attaccante, è sfruttabile.

E questo è solo l’inizio:
la mente dietro le password ha ancora molto da raccontare.

Adesso analizziamo il primo problema: dove finisce la sicurezza, inizia la cartoleria. E i problemi veri.

Il santuario segreto dei post-it

C’è un ecosistema che nessun SOC monitora, nessun SIEM registra e nessun threat actor deve davvero violare:
l’ecosistema dei post-it.

Un luogo sacro, mistico, sotterraneo, dove l’utente medio compie i suoi rituali più intimi.
Lo trovi ovunque: sul monitor, sotto la tastiera, appiccicato al modem come un ex-voto digitale.

La frase più frequente?
“La password non la reggo più.”

A quel punto il post-it interviene come una specie di badante analogica:
ti tiene il segreto, ti regge la memoria, e ti ricorda che la sicurezza è bella finché non devi farla tu.

Le password sui post-it non nascono dalla stupidità. Nascono dalla stanchezza esistenziale.

Dopo l’ennesimo tentativo fallito e il solito messaggio
“La nuova password non può essere uguale alle ultime 12”,
l’utente compie il gesto definitivo:

“Basta. Me la scrivo.”

È un momento liberatorio. Quasi catartico.
Per alcuni, il primo vero atto di disobbedienza informatica.

Il paradosso è spietato:
un post-it è un segreto che tutti possono leggere tranne chi dovrebbe custodirlo.

Per l’utente diventa invisibile, parte dell’arredo digitale dell’ufficio. Lo notano solo due categorie:

• chi lo cerca professionalmente
• chi non dovrebbe vederlo professionalmente

Nel mezzo, il deserto.

Quando prova a mimetizzarsi, l’utente dà il meglio:

• scrive metà password
• usa nomi in codice (“PIN CARTA”)
• aggiunge simboli indecifrabili

Risultato: la password non la capisce nessuno. Nemmeno lui.

È il primo ransomware umano: i dati ci sono, ma l’utente non li sa più decrittare.

Aprire un cassetto d’ufficio significa avviare uno scavo archeologico:

• post-it sovrapposti, codici cancellati,
• numeri che sembrano OTP ma risalgono a 5 anni prima,
• misteriose note “NON TOCCARE” senza autore.

Ogni foglietto è un reperto della battaglia quotidiana con la memoria digitale.

Ed è qui che emerge un dettaglio che la cybersecurity ignora:
il rispetto quasi ancestrale per la carta.

La trattiamo come un oggetto affidabile, concreto, degno di fiducia. Il digitale può tradirti senza preavviso.
La memoria può svanire nel momento sbagliato. Ma il foglietto no: rimane lì, fisico, domestico, comprensibile.

Gli utenti non scrivono le password sui post-it perché sono negligenti,
ma perché hanno un’istintiva fiducia nella materia.
La carta non chiede aggiornamenti, non scade, non cambia policy.
È l’ultimo baluardo dell’analogico in un mondo che ci chiede
di ricordare sempre di più e capire sempre meno.

Il post-it sopravvive perché dà sicurezza.
Tangibile, non teorica.

A meno che non voli via. O si incolli al maglione. O finisca nel cestino.
Ma questa è la sua poesia tragica.

Finché inventeremo password, inventeremo anche modi per ricordarle male.
E i post-it resteranno la nostra piccola, ostinata resistenza analogica nel mondo delle minacce digitali.

Una vulnerabilità? Certo.
Un problema? Assolutamente.
Ma anche una delle più grandi verità antropologiche della cybersecurity.

Perché, in fondo, le password ci rivelano una cosa semplice:
non cambiamo comportamento finché non comprendiamo l’origine del comportamento stesso.

Nella prossima puntata scenderemo ancora più in profondità, dove la psicologia diventa design:
l’Effetto IKEA – l’illusione che ci fa affezionare alle password peggiori solo perché “le abbiamo costruite noi”.
E subito dopo, la tragedia del Cambia Password – il rito aziendale che rischia di produrre più incidenti che sicurezza.

Continua…

L'articolo La psicologia delle password. Non proteggono i sistemi: raccontano le persone proviene da Red Hot Cyber.