If you were at OpenSauce, you may have seen new Youtuber [Sahko] waltzing about with a retrofuturistic peice of jewelery that revealed itself as a very cool watch. If you weren’t, he’s his very first video on YouTube detailing the design and construction of this piece. We’ve embedded it below, and it’s worth a watch. (Pun intended, as always.)

The build was inspired by the delightful amber LED dot-matrix display modules that circle the band of the watch. They go by HCMS2901, but [Sahko] recommends using the HCMS3901 as it’s both more 3.3V-tolerant and easier to find now. A challenge in mounting so many displays was the voltage on the supply rail dropping below the logic level; presumably the newer version does not have this problem to the same degree. Either way we love the look of these little displays and are pondering projects of our own that might include them.

He’s got quite a few wrapped around his wrist, so at full brightness, all these displays draw one amp. That explains why like the LED watches of the 1970s, the default state of the displays is “OFF”. Even with a LiPo pouch salvaged from a disposable vape, the runtime would only be half an hour at full brightness without that periodicity. Luckily [Sahko] included buttons on the band of the watch to activate it and control the brightness so it isn’t always blasting at full. There are also different modes available, including a really cool waterfall effect you can see in the video.

The band is an interesting choice, too: it’s just a flex PCB. There’s nothing backing it, aside from its own stiffeners, which makes us very curious how well this watch would hold up to daily use. There’s no clasp in the traditional sense, either: the band is closed by a 4-pin connector that doubles as both charge and the USB programmer for the stm32u08 microcontroller that runs the displays. Conveniently for a watch, this version of the stm32 has an RTC, so it keeps time as well. We dig the minimalism of this design; it’s a great contrast to the maximalism of wrapping your wrist in displays.

We’ve seen very similar displays on an edge-viewed watch, but a tiny amber LED matrix never gets old. If you wrapping your wrist in all those tiny LEDs is too impractically power-hungry, try using Nixie tubes.

We’re always watching for projects– wrist mounted clocks or otherwise– so if you’ve got the time, please drop us a tip.

youtube.com/embed/dBEupkQBFis?…

hackaday.com/2025/08/05/flex-p…

Per quanto riguarda i compiti banali che i robot umanoidi potrebbero presto svolgere per noi, le possibilità sono ampie. Fare il bucato è probabilmente in cima alla lista dei desideri di molte persone. La Figure 02 mostra un assaggio di come potrebbe apparire in un video condiviso su X.

I robot umanoidi hanno visto rapidi progressi ultimamente. Video di androidi circolano online, mostrandoli mentre praticano la boxe, giocano a calcio o eseguono mosse acrobatiche di kung fu : impressionanti e divertenti, senza dubbio.

Ma finora, queste dimostrazioni offrono scarso valore pratico. È qui che si distingue il robot Modello 02 di Figure.

Una clip recentemente condivisa su X dal fondatore di Figure, Brett Adcock, mostra l’O2 mentre maneggia il bucato. Sebbene non sia ancora in grado di azionare la macchina da solo, è in grado di caricarla, offrendo un’idea di come i robot umanoidi potrebbero aiutare nelle faccende domestiche in futuro.

Certo, Figure 02 impiega un po’ di tempo a caricare la lavatrice, ma lo fa con una precisione impressionante. Il robot, ad esempio, rileva quando i panni sono stesi fuori dal cestello e si regola di conseguenza. Molti utenti nei commenti sono rimasti colpiti dalle capacità di Figure 02, in particolare dai suoi movimenti fluidi. Tuttavia, molti chiedono contenuti video più dettagliati che mostrino l’intero processo.

Mentre alcuni spettatori hanno messo in dubbio l’autenticità del video a causa dei movimenti insolitamente fluidi del robot, Adcock ha spiegato che ciò è dovuto a Helix, il modello di intelligenza artificiale interno all’azienda. Figure prevede di rendere Helix disponibile ad altri produttori di robot in futuro, il che potrebbe portare a una più ampia diffusione di robot umanoidi per lo svolgimento di lavori domestici. Tuttavia, rimane incerto se questi androidi saranno accessibili anche agli utenti privati.

Sebbene non sia stato ancora annunciato il prezzo, Figure sta posizionando l’O2 per i clienti industriali. Si prevede che il suo costo sarà significativamente superiore a quello dell’R1 di Unitree, che potrebbe attrarre gli utenti privati, sebbene più per l’intrattenimento che per l’uso pratico.

L'articolo Ti piacerebbe avere un Robot che fa la lavatrice? Il robot di Figure la fa proviene da il blog della sicurezza informatica.

Making an LED blink is usually achieved by interrupting its power supply, This can be achieved through any number of oscillator circuits, or even by means of a mechanical system and a switch. For the 2025 One Hertz Challenge though, [jeremy.geppert] has eschewed such means. Instead his LED is always on, and is made to flash by interrupting its light beam with a gap once a second.

This mechanical solution is achieved via a disk with a hole in it, rotating once a second. This is driven from a gear mounted on a 4.8 RPM geared synchronous motor, and the hack lies in getting those gears right. They’re laser cut from ply, from an SVG generated using an online gear designer. The large gear sits on the motor and the small gear on the back of the disk, which is mounted on a bearing. When powered up it spins at 60 RPM, and the LED flashes thus once a second.

We like this entry for its lateral thinking simplicity. The awesome 2025 One Hertz Challenge is still ongoing, so there is still plenty of time for you to join the fun!

youtube.com/embed/zE0s_xlJF18?…

hackaday.com/2025/08/05/2025-o…

The wait is over — once this post hits the front page, ticket sales for the 2025 Hackaday Supercon will officially be live!

As is tradition, we’ve reserved 100 tickets priced at $148 (plus fees) for what we like to call the True-Believers. Those are the folks that are willing to sign up even without knowing who will be speaking or what this year’s badge looks like. Once those are sold out, the regular admission tickets will cost $296 (plus fees). We might be slightly biased, but even at full price, we like to think Supercon is a screaming deal.

Those who join us in Pasadena, California from October 31st through November 2nd can look forward to a weekend of talks, workshops, demos, and badge hacking. But what’s more, you’ll experience the unique sense of camaraderie that’s produced when you pack hundreds of hardware hackers into an alleyway and ply them with as much caffeine as they can handle. Some treat it like a normal hacker con, others as a social experiment, but nobody thinks of it as anything less than a fantastic time.

We’re still working closely with our friends at Supplyframe, DigiKey, and Framework to put together a full itinerary for Supercon 2025, so stay tuned over the coming weeks as things are finalized. But in the meantime, we’ve got a couple new additions this year that we’re pretty excited about.

Friday Halloween Party

Last year it worked out that the night before Supercon happened to align with Halloween, so we put together a little pre-con costume party. It was a big hit, and since this year the first day of Supercon will actually fall on All Hallows’ Eve, we decided to really lean into it.

So on Friday night from 5:00 to 10:00 PM, we’ll be hosting a sci-fi themed costume party at the Supplyframe HQ. There will be prizes for the best dressed, and we’ll obviously be on the lookout for costumes that incorporate futuristic, retro-futuristic, or sci-fi techie details. And being a Hackaday event, there’s no such thing as too many LEDs.

Those who’ve joined us in the past may notice that the time and location of the party puts it during what could best be described as the “general hacking” period of Friday evening. Fear not. Participation is completely optional, and attendees who wish to keep their head down and continue working on their badge will of course be free to do so. It’s what Mr. Spock would do.

Call for Retro Communications Tech!

We love Retro Tech at Hackaday, and we know you do to. That’s why this year we’re curating a crowd-sourced exhibit of retro communication electronics from 1940 to 2000: radios, pagers, walkie-talkies, early cell phones, ham rigs, weird prototypes, you name it. Any thematic connection between this project and the Supercon 2025 badge may or may not be completely coincidental.

If you’ve got gear that talked, beeped, buzzed, or connected us before the age of the smartphone, we want to see it. So get it out of the attic, dust it off, tell us its story, and help bring this exhibit to life. As with last year’s popular Display Tech exhibit, all of the hardware will be considered on loan, and it will be returned to its owner after the event. Shipping shouldn’t be too much of an issue for handheld devices, but for the larger pieces of hardware, we’d ideally be looking for stuff that’s already in the Southern California area. That said, if you’ve got something really unique that you’d like to show off, don’t be afraid to contact us — we’ll probably be able to work something out.

The deadline for submissions is September 1st, and the hardware itself will need to be in Pasadena by September 30th to be included in the exhibit. If you’re interested, just fill out this form and we’ll be in touch.

All We Need Now is You!

We’ll be scrambling behind the scenes up until the very last minute (and maybe a bit over) to put together another unforgettable Supercon, but the truth is, the most important part of the equation is the attendees. An event is only as good as the folks who show up, and for the last several years, we’ve been fortunate enough to have an incredible cast of hackers and makers join us for an event that we truly believe is unlike anything else out there.

Whether you’re a veteran of several Supercons, or thinking of making 2025 your first year, we can’t wait to see you in November.

hackaday.com/2025/08/05/get-yo…

Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day non documentata nei dispositivi SonicWall con SSLVPN attiva. L’articolo ha evidenziato una possibile correlazione tra l’incremento degli attacchi e un punto debole non ancora riconosciuto pubblicamente nei firewall Gen 7 dell’azienda statunitense. In risposta a queste segnalazioni e ad altri rilevamenti paralleli, SonicWall ha rilasciato un comunicato ufficiale.

Nel comunicato, pubblicato il 4 agosto 2025, SonicWall conferma che nelle ultime 72 ore si è registrato un aumento significativo di incidenti informatici sia interni che esterni, riguardanti i firewall Gen 7 con SSLVPN abilitato. L’azienda cita anche il contributo di team di ricerca esterni come Arctic Wolf, Google Mandiant e Huntress, che hanno evidenziato la stessa attività sospetta. Questo conferma quanto emerso nel nostro articolo e rafforza l’ipotesi che il ransomware AKIRA stia sfruttando un exploit avanzato.

SonicWall dichiara che è in corso un’indagine approfondita per determinare se questi attacchi siano collegati a una vulnerabilità precedentemente divulgata oppure se si tratti di una falla nuova. Al momento, l’azienda non esclude l’ipotesi di una vulnerabilità non ancora documentata, allineandosi così con le preoccupazioni espresse dalla nostra redazione nel precedente articolo.

Nel frattempo, SonicWall ha fornito una serie di raccomandazioni ai propri clienti e partner per mitigare il rischio. In particolare, consiglia di disabilitare il servizio SSLVPN dove possibile, oppure di limitarne l’accesso solo a indirizzi IP di origine fidati. L’azienda raccomanda inoltre di attivare i servizi di sicurezza come il Botnet Protection e il Geo-IP Filtering, nonché di abilitare l’autenticazione a più fattori (MFA) per tutti gli accessi remoti, pur riconoscendo che ciò potrebbe non essere sufficiente in questo scenario specifico.

Tra le altre misure di sicurezza consigliate vi sono l’eliminazione degli account locali inutilizzati, soprattutto quelli abilitati all’accesso SSLVPN, e la promozione di una corretta gestione delle credenziali, con aggiornamenti periodici delle password. SonicWall sottolinea che questi accorgimenti sono essenziali per contenere l’impatto degli attacchi in corso, mentre l’azienda lavora al rilascio di un eventuale aggiornamento firmware correttivo.

In conclusione, il comunicato ufficiale di SonicWall conferma la gravità del momento e l’urgenza di adottare misure restrittive in attesa di una patch. La rapida risposta dell’azienda, successiva anche alla nostra pubblicazione, dimostra quanto sia cruciale il monitoraggio continuo delle minacce e l’interazione tra i media di settore, i team di threat intelligence e i fornitori di soluzioni di sicurezza. Red Hot Cyber continuerà a seguire l’evoluzione della vicenda, aggiornando tempestivamente i lettori su eventuali sviluppi tecnici o nuove contromisure.

L'articolo SonicWall nel mirino: possibile vulnerabilità 0day, utenti a rischio proviene da il blog della sicurezza informatica.

Admit it. You’d get through boring classes in school by daydreaming of cool things you’d like to build. If you were like us, some of them were practical, but some of them were flights of fancy. Did you ever think of an airplane that could dive under the water? We did. So did some students at Aalborg University. The difference is they built theirs. Watch it do its thing in the video below.

As far as we can tell, the drone utilizes variable-pitch props to generate lift in the air and downward thrust in water. In addition to the direction of the thrust, water operations require a lower pitch to minimize drag. We’d be interested in seeing how it is all waterproofed, and we’re unsure how deep the device can go. No word on battery life either. From the video, we aren’t sure how maneuverable it is while submerged, but it does seem to have some control. It wouldn’t be hard to add a lateral thruster to improve underwater operations.

This isn’t the first vehicle of its kind (discounting fictional versions). Researchers at Rutgers created something similar in 2015, and we’ve seen other demonstrations, but this is still very well done, especially for a student project.

We did see a submersible drone built using parts from a flying drone. Cool, but not quite the same.

youtube.com/embed/g7vmPFZrYAk?…

hackaday.com/2025/08/05/studen…

Lightning is a powerful force, one seemingly capable of great destruction in the right circumstances. It announces itself with a searing flash, followed by a deep rumble heard for miles around.

Intuitively, it might seem like a lightning strike would be disastrous for something like a plane flying at altitude. And yet, while damage is possible, more often than not—a plane will get through a lightning storm unscathed. Let’s explore the physics at play.

Flying High

An electrical storm captured off the port side of a Thai Airways flight in June 2025. Pilots typically aim to avoid flying through electrical storms where possible out of an abundance of caution. Credit: author
According to organizations in the know, like the National Weather Service and Airbus, in-service commercial passenger planes get hit by lightning one to two times a year on average. Despite this, crashes due to lightning strikes are extremely rare in these aircraft. One might imagine that a modern airliner, full of complex electrical systems and fuel, would be highly sensitive to a large release of electrical energy. However, thanks to basic physics and smart design, modern commercial planes are actually able to weather a lightning strike quite well.

Much this comes down to the way electrical current flows through a conductor. In a traditional airliner with an aluminium fuselage and wings, the outer body of the aircraft acts as a Faraday cage. This sees the current from a lightning strike flow primarily through the exterior of the aircraft, without harming anything inside. The lightning strike typically contacts the outside of the aircraft at one point, and leaves the aircraft at another, while the electronic systems inside are largely undisturbed. This effect also works in composite-bodied aircraft, thanks to aircraft manufacturers including conductive foils or strips in the fuselage to ensure this effect is preserved. “All components of the aircraft structure (metallic or composite) must be bonded together with bonding leads or with fasteners to ensure electrical continuity,” notes Airbus in a discussion on the topic. “This will enable the lightning current to travel through the aircraft structure without creating significant damage.” Those onboard the plane might here a loud noise and see a giant flash, but actual impact to the aircraft’s structure and electronic hardware is usually very limited.
Aircraft tend to attract lightning when flying through areas of high electric field in the atmosphere. Credit: Airbus
It’s worth noting that this protective effect is quite important, because aircraft themselves have a tendency to attract lightning when flying through an area of strong electrical field. As explained by Airbus, lightning leaders projecting from a storm can readily meet up with lightning leaders emanating from a plane’s wings, nosecone, tailplane, or other extremities. When this happens, the plane, effectively a large conductor, becomes part of the lightning channel when the discharge happens, carrying current as part of the lightning’s path. A lightning strike may enter the plane at the nose, with discharge passing from the tail, wingtips, or other pointed protrusion. Static discharge wicks can help in this regard. These are small pointed metal protrusions fitted across an airliner’s body, which are intended to release static electricity built up from friction with the air, dust, or precipitation during flight. They can act as discharge points for a lightning strike, too.
As a corona discharge, lightning will tend to leave the aircraft from a sharp point like a wingtip, the tail, or static wicks mounted on the trailing edges of aerodynamic surfaces. Credit: Adrian Pingstone, public domain
While modern aircraft are designed to survive lightning strikes, it’s still better to not get hit in the first place. Often, damage is minor or inconsequential, but planes still need to be checked over after a strike event regardless. For that reason, pilots rely on weather forecasts and guidance from air traffic control to fly around or over danger areas wherever possible.

In the event a modern airliner is struck, damage usually fits the description you’d expect from a large arcing event. Metal components may show burn marks, holes, or pitting, along with deformation from excess heat. Composite parts may also show fiber damage, delamination, or damage to conductive elements impacted by the strike. Post-strike inspections are thus performed to find and repair this damage before a plane flies again.

Unfortunately, while damage or crashes due to lightning strikes are rare, they do still occasionally happen. Flightline Flight 101 crashed in 2001, with the small turboprop plane suspected to have gone down due to electrical failure after a lightning strike. Investigators noted that the Swearingen SA226-AT aircraft had been known to suffer electrical failure in other lightning strike incidents. Another tragic example was LANSA Flight 508, which crashed in 1971 after the Lockheed L-188 Electra suffered wing failure after a lightning strike.
Certain areas of the plane are more likely to suffer damage from a lightning strike—most damage occurs where the lightning strike enters or leaves the aircraft body. Credit: Airbus
However, more modern passenger airliners from manufacturers like Boeing and Airbus have proven a much more solid safety record when it comes to lightning strikes. This has come as a part of modern regulations, which demand electrical bonding of components to reduce the chance that a lightning strike could ignite fuel vapors or fuel tanks, and panel thickness requirements to make sure lightning strikes can’t easily melt through an entire panel to damage parts inside. Many of these rules were instituted after the loss of Pan Am Flight 214 in 1963, when investigators concluded that a lightning strike had ignited fuel vapor leading to the total loss of the aircraft.

It’s also worth noting that lightning can actually be a large danger to planes when on the ground. Airports are often large, open areas with few tall structures around, meaning that aircraft can be a more likely target for lightning strikes in the area. In the event a plane is struck on the tarmac, crew nearby can be in severe danger if the strike jumps to them on its way to the ground. Aircraft are often grounded with conductive straps when on the tarmac with straps to help reduce the chance of this happening, and work on the ground is often postponed if there is a high risk of lightning in the area.

hackaday.com/2025/08/05/what-h…

Cisco, uno dei principali attori globali nel settore delle infrastrutture di rete e della sicurezza informatica, ha recentemente comunicato di essere stata vittima di un incidente di sicurezza.

Fondata nel 1984 e con sede a San Jose, in California, Cisco è nota per fornire soluzioni tecnologiche a imprese, enti pubblici e provider di servizi, operando in ambiti che spaziano dal networking alla collaboration, fino alla cybersecurity. Il 24 luglio 2025 (GMT+9), l’azienda ha rilevato un accesso non autorizzato a un sistema di Customer Relationship Management (CRM) basato su cloud, gestito da una terza parte, a seguito di un attacco di tipo vishing– una forma di phishing condotta tramite chiamate vocali.

Secondo quanto dichiarato nel comunicato ufficiale, l’aggressore ha preso di mira un rappresentante Cisco attraverso una telefonata ingannevole, riuscendo così ad aggirare le difese e ottenere accesso all’istanza del CRM. Da lì, ha esportato un sottoinsieme di dati di base dei profili utente.

“La nostra indagine ha stabilito che i dati esportati consistevano principalmente in informazioni di base del profilo dell’account di individui che si erano registrati su Cisco.com (nome, nome dell’organizzazione, indirizzo, ID utente assegnato da Cisco, indirizzo email, numero di telefono e metadati relativi all’account, come la data di creazione).”

Cisco ha immediatamente interrotto l’accesso dell’autore dell’attacco al sistema compromesso e ha avviato un’indagine approfondita per circoscrivere l’impatto dell’evento. I risultati preliminari hanno escluso il coinvolgimento di altri sistemi aziendali e confermato che nessuna password, né dati proprietari dei clienti enterprise, sono stati esposti. L’incidente è rimasto confinato esclusivamente a quell’istanza specifica del CRM, e l’azienda non ha riscontrato impatti sui propri prodotti, servizi o infrastrutture operative.

Nel rispetto della normativa sulla protezione dei dati, Cisco ha collaborato con le autorità competenti e ha informato gli utenti interessati laddove previsto. L’azienda ha anche colto l’occasione per sottolineare il proprio impegno continuo nella protezione dei dati dei clienti e nel miglioramento delle proprie difese contro minacce in continua evoluzione. In particolare, ha annunciato l’adozione di ulteriori misure preventive, tra cui un rafforzamento della formazione interna per il personale su come riconoscere e reagire agli attacchi di vishing.

La nota si chiude con un messaggio rivolto a clienti e partner, invitandoli a contattare i rispettivi team account in caso di dubbi o domande. Cisco ha inoltre espresso rammarico per qualsiasi disagio causato dall’accaduto, ribadendo la propria volontà di imparare da ogni incidente per rafforzare la propria resilienza e contribuire alla sicurezza dell’intero ecosistema tecnologico.

L'articolo Cisco colpita da un attacco di Vishing! Esfiltrati i dati profilo degli utenti registrati proviene da il blog della sicurezza informatica.

L’organizzazione criminale nota come D4rk4rmy ha rivendicato sul proprio Data leak Site (DLS) la responsabilità dell’attacco informatico contro la Monte-Carlo Société des Bains de Mer (SBM). All’interno del sito è presente un post che riporta che tra 12 giorni, ci sarà un aggiornamento.

Fondata nel 1863, la SBM rappresenta il principale operatore nel settore alberghiero di lusso nel Principato di Monaco.
Tra le proprietà più rinomate gestite dalla società figurano l’Hôtel de Paris e il Casinò di Monte Carlo, che contribuiscono in maniera determinante a delineare l’immagine internazionale di raffinatezza e prestigio del Principato.

Gli aggressori denunciano il furto di dati sensibili dei clienti e di registri aziendali interni, che rappresentano una seria minaccia per la reputazione globale del marchio, la privacy degli ospiti e la continuità aziendale.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Mentre i criminali informatici prendono sempre più di mira settori di alto profilo, questo incidente serve da duro monito: nemmeno i locali più esclusivi sono immuni. Le potenziali ricadute potrebbero ripercuotersi sulle partnership, sulla fiducia dei clienti e sull’identità stessa che definisce il settore del lusso monegasco.

Al servizio di una clientela d’élite, SBM offre servizi di gioco d’azzardo, hotel, ristorazione raffinata e intrattenimento. Il governo monegasco detiene una quota di maggioranza nella società. La cybergang D4rk4rmy ha aggiunto la Monte-Carlo Société des Bains de Mer (SBM) all’elenco delle vittime sul suo sito di fuga di notizie sul dark web di Tor.

D4rk4rmy è un gruppo di hacker noto principalmente per gli attacchi ransomware e le violazioni dei dati osservati nel 2025. Il gruppo ha preso di mira aziende di vari settori, tra cui logistica, tecnologia e ospitalità. Pubblicano spesso dati rubati su siti di fuga di dati per estorcere denaro alle vittime.

Operando come Ransomware-as-a-Service (RaaS), offrono servizi di hacking a pagamento, sostenendo di non colpire ospedali e infrastrutture critiche. L’intelligence open source collega D4rk4rmy a comunità attive su forum, Telegram e Discord, con presunte origini in circoli white/grey hat che si sono evoluti in attività criminali.

Sebbene alcune affermazioni possano non avere prove di malware originale, operazioni recenti dimostrano reali esfiltrazioni e minacce.

Cos’è il ransomware as a service (RaaS)

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

• Il ransomware cos’è. Scopriamo il funzionamento della RaaS
• Perché l’Italia è al terzo posto negli attacchi ransomware
• Difficoltà di attribuzione di un attacco informatico e false flag
• Alla scoperta del gruppo Ransomware Lockbit 2.0
• Intervista al rappresentante di LockBit 2.0
• Il 2021 è stato un anno difficile sul piano degli incidenti informatici
• Alla scoperta del gruppo Ransomware Darkside
• Intervista al portavoce di Revil UNKNOW, sul forum XSS
• Intervista al portavoce di BlackMatter

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

L'articolo Il casinò di Montecarlo, è sul sito di D4rk4rmy! Il gruppo ransomware rivendica l’attacco informatico proviene da il blog della sicurezza informatica.

Una massiccia campagna per sfruttare una serie di vulnerabilità in Microsoft SharePoint continua a prendere piede, coinvolgendo ora anche gruppi ransomware. Durante l’analisi della serie di attacchi, Palo Alto Networks (Unità 42) ha scoperto l’introduzione del ransomware 4L4MD4R, una variante basata sul codice open source di Mauri870. La sua attività è direttamente correlata a una serie di exploit denominato ToolShell.

La prima infezione è stata rilevata il 27 luglio, quando è stato individuato un malware di tipo loader che ha ricevuto e lanciato 4L4MD4R dal server theinnovationfactory[.]it all’indirizzo IP 145.239.97[.]206. Il motivo del rilevamento è stato un tentativo di exploit non riuscito, che ha coinvolto comandi PowerShell volti a disabilitare i sistemi di monitoraggio della sicurezza. Ciò ha permesso agli specialisti di scoprire l’architettura dell’attacco.

Il crittografo stesso è un file UPX compresso scritto in Go. Una volta avviato, decifra il file eseguibile crittografato con AES in memoria, alloca un’area per esso, carica il contenuto e avvia l’esecuzione in un thread separato. Successivamente, inizia a crittografare i dati sul sistema infetto, generando file con un’estensione modificata, un elenco dei contenuti crittografati e un testo di richiesta di riscatto. L’importo del riscatto è relativamente piccolo: 0,005 bitcoin.

La catena di exploit di ToolShell , che sfrutta le vulnerabilità CVE-2025-49706 e CVE-2025-49704, è diventata oggetto di interesse da parte di diversi gruppi associati ad agenzie governative cinesi. Secondo Microsoft, gli attacchi sono stati condotti da almeno tre gruppi cinesi: Linen Typhoon, Violet Typhoon e Storm-2603. In precedenza, gli attacchi sono stati registrati in tutto il mondo: in Nord America, Europa e Medio Oriente. Tra le vittime figurano il Dipartimento dell’Istruzione degli Stati Uniti, la National Nuclear Security Administration, il Dipartimento delle Entrate della Florida, l’Assemblea Legislativa del Rhode Island e i sistemi governativi di diversi paesi europei.

Inizialmente, i segnali di attacchi tramite ToolShell sono stati rilevati dall’azienda olandese Eye Security, che ha documentato l’infezione di 54 organizzazioni. Tuttavia, analisi successive hanno dimostrato che si trattava solo di una parte del quadro. Secondo Piet Kerkhofs, CTO di Eye Security, almeno 400 server sono stati infettati e il numero di organizzazioni compromesse ha raggiunto quota 148, il tutto in presenza di aggressori nell’infrastruttura da tempo.

I ricercatori di Check Point hanno scoperto che l’attività è iniziata almeno il 7 luglio, prendendo di mira governi, aziende di telecomunicazioni e organizzazioni tecnologiche in Europa occidentale e Nord America. Nonostante Microsoft abbia corretto le vulnerabilità con il Patch Tuesday di luglio, gli attacchi sono continuati. L’azienda ha assegnato i nuovi identificatori di vulnerabilità CVE-2025-53770 e CVE-2025-53771, falle che sono state sfruttate per compromettere anche server SharePoint completamente patchati.

Inoltre, la CISA ha aggiunto il CVE-2025-53770 al catalogo delle vulnerabilità attivamente sfruttate KEV e ha richiesto a tutte le agenzie federali di risolvere la minaccia entro 24 ore dalla notifica.

Nel complesso, l’attacco dimostra un coordinamento strategico: dietro di esso ci sono diversi gruppi, vengono utilizzati exploit multifase, vengono disabilitate le protezioni mirate e viene integrata la crittografia. Ciò indica l’ascesa delle minacce ibride, quando la rete di infezione non è guidata solo dai criminali informatici, ma anche da interessi statali.

L'articolo Il Ransomware Sfrutta SharePoint! Scoperto 4L4MD4R, l’attacco ibrido che spaventa anche i governi proviene da il blog della sicurezza informatica.

It is perhaps humanity’s most defining trait that we are always striving to build things better, stronger, faster, or bigger than that which came before. Taller skyscrapers, longer bridges, and computers with more processors, all advance thanks to this relentless persistence.

In the world of radio, we might assume that a better signal simply means adding more power, but performance can also improve by adding more antennas. Not only do more antennas increase gain but they can also be electronically steered, and [MAKA] demonstrates how to do this with a software-defined radio (SDR) phased array.

The project comes to us in two parts. In the first part, two ADALM-Pluto SDR modules are used, with one set to transmit and the other to receive. The transmitting SDR has two channels, one of which has the phase angle of the transmitted radio wave fixed while the other is swept from -180° to 180°. These two waves will interfere with each other at various points along this sweep, with one providing much higher gain to the receiver. This information is all provided to the user via a GUI.

The second part works a bit like the first, but in reverse. By using the two antennas as receivers instead of transmitters, the phased array can calculate the precise angle of arrival of a particular radio wave, allowing the user to pinpoint the direction it is being transmitted from. These principles form the basis of things like phased array radar, and if you’d like more visual representations of how these systems work take a look at this post from a few years ago.

youtube.com/embed/L6Dt44zIJ9E?…

youtube.com/embed/RbCKBkX0d7U?…

hackaday.com/2025/08/05/real-t…

Sono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzione open source è progettata per l’implementazione e la manutenzione su larga scala di modelli di apprendimento automatico e ora, a quanto pare, il suo backend Python può essere utilizzato per assumere il controllo completo del server senza autorizzazione.

Triton Inference Server è un software open source per l’inferenza che semplifica l’inferenza dell’IA. Triton Inference Server consente ai team di implementare qualsiasi modello di IA da diversi framework di deep learning e machine learning, tra cui TensorRT, TensorFlow, PyTorch, ONNX, OpenVINO, Python, RAPIDS FIL e altri. Triton supporta l’inferenza su cloud, data center, dispositivi edge ed embedded su GPU NVIDIA, CPU x86 e ARM o AWS Inferentia.

Il team di Wiz ha segnalato tre vulnerabilità che, se combinate correttamente, potrebbero portare all’esecuzione remota di codice arbitrario. La prima, il CVE-2025-23319 con un punteggio CVSS di 8,1, consente a un aggressore di avviare una scrittura fuori dai limiti inviando una richiesta appositamente predisposta. La seconda, CVE-2025-23320 (CVSS 7.5), consente a un aggressore di superare il limite di memoria condivisa inviando una richiesta eccessivamente grande. La terza, CVE-2025-23334 (CVSS 5.9), causa una lettura fuori dai limiti. Sebbene non particolarmente pericolose singolarmente, se combinate, queste vulnerabilità aprono la strada alla compromissione completa del server.

Il problema risiede nel meccanismo che elabora i modelli Python, compresi quelli creati con PyTorch e TensorFlow. Questo backend consente di inviare richieste di inferenza utilizzando meccanismi IPC interni, il cui funzionamento è il punto in cui sono associate le vulnerabilità.

Lo scenario di attacco inizia con CVE-2025-23320, che può estrarre il nome univoco dell’area di memoria condivisa in cui avviene l’interazione tra i componenti. Questo nome è pensato per essere nascosto, ma un aggressore può ottenerlo e utilizzarlo come chiave. Successivamente, CVE-2025-23319 e CVE-2025-23334 consentono la scrittura e la lettura di dati in memoria, aggirando le restrizioni. Ciò fornisce il pieno controllo sul processo di inferenza, la possibilità di iniettare codice dannoso, rubare modelli di intelligenza artificiale, modificarne il comportamento e intercettare informazioni sensibili.

Secondo gli esperti, l’attacco hacker a Triton potrebbe diventare il punto di accesso per un attacco più ampio all’intera rete dell’organizzazione, comprese le infrastrutture che svolgono attività critiche.

In un nuovo bollettino di agosto, NVIDIA conferma l’esistenza dei problemi sopra descritti e richiede l’installazione immediata dell’aggiornamento 25.07, che li risolve.

Contemporaneamente, lo sviluppatore ha annunciato la correzione di altri tre bug gravi: CVE-2025-23310 , CVE-2025-23311 e CVE-2025-23317 . Questi errori possono anche causare l’esecuzione di codice, la perdita di dati, l’errore del server e l’interferenza con il contenuto della memoria. Tutti questi bug sono stati risolti nello stesso aggiornamento.

Sebbene non vi siano prove che queste vulnerabilità siano state sfruttate in natura, dato il rischio e la natura dei componenti coinvolti, si consiglia alle organizzazioni che utilizzano Triton di aggiornare e rivedere immediatamente il modello di minaccia associato alla propria infrastruttura di intelligenza artificiale.

L'articolo Bug Critici su NVIDIA Triton consentono agli attaccanti di compromettere e rubare il modello AI proviene da il blog della sicurezza informatica.