As more and more financial transactions are conducted in digital form each year, financial threats comprise a large piece of the global cyberthreat landscape. That’s why Kaspersky researchers analyze the trends related to these threats and share an annual report highlighting the main dangers to corporate and consumer finances. This report contains key trends and statistics on financial phishing, mobile and PC banking malware, as well as offers actionable recommendations to bolster security measures and effectively mitigate emerging threats

Methodology

In this report, we present an analysis of financial cyberthreats in 2024, focusing on banking Trojans and phishing pages that target online banking, shopping accounts, cryptocurrency wallets and other financial assets. To gain an understanding of the financial threat landscape, we analyzed anonymized data on malicious activities detected on the devices of Kaspersky security product users and consensually provided to us through the Kaspersky Security Network (KSN). Note that for mobile banking malware, we retrospectively revised the 2023 numbers to provide more accurate statistics. We also changed the methodology for PC banking malware by removing obsolete families that no longer use Trojan banker functionality, hence the sharp drop in numbers against 2023.

Key findings

Phishing

• Banks were the most popular lure in 2024, accounting for 42.58% of financial phishing attempts.
• Amazon Online Shopping was mimicked by 33.19% of all phishing and scam pages targeting online store users in 2024.
• Cryptocurrency phishing saw an 83.37% year-over-year increase in 2024, with 10.7 million detections compared to 5.84 million in 2023.

PC malware

• The number of users affected by financial malware for PCs dropped from 312,000 in 2023 to 199,000 in 2024.
• ClipBanker, Grandoreiro and CliptoShuffler were the prevalent malware families, together targeting over 89% of affected users.
• Consumers remained the primary target of financial cyberthreats, accounting for 73.69% of attacks.

Mobile malware

• Nearly 248,000 users encountered mobile banking malware in 2024 – almost 3.6 times more than in 2023 when 69,000 users were affected.
• Mamont was the most active Android malware family, accounting for 36.7% of all mobile banker attacks.
• Users in Turkey were the most targeted.

Financial phishing

In 2024, online fraudsters continued to lure users to phishing and scam pages that mimicked the websites of popular brands and financial organizations. The attackers employed social engineering techniques to trick victims into sharing their financial data or making a payment on a fake page.

We analyzed phishing detections separately for users of our home and business products. Pages mimicking web services accounted for the largest slice of the business pie at 26.56%. The percentage was lower for home users (10.34%), but home users were more likely to be targeted by pages using banks and global internet portals, social media and IMs, payment systems, and online games as a lure. Delivery company scams accounted for 15.17% of attacks targeting businesses, but did not register in the top ten for home users.

TOP 10 organizations mimicked by phishing and scam pages that were blocked on business users’ devices, 2024 (download)

TOP 10 organizations mimicked by phishing and scam pages that were blocked on home users’ devices, 2024 (download)

Overall, among the three major financial phishing categories, bank users were targeted most in 2024 (42.58%), rising a little over 4 p.p. on the previous year. Online stores were of relatively less interest to the fraudsters at 38.15% dropping from 41.65% in 2023. Payment systems accounted for the remaining 19.27%.

Distribution of financial phishing pages by category, 2024 (download)

Online shopping scams

The most popular online brand target for fraudsters was Amazon (33.19%). This should not come as a surprise given Amazon is one of the world’s largest online retailers. With 2.41 billion average monthly visitors and $447.5 billion in annual web sales, up 8.6% in 2024, there is every chance Amazon will retain its dubious honor into 2025.

Apple’s share of attacks dropped nearly 3 p.p. from last year’s figure to 15.68%, while Netflix scams grew slightly to 15.99%. Meanwhile, fraudsters’ interest in Alibaba increased, its share going up from 3.17% in 2023 to 7.95% in 2024.

Examples of phishing sites that mimic Amazon, Netflix, Apple and Alibaba

Last year, Louis Vuitton accounted for a whopping 5.52% of all attacks. However, the luxury brand completely slipped out of the top ten in 2024, along with Italian eyewear company Luxottica. Instead, sportswear giant Adidas and Russian e-commerce platform Ozon entered the list with 1.39% and 2.75% respectively. eBay (4.35%), Shopify (3.82%), Spotify (2.84%) and Mercado Libre (1.86%) all stayed in the top ten, with marginal differences from the previous year.

TOP 10 online shopping brands mimicked by phishing and scam pages, 2024 (download)

When looking at fake website content, free prizes and offers that were a little too good to be true once again proved a popular tactic used by scammers. However tempting they may be, most likely, the victim will be the one who pays. Often scammers require “commissions” to get the prize or ask user to pay for delivery. After receiving the money, they disappear.

Examples of scam pages offering free prizes

In other cases, precious gifts are used by phishers to trick the user into giving out their credentials. The scheme below offers the victim an Amazon gift card to obtain which they should enter an OTP code on a phishing website. Although such codes are temporary, the scammers may use them to log in to victim’s account or perform a fraudulent transaction as soon as it is entered into the fake form.

A phishing scheme aimed at getting OTP codes

Fraudsters often trick users into “verifying” their accounts by sending fake security alerts or urgent messages claiming suspicious activity. Victims are directed to a counterfeit page resembling platforms like eBay, where entering data (for example, credentials, payment data or documents) hands them over to scammers.

An example of a phishing site that mimics eBay

Another common tactic involves creating fake storefronts or seller profiles on marketplaces, listing numerous products at seemingly irresistible prices. Shoppers drawn in by the deals unknowingly provide payment details, only to receive nothing in return.

An example of a scam site that mimics an online marketplace

While many pages mimicking online stores target shoppers, there are others that are designed to collect business account credentials. For example, below you can see a phishing page targeting users registered on the Amazon Brand Registry platform, which provides businesses with a range of brand-building and intellectual property protection tools.

An example of a phishing page targeting Amazon brand accounts

Payment system phishing

Payment systems were mimicked in 19.27% of financial phishing attacks detected and blocked by Kaspersky products in 2024 – almost the same percentage as in 2023. Once again, PayPal was the most targeted, but its share of attacks fell from 54.73% to 37.53%. Attacks targeting Mastercard went in the opposite direction, nearly doubling from 16.58% in 2023 to 30.54%. American Express, Qiwi and Cielo are all new entrants into the top five, replacing Visa, Interac and PayPay.

TOP 5 payment systems mimicked by phishing and scam pages, 2024 (download)

Cryptocurrency scams

In 2024, the number of phishing and scam attacks relating to cryptocurrencies continued to grow. Kaspersky anti-phishing technologies prevented 10,706,340 attempts to follow a cryptocurrency-themed phishing link, which was approximately 83.37% higher than the 2023 figure of 5,838,499 (which itself was 16% bigger than the previous year’s). As cryptocurrencies continue to grow, this number is only ever going to get larger.

Financial PC malware

In 2024, the decline in users affected by financial PC malware continued. On the one hand, people continue to rely on mobile devices to manage their finances. On the other hand, some of the most prominent malware families that were initially designed as bankers had not used this functionality for years, so we excluded them from these statistics. As a result, the number of affected users dropped significantly from 312,453 in 2023 to 199,204 in 2024.

Changes in the number of unique users attacked by banking malware in 2024 (download)

Key financial malware actors

The notable strains of banking Trojans in 2024 included ClipBanker (62.9%), Grandoreiro (17.1%), CliptoShuffler (9.5%) and BitStealer (1.3%). Most of these Trojans specifically target crypto assets. However, Grandoreiro is a full-fledged banking Trojan that targeted 1700 banks and 276 crypto wallets in 45 countries and territories around the globe in 2024.

* Unique users who encountered this malware family as a percentage of all users attacked by financial malware

Geography of PC banking malware attacks

To highlight the countries where financial malware was most prevalent in 2024, we calculated the share of users who encountered banking Trojans in the total number attacked by any type of malware in the country. The following statistics indicate where users are most likely to encounter financial malware.

As in 2023, the highest share of banking Trojans was registered in Afghanistan, where it rose from 6% to 9% in 2024. Turkmenistan was next (as in 2023), where the figure rose from 5.2% to 8.8%, and Tajikistan was in third place (again), where the figure rose from 3.7% to 6.2%.

TOP 20 countries by share of attacked users

* Excluded are countries and territories with relatively few (under 10,000) Kaspersky users.
** Unique users whose computers were targeted by financial malware as a percentage of all Kaspersky users who encountered malware in the country.

Types of attacked users

Attacks on consumers accounted for 73.69% of all financial malware attacks in 2024, up from 61.2% in 2023.

Financial malware attack distribution by type (corporate vs consumer), 2022–2023 (download)

Mobile banking malware

The statistics for 2023 provided in this section were retrospectively revised and may not coincide with the data from the previous year’s report.

In 2024, the number of users who encountered mobile banking Trojans grew 3.6 times compared to 2023: from 69,200 to 247,949. As can be seen in the graph below, the malicious activity increased dramatically in the second half of the year.

Number of Android users attacked by banking malware by month, 2022–2023 (download)

The most active Trojan-Banker family in 2024 was Mamont (36.70%). This malware first appeared at the end of 2023 and is distributed mostly in Russia and the CIS. Its distribution schemes are ranging from ages-old “Is that you in the picture?” scams to complex social engineering plots with fake stores and delivery tracking apps.

* Share of unique users who encountered this malware as a percentage of all users of Kaspersky mobile security solutions who encountered banking threats

The Bian.h variant (3.02%) that prevailed in 2023 dropped to eighth place, losing over 20 p.p., and several more new samples entered the ranking: Agent.rj (11.14%) at the second place, UdangaSteal.b (3.17%) and Coper.c (2.84%).

Geography of the attacked mobile users

Same as 2023, Turkey was the number one country targeted by mobile banking malware. The share of users encountering financial threats there grew by 2.7 p.p., reaching 5.68%. Malicious activity also increased in Indonesia (2.71%), India (2.42%), Azerbaijan (0.88%), Uzbekistan (0.63%) and Malaysia (0.29%). In Spain (0.73%), Saudi Arabia (0.63%), South Korea (0.30%) and Italy (0.24%), it decreased.

* Countries and territories with relatively few (under 25,000) Kaspersky mobile security users have been excluded from the rankings.
** Unique users attacked by mobile banking Trojans as a percentage of all Kaspersky mobile security users in the country.

Conclusion

In 2024, financial cyberthreats continued to evolve, with cybercriminals deploying phishing, malware and social engineering techniques to exploit individuals and businesses alike. The rise in cryptocurrency-related scams and mobile financial malware highlights the need for continuous vigilance and proactive cybersecurity measures, including multi-factor authentication, user awareness training and advanced threat detection solutions. As the digital finance landscape expands, staying ahead of emerging threats remains critical.

To protect your devices and finance-related accounts:

• Use multifactor authentication, strong unique passwords and other secure authentication tools.
• Do not follow links in suspicious messages, and double-check web pages before entering your secrets, be it credentials or banking card details.
• Download apps only form trusted sources, such as official app marketplaces.
• Use reliable security solutions capable of detecting and stopping both malware and phishing attacks.

To protect your business:

• Update your software in a timely manner. Pay particular attention to security patches.
• Improve your employees’ security awareness on a regular basis, and encourage safe practices, such as proper account protection.
• Implement robust monitoring and endpoint security.
• Implement strict security policies for users with access to financial assets, such as default deny policies and network segmentation.
• Use threat intelligence services from trusted sources to stay aware of the latest threats and cybercrime trends.

securelist.com/financial-threa…

Uno studio recente e stimolante ha rivelato il possibile destino della Terra in futuro. Secondo le previsioni scientifiche, tra circa 250 milioni di anni, la Terra formerà di nuovo un supercontinente chiamato Pangea Ultima. Questa trasformazione porterà una serie di conseguenze ambientali catastrofiche, ponendo gravi sfide alla sopravvivenza dei mammiferi, compresi gli esseri umani.

Gli scienziati dell’Università di Bristol nel Regno Unito hanno utilizzato dei supercomputer per simulare questo processo. Hanno scoperto che, quando le placche tettoniche della Terra si scontreranno di nuovo, la formazione della Pangea Ultima innescherà una serie di disastri ambientali. A causa delle vaste aree interne e della mancanza di grandi oceani per regolare il clima, la Terra diventerà un’enorme trappola di calore, causando un brusco aumento delle temperature. Ciò porterà a una desertificazione estrema, rendendo difficile la sopravvivenza della maggior parte delle forme di vita.

Inoltre, la collisione delle placche tettoniche provocherà un’impennata dell’attività vulcanica, rilasciando grandi quantità di anidride carbonica nell’atmosfera. Ciò intensificherà ulteriormente l’effetto serra, esacerbando il riscaldamento globale e destabilizzando gli ecosistemi che già lottano contro il caldo estremo. Allo stesso tempo, il previsto aumento della luminosità solare imporrà ulteriore stress termico sulla Terra, rendendo l’ambiente ancora più ostile.

Si stima che la maggior parte delle regioni della Pangea Ultima sperimenterà temperature superiori ai 40 °C, con alcune aree che raggiungono i 50 °C. In tali condizioni estreme, la capacità dei mammiferi di regolare la temperatura corporea attraverso il raffreddamento evaporativo sarà gravemente messa a dura prova. Con alti livelli di umidità che ostacolano l’evaporazione del sudore, i mammiferi potrebbero andare incontro a un surriscaldamento fatale.

Lo studio indica che il 92% della massa terrestre della Terra potrebbe non essere più abitabile per i mammiferi, con solo le regioni polari e costiere che rimangono vivibili. Se gli esseri umani esisteranno ancora tra 250 milioni di anni, dovranno trovare il modo di sopravvivere in un ambiente estremamente caldo e umido.

Un possibile adattamento è l’evoluzione biologica. Nel corso di milioni di anni, gli esseri umani potrebbero sviluppare tratti resistenti al calore, come una pelle più spessa, ghiandole sudoripare modificate o forme corporee diverse per regolare meglio la temperatura corporea e far fronte a climi rigidi. Inoltre, le soluzioni tecnologiche potrebbero svolgere un ruolo cruciale. Gli esseri umani potrebbero passare a vivere nel sottosuolo, costruendo vaste città sotterranee per sfuggire alle temperature roventi della superficie. Questi ambienti sotterranei potrebbero fornire condizioni stabili, proteggendo la civiltà umana da condizioni climatiche estreme.

Tuttavia, i geologi del Centro di ricerca tedesco per le geoscienze avvertono che gli eventi di estinzione si sono verificati più volte nella storia e potrebbero verificarsi di nuovo in futuro. La vita troverà un modo, ma potrebbe non essere nella forma che conosciamo oggi. Questo studio serve a ricordare che, di fronte ai futuri cambiamenti della Terra, dobbiamo dare priorità alla protezione ambientale e allo sviluppo sostenibile per affrontare potenziali sfide alla sopravvivenza.

L'articolo Un Supercomputer svela la data della fine della terra proviene da il blog della sicurezza informatica.

If you think of a metal detector, you’re probably thinking of a fairly simple device with a big coil and a piercing whine coming from a tinny speaker. [mircemk] has built a more modern adaptation. It’s a metal detector you can use with your smartphone instead.

The metal detector part of the project is fairly straightforward as far as these things go. It uses the pulse induction technique, where short pulses are fired through a coil to generate a magnetic field. Once the pulse ends, the coil is used to detect the decaying field as it spreads out. The field normally fades away in a set period of time. However, if there is metal in the vicinity, the time to decay changes, and by measuring this, it’s possible to detect the presence of metal.

In this build, an ESP32 is in charge of the show, generating the necessary pulses and detecting the resulting field. It’s paired with the usual support circuitry—an op-amp and a few transistors to drive the coil appropriately, and the usual smattering of passives. The ESP32 then picks up the signal from the coil and processes it, passing the results to a smartphone via Bluetooth.

The build is actually based on a design by [Neco Desarrollo], who presents more background and other variants for the curious. We’ve featured plenty of [mircemk]’s projects before, like this neat proximity sensor build.

youtube.com/embed/bAqhLof0Hhs?…

hackaday.com/2025/03/25/metal-…

Oggigiorno il proliferare di dispositivi portatili, indossabili o comunque Smart hanno reso indispensabile lo scambio di dati, l’accesso alle risorse e la navigazione in rete.

Questo approfondimento della Rubrica sul Wi-Fi vuole porre l’accento su una categoria di reti ampiamente diffusa. Hotel, aeroporti, sale congressi, aziende pubbliche e private, ospedali etc. offrono la possibilità di rimanere connessi all’interno delle loro strutture attraverso le così dette reti aperte ( spesso definite Reti Guest)

Le reti WiFi aperte, pur essendo utili per la comodità e l’accessibilità che offrono, rappresentano una delle minacce più significative nel panorama della sicurezza informatica. La loro mancanza di protezione le rende terreno fertile per attività illecite e per i criminali informatici, che sfruttano queste reti per intercettare dati sensibili e orchestrare attacchi complessi. Questo articolo sarà suddiviso in diverse parti.
Questo ci permetterà di esplorare in modo approfondito come le reti WiFi non protette facilitano il cybercrime. Analizzeremo alcune delle tecniche più comuni utilizzate dagli hacker e parleremo anche delle contromisure da usare per proteggersi.

Partiamo con da alcune statistich e del perchè pensiamo che questo tema non debba essere sottovaltuato.

Distribuzione delle reti WiFi aperte:

Le reti WiFi pubbliche sono diventate una necessità, come riportato nell’articolo di Broadband Search di Broadband Search
(Vital Statistics on Public WiFi: Usage, Safety & Trends – BroadbandSearch – aggiornato il 18 aprile 2024):

Nel mondo iperconnesso di oggi, il WiFi pubblico è emerso come qualcosa di più di una semplice comodità: è diventata una vera e propria necessità .

Nell’articolo viene riportato tra le altre cose il fatto che

l’Italia offre 72.680 hotspot WiFi gratuiti . Un numero significativo di questi è sponsorizzato da municipalità locali in varie città del paese. Inoltre, la maggior parte dei luoghi di svago e delle strutture ricettive offre accesso gratuito a Internet ai clienti. Le città leader nella connettività WiFi sono Roma con 4.842 hotspot, Milano con 4.626 e Napoli che segue da vicino con 4.475.

Allo stesso tempo, Forbes riporta un sondaggio fatto su 2.000 americani

forbes.com/advisor/business/pu…

Il sondaggio dimostra come l’utilizzo del Wi-Fi pubblico rimane elevato. Il 56% degli intervistati si collega alle reti Wi-Fi pubbliche senza password, nonostante i rischi.

Anche se, la maggior parte degli intervistati (il 32%) dichiara di usarla:

Come ultima spiaggia quando non c’è connessione cellulare

Sempre nel sondaggio viene confermata l’alta pericolosità delle reti WiFI aperte. Il 43% degli intervistati conferma di avere subito una compromissione della propria sicurezza online mentre usava queste reti. In calce la la classifica dei luoghi più comuni in cui gli intervistati hanno rilevato tali compromissioni:

forbes.com/advisor/business/pu…

In questa indagine di Forbes emerge chiaramente come:

• La maggior parte (35%) delle persone accede alla rete Wi-Fi pubblica tre o quattro volte al mese.
• Il 23% delle persone utilizza il Wi-Fi pubblico per ridurre l’utilizzo dei dati cellulari.
• Il 20% utilizza il Wi-Fi pubblico per effettuare transazioni finanziarie.
• I luoghi in cui le persone utilizzano più comunemente il Wi-Fi pubblico sono i ristoranti e gli hotel.
• Quattro persone su dieci hanno visto i propri dati compromessi mentre utilizzavano una rete Wi-Fi pubblica.
• La maggior parte delle persone ha visto i propri dati personali compromessi tramite reti Wi-Fi pubbliche nei bar, negli aeroporti o negli hotel.

Seppur questa ricerca sia basata su un pubblico americano noi di RedWave Team pensiamo rispecchi molto bene quanto succede anche nel nostro paese.

I Rischi principali del 2025

Diverse analisi riportano la sicurezza informatica al primo posto tra i rischi principali del 2025.

Come questa analisi dell’ ECIIA ( organizzazione internazionale senza scopo di lucro con sede a Bruxelles) dove vengono analizzati i dati raccolti da 985 CAE( comitati aziendali europei – sono comitati, istituiti in ogni impresa o gruppo di imprese di dimensioni comunitarie, sono costituiti dai dipendenti della stessa impresa e hanno la finalità di “informare e consultare i lavoratori” sull’andamento economico dell’azienda e sulle principali decisioni di carattere transnazionale che abbiano influenza sui rapporti di lavoro) di 20 Paesi europei:

eciia.eu/wp-content/uploads/20…

Come si può evidenziare dal report in questione:

• La sicurezza informatica continua a essere al primo posto, con l’83% dei CAE che la cita come uno dei rischi principali.
• L’intelligenza artificiale e la rivoluzione digitale sono i rischi in più rapida crescita e si prevede che raggiungeranno il secondo posto entro il 2028.

Conclusione

La nostra sicurezza digitale è una priorità e richiede attenzione: dobbiamo assolutamente evitare l’uso delle reti WiFi aperte

Queste reti non richiedono autenticazione per connettersi, il che significa che chiunque nel raggio di copertura può accedere alla rete.Questa caratteristica, sebbene comoda a livello di esperienza utente, introduce diverse criticità:

• Assenza di crittografia: I dati trasmessi viaggiano in chiaro su una rete aperta e possono essere facilmente intercettati da chiunque.
• Accesso anonimo: Gli utenti connessi non sono autenticati, rendendo difficile identificare o bloccare eventuali malintenzionati.
• Punti di accesso falsi: Gli attaccanti possono creare “cloni” delle reti WiFi aperte per ingannare gli utenti e intercettare il traffico. Diventando così un canale per la raccolta dei dati personali e non.

Evitare di utilizzare reti WiFi aperte è una misura fondamentale per proteggere la nostra sicurezza digitale e ridurre il rischio di esposizione a queste minacce.

L'articolo Reti WiFi Aperte: Un Terreno Fertile per il Cybercrime proviene da il blog della sicurezza informatica.

Autore: Dott. Luca Mella, Cyber Security Expert

In Italia, il Decreto Legislativo del 4 settembre 2024, n. 138, ha recepito tali adeguamenti, richiedendo a pubbliche amministrazioni e aziende private uno sforzo considerevole per conformarsi ai nuovi obblighi. Tra gli adempimenti principali per il 2025, oltre la registrazione, le organizzazioni a perimetro devono prepararsi a rispettare le nuove regole di notifica degli incidenti informatici.

In questo contesto, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha introdotto la Tassonomia Cyber dell’ACN (TC-ACN), uno strumento fondamentale per uniformare la comunicazione degli incidenti e migliorare lo scambio di informazioni.

La “Tassonomia Cyber dell’ACN”

Proprio per facilitare l’adeguamento ai requisiti della NIS2, l’ACN ha rilasciato una nuova linea guida denominata “Tassonomia Cyber dell’ACN” (TC-ACN). L’obiettivo tanto semplice quanto ambizioso: armonizzare il lessico e rendere più efficaci le segnalazioni e lo scambio informativo in materia di sicurezza cibernetica, il tutto per arrivare al superando delle annose ambiguità con cui tutti, nel settore, siamo abituati combattere per via di più disparati ed eterogenei sistemi di classificazione.

Nata dall’analisi delle principali tassonomie internazionali (in particolare quelle di ENISA, MITRE e MISP) e calibrata sul contesto normativo italiano, la TC-ACN è uno strumento di caratterizzazione di eventi e incidenti che si distingue per:

1. Esaustività: infatti, include un catalogo estremamente ampio di attributi (in totale 144) e 22 predicati raggruppati in 4 macrocategorie.
2. Espressività: TC-ACN permette di descrivere in modo granulare la natura dell’evento, l’attore responsabile, le tecniche sfruttate per la compromissione e molte altre informazioni utili alla fase di incident response.
3. Allineamento con le normative nazionali (PSNC, Codice delle Comunicazioni Elettroniche, ecc.) e con le responsabilità aggiuntive introdotte dalla NIS2.

Per cominciare ad inquadrare la potenza di questo nuovo framework, esploriamo le 4 macrocategorie della TC-ACN, ovvero i suoi elementi strutturali più di alto livello:

• BC (Baseline Characterization): rappresenta il livello introduttivo dell’analisi, in cui si valutano l’entità dei danni, la natura dell’attacco e le componenti organizzative coinvolte.
• TT (Threat Type): approfondisce gli elementi tecnici dell’incidente (ad esempio i vettori di infezione, le vulnerabilità sfruttate, le tipologie di malware).
• TA (Threat Actor): identifica la “mano” dietro l’evento (gruppi criminali, singoli hacker, stati-nazione, insider malintenzionati, ecc.) e ne valuta motivazioni e competenze.
• AC (Additional Context): fornisce ulteriori informazioni contestuali, come la classificazione dei sistemi colpiti, eventuali correlazioni con incidenti passati, strumenti di difesa implementati e possibili scenari di escalation.

Figura. Macrocategorie della TC-ACN

L’approccio della TC-ACN si discosta in modo sostanziale da quello delle precedenti tassonomia, tipicamente basate su categorizzazioni in classi, puntando a una profondità di analisi paragonabile a quella utilizzata per la classificazione delle vulnerabilità (pensiamo al CVSS), basata su vettori.

Questo consente di comporre diversi “pezzi” informativi in un unico “vettore di classificazione”, includendo:

• L’impatto stimato su sistemi e dati (disponibilità, integrità, confidenzialità).
• Le tecniche di attacco adottate (malicious code, phishing, exploit kit, privilege escalation).
• L’attore e le sue motivazioni (es. crimine finanziario, spionaggio industriale, hacktivismo).
• La prospettiva temporale e geografica dell’incidente.

Ad esempio, il vettore TC-ACN “BC:IM-DE BC:RO-MA BC:SE-HI BC:VG-IT” descrive un incidente che ha portato a una grave esposizione di dati sul territorio nazionale (come un data breach) causato da azioni malevole. Questo è solamente un esempio piuttosto semplice e si limita ai soli predicati della macrocategoria “Baseline Characterization”.

Come sfruttare la TC-ACN nella pratica?

L’Agenzia ha pubblicato la linea guida ufficiale sul sito acn.gov.it e la sua adozione diventa cruciale su vari fronti:

1. In primis, per ridurre i tempi di reazione, grazie a un linguaggio condiviso, i team di sicurezza riescono a comprendere immediatamente la natura e la gravità dell’evento, accelerando le contromisure;
2. per migliorare la comunicazione con l’Autorità, avendo uno standard comune quando si notifica un incidente all’ACN o al CSIRT Italia, i dettagli forniti siano completi e correttamente inquadrati;
3. ed infine per aumentare la conformità con la NIS2 e con le normative nazionali che richiedono la notifica degli incidenti in modo puntuale.

C’è da dire però, che la complessità della tassonomia, specie rispetto a metodi di classificazione più semplici (come quelli di ENISA), può creare iniziali difficoltà operative. A tal proposito, l’unità Cyber di Utilia SpA (società del Gruppo Società Gas Rimini) ha sviluppato e condiviso in modo gratuito uno strumento online che consente:

• La generazione guidata dei cosiddetti “vettori incidente” secondo la tassonomia ACN, compilando passo a passo gli attributi richiesti.
• L’esportazione delle informazioni in un formato adatto per la notifica all’ACN e al CSIRT, o per la condivisione interna tra i reparti di sicurezza.
• L’aggiornamento costante dello strumento, integrando eventuali revisioni della tassonomia o nuove specifiche da parte dell’ACN.

In tal modo, le imprese che si apprestano a rispettare le prossime scadenze (dalla registrazione alla notifica obbligatoria) possono disporre di un supporto in grado di limitare il rischio di non conformità e agevolare la gestione degli incidenti.

Figura. Tool di Generazione Vettore TC-ACN (tassonomia-acn.utilia.it/ )

Conclusioni

Con la piena entrata in vigore della Direttiva NIS2, il panorama della cybersicurezza nazionale si appresta a un cambio di marcia. La Tassonomia Cyber dell’ACN funge da fulcro per la standardizzazione delle segnalazioni di incidenti, garantendo:

• Maggiore chiarezza nella comunicazione tra enti, aziende e autorità.
• Riduzione dei tempi di intervento e maggiore tempestività nella risposta agli attacchi.
• Strutturazione e uniformità nel riportare i dati, utili anche per analisi di trend a livello sistemico.

Prepararsi con anticipo, studiando i predicati e i valori della tassonomia, e sfruttando i tool a disposizione, può fare la differenza nell’evitare sanzioni e nell’innalzare concretamente la soglia di sicurezza per gli attori coinvolti.

La TC-ACN rappresenta quindi non solo un adempimento normativo, ma una risorsa strategica per garantire la resilienza del tessuto digitale italiano, consolidando un vero e proprio linguaggio comune in grado di elevare gli standard di sicurezza informatica e di tutela dei servizi essenziali per la collettività.

L'articolo NIS2: La nuova Classificazione “Made In Italy” per gli Incidenti proviene da il blog della sicurezza informatica.

Il gruppo di cyber spionaggio RedCurl (noto anche come EarthKapre) è stato individuato nel gennaio 2025 mentre conduceva una sofisticata campagna mirata a studi legali e organizzazioni aziendali, con l’obiettivo di spionaggio industriale.

Gli attaccanti hanno utilizzato una catena di attacco in più fasi che sfrutta strumenti legittimi per l’esfiltrazione dei dati, rendendo le loro attività difficili da rilevare con le misure di sicurezza tradizionali.

L’accesso iniziale è stato ottenuto tramite un’email di phishing a tema Indeed, contenente un PDF con link a un archivio ZIP contenente un file ISO montabile. Una volta montato, la vittima vedeva un unico file SCR mascherato da applicazione CV; eseguendolo, si avviava la catena di attacco.

Questo file era in realtà un eseguibile Adobe legittimo (ADNotificationManager.exe) utilizzato per caricare lateralmente il loader malevolo (netutils.dll).

La catena di attacco multi-stadio includeva tecniche sofisticate di crittografia delle stringhe, utilizzando le API di bcrypt.dll per generare hash SHA256 per la derivazione delle chiavi AES. Ogni stadio comunicava con server di comando e controllo ospitati sull’infrastruttura di Cloudflare Workers, recuperando payload successivi ed esfiltrando i dati rubati.

Per la ricognizione e la raccolta dei dati, RedCurl ha distribuito un file batch nella directory %APPDATA%\Acquisition, eseguendo vari comandi di sistema per raccogliere informazioni sugli account utente, software installati, configurazioni di sistema e risorse di rete.

È particolarmente degno di nota l’uso di Sysinternals Active Directory Explorer per l’enumerazione del dominio, come evidenziato dal comando: “temp7237\ad.exe -accepteula -snapshot “” temp7237\dmn.dat”.

L'articolo RedCurl APT: Quando il phishing diventa un’arma di spionaggio industriale proviene da il blog della sicurezza informatica.

[Simon] wrote in to let us know about DingPong, his handheld portable Pong console. There’s a bit more to it than meets the eye, however. Consider for a moment that back in the 1970s playing Pong required a considerable amount of equipment, not least of which was dedicated electronics and a CRT monitor. What was huge (in more than one way) in the 70s has been shrunk down to handheld, and implemented almost entirely on modern e-waste in the process.
The 1970s would be blown away by a handheld version of Pong, made almost entirely from salvaged components.
DingPong is housed in an old video doorbell unit (hence the name) and the screen is a Sony Video Watchman, a portable TV from 1982 with an amazing 4-inch CRT whose guts [Simon] embeds into the enclosure. Nearly everything in the build is either salvaged, or scrounged from the junk bin. Components are in close-enough values, and power comes from nameless lithium-ion batteries that are past their prime but still good enough to provide about an hour of runtime. The paddle controllers? Two pots (again, of not-quite-the-right values) sticking out the sides of the unit, one for each player.

At the heart of DingPong one will not find any flavor of Arduino, Raspberry Pi, or ESP32. Rather, it’s built around an AY-3-8500 “Ball & paddle” (aka ‘Pong’) integrated circuit from 1977, which means DingPong plays the real thing!

We have seen Pong played on a Sony Watchman before, and we’ve also seen a vintage Pong console brought back to life, but we’re pretty sure this is the first time we’ve seen a Sony Watchman running Pong off a chip straight from the 70s. Watch it in action in the video (in German), embedded below.

youtube.com/embed/BKmamKUb-zc?…

hackaday.com/2025/03/24/handhe…

What if circuit boards could glow in the dark? It’s a fun question, and one [Botmatrix] sought to answer when approached by manufacturer PCBWay to run a project together. It turns out that it’s quite possible to make glowing PCBs, with attractive results. (Video after the break.)

Specifically, PCBWay has developed a workable glow-in-the-dark silkscreen material that can be applied to printed circuit boards. As a commercial board house, PCBWay hasn’t rushed to explain how precisely they pulled off this feat, but we don’t imagine that it involved anything more than adding some glow-in-the-dark powder to their usual silkscreen ink, but we can only speculate.

On [Botmatrix]’s end, his video steps through some neat testing of the performance of the boards. They’re tested using sensors to determine how well they glow over time.

It might seem like a visual gimmick, and to an extent, it’s just a bit of fun. But still, [Botmatrix] notes that it could have some practical applications too. For example, glow-in-the-dark silkscreen could be used to highlight specific test points on a board or similar, which could be instantly revealed with the use of a UV flashlight. It’s an edge case, but a compelling one. It’s also likely to be very fun for creating visually reactive conference badges or in other applications where the PCB plays a major cosmetic role.

[Botmatrix] says these are potentially the first commercially-available glow-in-the-dark printed PCBs. We love glow in the dark stuff; we’ve even explored how to make your own glowing material before, too. .

youtube.com/embed/bdmOeqohdNs?…

hackaday.com/2025/03/24/glow-i…

USB Power Delivery is widely considered to be a good thing. It’s become relatively standard, and is a popular way for makers to easily power their projects at a number of specific, useful voltages. However, what you may not know is that it’s possible to get much more variable voltages out of some USB chargers out there. As [GreatScott!] explains, you’ll want to meet USB-C PPS.

PPS stands for Programmable Power Supply. It’s a method by which a USB-C device can request variable voltage and current delivery on demand. Unlike the Power Delivery standard, you’re not limited to set voltages at tiers of 5V, 9V, 15V and 20V. You can have your device request the exact voltage it wants, right from the charger. Commercially, it’s most typically used to allow smartphones to charge as fast as possible by getting the optimum voltage to plumb into the battery. However, with the right techniques, you can use PPS to get a charger to output whatever voltage you want, from 3.3 V to 21 V, for your own nefarious purposes. You can choose a voltage in 20 mV increments, and even set a current limit in 50 mA increments. Don’t go mad with power, now.

However, there’s a hitch. Unlike USB PD, there isn’t yet a whole ecosystem of $2 PPS breakout boards ready to gloop into your own little projects. As [GreatScott!] suggests, if you want to use PPS, you might want to take a look at the AP33772S IC. It’s a USB PD3.1 Sink Controller. You can command it over I2C to ask for the voltage and current you want. If that’s too hard, though, [CentyLab] has a solution on Tindie to get you going faster. It’s also got some exciting additional functionality—like USB-C AVS support. It offers higher voltage and more power, albeit with less resolution, but chargers with this functionality are quite obscure at this stage.

We’ve actually touched on PPS capability before in our exploration of the magic that is USB-C Power Delivery. Video after the break.

youtube.com/embed/kcmpGbR6xZc?…

[Thanks to Keith Olson for the tip!]

hackaday.com/2025/03/24/pps-is…