(in)sicurezza digitale

2026-04-29 09:07:36

ShinyHunters colpisce attraverso Anodot: la supply chain SaaS apre i data warehouse Snowflake di decine di aziende — ora nel mirino Vimeo

Un solo fornitore SaaS compromesso, e l’effetto domino colpisce decine di aziende enterprise. È la logica brutale dell’attacco supply chain che ShinyHunters ha affinato negli ultimi due anni: questa volta la porta di servizio si chiama Anodot, una piattaforma di analytics cloud che integra direttamente con Snowflake. L’ultimatum più recente è di oggi, 28 aprile 2026, contro Vimeo: pagare entro il 30 aprile o subire la pubblicazione dei dati esfiltrati da Snowflake e BigQuery.

Il vettore: compromettere il custode per svaligiare il caveau

Anodot è una piattaforma di monitoraggio dei costi cloud e anomaly detection usata da nomi come Atlassian, T-Mobile, UPS, Vimeo, Nordstrom, Amdocs, NICE e CyberArk. Per svolgere il suo lavoro, Anodot richiede token di accesso privilegiato ai data warehouse dei clienti — Snowflake in primis. È qui che ShinyHunters ha trovato la sua leva: invece di attaccare ogni vittima singolarmente, ha preso di mira il custode delle chiavi.

Secondo le analisi dei ricercatori di RH-ISAC e Mitiga, gli attaccanti hanno sottratto token di autenticazione dall’infrastruttura di Anodot nel corso delle prime settimane di aprile 2026. Questi token, validi per accedere direttamente agli account Snowflake dei clienti, hanno aperto la strada all’esfiltrazione senza la necessità di sfruttare alcuna vulnerabilità nelle piattaforme delle vittime finali. Snowflake stessa non è stata violata: il problema è nella catena di fiducia tra il provider SaaS e i suoi clienti.

Chi è ShinyHunters e il precedente Snowflake del 2024

ShinyHunters è un collettivo cybercriminale attivo dal 2020, specializzato in esfiltrazione massiva di database e successiva estorsione. Il gruppo è salito alla ribalta internazionale con la violazione di Tokopedia (91 milioni di account), Microsoft GitHub e decine di altre piattaforme, finendo per diventare uno degli attori più prolifici nel mercato underground dei dati rubati.

Il precedente Snowflake — scoppiato nella primavera-estate del 2024 — aveva già mostrato la pericolosità del vettore credential stuffing su piattaforme di dati cloud: Ticketmaster (560 milioni di record), AT&T (quasi tutti i clienti americani), Santander e oltre 165 organizzazioni compromesse attraverso credenziali rubate agli utenti di Snowflake privi di autenticazione multifattore. In quel caso il metodo era il credential stuffing diretto; ora il livello di sofisticazione è aumentato: si colpisce il provider intermedio per aggirare anche l’MFA delle vittime finali.

La progressione degli attacchi: da Rockstar Games a Vimeo

La timeline della campagna Anodot è ricostruibile dai post del leak site di ShinyHunters:

• 11 aprile 2026 — ShinyHunters pubblica un messaggio rivolto a Rockstar Games: “Your Snowflake instances were compromised thanks to Anodot. Pay or leak by April 14”. Rockstar conferma una violazione a terze parti, specificando che non sono stati colpiti dati dei giocatori.
• Metà aprile 2026 — Emergono segnalazioni di altri clienti Anodot potenzialmente esposti; RH-ISAC emette un advisory alla propria comunità di retail e hospitality.
• 28 aprile 2026 (oggi) — Nuovo ultimatum: ShinyHunters afferma di aver esfiltrato dati Snowflake e BigQuery di Vimeo tramite Anodot, con scadenza per il pagamento fissata al 30 aprile 2026.

Anatomia tecnica dell’attacco

Il meccanismo di compromissione sfrutta la natura stessa dell’integrazione tra Anodot e Snowflake. Per monitorare i costi e rilevare anomalie nei data warehouse dei clienti, Anodot conserva nei propri sistemi token di accesso o credenziali di servizio con privilegi elevati — tipicamente account con ruolo ACCOUNTADMIN o SYSADMIN su Snowflake, o service account equivalenti su BigQuery.

Una volta che gli attaccanti hanno sottratto questi token dall’infrastruttura di Anodot, le operazioni successive sono elementari:

• Autenticazione diretta all’account Snowflake della vittima tramite il token rubato
• Enumerazione dei database e delle tabelle disponibili
• Esecuzione di query SELECT * su tabelle di interesse (dati utenti, transazioni, metriche interne)
• Esfiltrazione tramite COPY INTO verso stage esterni o download diretto

L’intera catena può essere eseguita senza toccare i sistemi interni della vittima finale, rendendo il rilevamento estremamente difficile per i team SOC che non monitorano attivamente gli accessi da IP insoliti o da service account normalmente inattivi nelle ore notturne.

Indicatori di compromissione e segnali da monitorare

# Snowflake: query per rilevare accessi anomali da service account
SELECT
  user_name,
  client_ip,
  event_timestamp,
  reported_client_type
FROM snowflake.account_usage.login_history
WHERE user_name ILIKE '%anodot%'
   OR user_name ILIKE '%integration%'
   OR user_name ILIKE '%svc%'
ORDER BY event_timestamp DESC;

# Verificare sessioni attive non riconosciute
SELECT *
FROM snowflake.account_usage.sessions
WHERE client_application_id NOT IN (
  /* lista delle applicazioni legittime attese */
)
AND created_on > DATEADD(day, -30, CURRENT_TIMESTAMP());

# Controllare query di esfiltrazione massiva
SELECT query_text, user_name, rows_produced, execution_time
FROM snowflake.account_usage.query_history
WHERE rows_produced > 100000
  AND query_type = 'SELECT'
ORDER BY start_time DESC;

Il problema strutturale: la fiducia implicita nei provider SaaS

Il caso Anodot mette a nudo una vulnerabilità sistemica nell’architettura di sicurezza delle aziende enterprise moderne: la proliferazione di integrazioni SaaS-to-SaaS crea una superficie d’attacco spesso invisibile ai team di sicurezza. Ogni strumento di monitoraggio, analytics, ITSM o osservabilità che si connette ai sistemi core diventa un potenziale pivot point per un attaccante.

Il principio del least privilege — teoricamente applicato ai dipendenti — viene sistematicamente violato per i service account delle integrazioni SaaS, che spesso ricevono accessi di tipo amministratore perché “così funziona più facilmente”. Il risultato è che un unico provider compromesso può esporre l’intero ecosistema dati di un’organizzazione enterprise.

Raccomandazioni operative immediate

• Audit immediato delle integrazioni Anodot: se la vostra organizzazione usa Anodot, ruotate immediatamente tutti i token di accesso e le credenziali condivise con il provider. Verificate i log di accesso Snowflake/BigQuery per le ultime 4 settimane.
• Network policies su Snowflake: abilitate le network policy che restringono l’accesso ai data warehouse solo agli IP autorizzati. Gli accessi da provider SaaS di terze parti dovrebbero provenire da range IP documentati e noti.
• OAuth e token scoping: privilegiate integrazioni che usano OAuth con scope limitati rispetto a credenziali amministrative persistenti. Implementate token rotation automatica con TTL brevi.
• Inventario delle integrazioni SaaS-to-SaaS: molte organizzazioni non hanno visibilità completa su quanti provider SaaS hanno accesso ai propri data warehouse. Un audit del tipo “chi può leggere cosa nel mio Snowflake?” è un esercizio urgente.
• Alerting su query anomale: configurate alerting su volumi di dati estratti superiori ai baseline storici, specialmente per service account di integrazioni esterne.

L’ultimatum del 30 aprile su Vimeo resterà probabilmente senza risposta pubblica, come già avvenuto con Rockstar. Ma la campagna continuerà: finché esistono decine di provider SaaS con accessi privilegiati non monitorati ai dati delle loro enterprise, ShinyHunters — e gruppi analoghi — hanno un modello di business altamente redditizio.

(in)sicurezza digitale

2026-04-28 16:42:16

Xu Zewei estradato dall’Italia: il contractor MSS cinese dietro HAFNIUM e Silk Typhoon davanti alla giustizia americana

Un contractor cinese al servizio del Ministero della Sicurezza dello Stato è atterrato ieri a Houston in manette: Xu Zewei, 34 anni, è stato estradato dall’Italia negli Stati Uniti dopo l’arresto avvenuto a Milano nel 2025. L’indictment da nove capi di imputazione lo collega direttamente alla campagna HAFNIUM — ribattezzata Silk Typhoon — che tra il 2020 e il 2021 ha compromesso quasi 13.000 organizzazioni in tutto il mondo, inclusi laboratori di ricerca sul COVID-19 e migliaia di server Microsoft Exchange.

Chi è Xu Zewei e per chi lavorava

Xu Zewei non era un hacker solitario che operava dal suo appartamento: secondo l’accusa del Dipartimento di Giustizia americano, era un operativo contrattualizzato dello Shanghai State Security Bureau (SSSB), la divisione locale del MSS (Ministry of State Security), l’equivalente cinese della CIA. La sua copertura era Shanghai Powerock Network Co., Ltd., una delle decine di società-schermo che Pechino utilizza per mantenere una distanza plausibile dalle operazioni offensive di intelligence.

Il modello operativo è ormai collaudato: il MSS ingaggia hacker freelance o dipendenti di aziende private attraverso contratti formali, garantendo ai contractor protezione istituzionale e compenso economico, mentre lo Stato mantiene la negabilità. Lo stesso schema era già emerso con i gruppi APT40 e APT41, con accuse formali di DOJ risalenti al 2020 e al 2022.

La campagna HAFNIUM: zero-day su Exchange come arma di massa

Il nome HAFNIUM compare per la prima volta nei report Microsoft nel marzo 2021, quando l’azienda di Redmond divulga quattro vulnerabilità zero-day in Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) già sfruttate attivamente in natura. La catena di exploit, denominata ProxyLogon, consente a un attaccante remoto non autenticato di prendere il controllo completo di un server Exchange vulnerabile esposto su Internet.

La finestra tra la divulgazione e il patching di massa fu devastante: in pochi giorni, i threat actor legati a HAFNIUM scaricarono web shell su decine di migliaia di server in tutto il mondo. Le web shell — tipicamente file ASPX nascosti in directory come /aspnet_client/ — garantivano accesso persistente e permettevano di:

• Accedere alle caselle di posta elettronica degli utenti senza autenticazione
• Muoversi lateralmente all’interno della rete bersaglio
• Esfiltrare intere cartelle di e-mail, credenziali e documenti interni
• Installare ulteriori impianti malware per la persistenza a lungo termine

Il furto della ricerca sul COVID-19

Uno degli aspetti più inquietanti dell’indictment riguarda il targeting specifico di organizzazioni impegnate nella ricerca contro il COVID-19. Secondo i pubblici ministeri, Xu e i suoi co-cospiratori hanno attaccato istituti di ricerca, università e aziende farmaceutiche con l’obiettivo esplicito di sottrarre dati su vaccini, trattamenti e protocolli diagnostici. Le operazioni si collocano tra febbraio 2020 — quando il virus inizia a diffondersi globalmente — e giugno 2021, coprendo l’intero arco della corsa mondiale al vaccino.

L’FBI aveva avvisato già nel maggio 2020 che attori legati alla Cina stavano tentando di rubare proprietà intellettuale sulla ricerca pandemica, ma l’entità della campagna è emersa solo con le indagini successive. La sovrapposizione temporale tra la crisi sanitaria e le operazioni di spionaggio informatico solleva interrogativi scomodi sul ruolo dell’intelligence cinese nel tentativo di acquisire un vantaggio tecnologico e strategico durante la pandemia.

Il ruolo dell’Italia e l’estradizione

L’arresto di Xu Zewei a Milano nel 2025 rappresenta uno dei casi più significativi di cooperazione giudiziaria italo-americana in ambito cybercrime. L’Italia non è nuova a questo tipo di operazioni: negli anni ha collaborato con Washington per l’estradizione di figure legate al crimine informatico organizzato, ma un caso di hacking state-sponsored cinese di questa portata è inedito. L’estradizione, completata il 26 aprile 2026, pone l’imputato davanti alla corte federale di Houston per rispondere a un’accusa in nove capi.

La reazione di Pechino è stata prevedibile: il portavoce del Ministero degli Esteri ha definito le accuse “fabricate” e “pura finzione politica”, ribadendo la posizione di principio secondo cui la Cina “si oppone fermamente a qualsiasi forma di attività hacker”. Una narrativa difficile da sostenere di fronte a un indictment dettagliato che menziona infrastrutture, tool e vittime specifiche.

Da HAFNIUM a Silk Typhoon: l’evoluzione del gruppo

Microsoft ha ribattezzato HAFNIUM come Silk Typhoon nell’ambito del nuovo schema tassonomico che assegna nomi di fenomeni atmosferici agli attori state-sponsored. Il gruppo ha continuato ad operare dopo il 2021, espandendo il target set a infrastrutture governative, difesa, think tank e provider di servizi IT. Il pattern operativo rimane coerente: sfruttamento rapido di vulnerabilità zero-day o N-day in prodotti edge (VPN, firewall, server di posta) per ottenere accesso iniziale, seguito da movimenti laterali silenziosi e esfiltrazione prolungata.

Indicatori di compromissione (campagna HAFNIUM/ProxyLogon)

# CVE sfruttate nella campagna ProxyLogon
CVE-2021-26855  # SSRF pre-auth su Exchange (porta 443)
CVE-2021-26857  # Deserializzazione insicura su Unified Messaging
CVE-2021-26858  # Scrittura arbitraria post-auth su Exchange
CVE-2021-27065  # Scrittura arbitraria post-auth su Exchange

# Percorsi tipici delle web shell depositate
/aspnet_client/
/aspnet_client/system_web/
/owa/auth/
/ecp/auth/

# User-Agent noti usati da HAFNIUM
ExchangeServicesClient/0.0.0.0
python-requests/2.25.1

# Hash SHA-256 di web shell documentate
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d

Implicazioni e raccomandazioni per i difensori

Il caso Xu Zewei riafferma un principio fondamentale nella difesa contro gli APT state-sponsored: la deterrenza giuridica, per quanto lenta, funziona come segnale. Ogni indictment pubblicato dal DOJ erode la narrazione di impunità che alimenta la proliferazione dei contractor hacker. Per i team di sicurezza, le lezioni operative sono chiare:

• Patch velocity sugli asset perimetrali: la finestra tra divulgazione CVE e compromissione attiva si è ridotta a ore. I server Exchange, i dispositivi VPN e i firewall esposti su Internet devono essere patchati entro 24-48 ore da ogni advisory critico.
• Hunting proattivo per web shell: strumenti come Microsoft Safety Scanner, MSERT e le regole YARA pubblicate da CISA permettono di rilevare web shell note anche dopo settimane di compromissione silente.
• Monitoraggio dell’esfiltrazione DNS e HTTPS: i gruppi cinesi tendono a usare canali legittimi per il C2 (cloud storage, servizi di posta). Il behavioral analytics sul traffico outbound è più affidabile delle signature statiche.
• Segmentazione degli ambienti di ricerca sensibili: laboratori R&D, dati clinici e proprietà intellettuale vanno isolati in segmenti con controlli di accesso stringenti e logging pervasivo.

Il caso è anche un promemoria del valore delle partnership internazionali: senza la cooperazione dell’Italia, Xu Zewei sarebbe probabilmente ancora libero. La caccia ai contractor MSS non si ferma qui.

(in)sicurezza digitale

2026-04-27 18:19:25

LockBit 5.0 in Escalation: dalla Banca delle Banche Centrali Latinoamericane alle logistiche Europee

LockBit 5.0 — nome in codice ChuongDong — non è la resurrezione di un brand cybercriminale: è la prova che i ransomware-as-a-service più organizzati si evolvono più velocemente delle operazioni delle forze dell’ordine che li contrastano. Nell’ultima settimana di aprile 2026, la gang ha rivendicato colpi su un istituto finanziario fondato dalle banche centrali latinoamericane, su società di logistica tedesche e su numerose altre vittime in Europa, Asia e nelle Americhe. Un’analisi tecnica e operativa della minaccia più attiva del momento.

Storia e resurrezione: da Operation Cronos a LockBit 5.0

Nel febbraio 2024, la joint task force internazionale Operation Cronos — guidata dall’NCA britannica con la partecipazione di Europol, FBI e polizie di altri dieci paesi — aveva inflitto quello che sembrava un colpo definitivo all’ecosistema LockBit: server sequestrati, chiavi di decryption pubblicate, affiliati arrestati in Polonia e Ucraina, e il volto del presunto admin “LockBitSupp” esposto pubblicamente.

La risposta del gruppo è arrivata con una certa prevedibilità: già nel settembre 2025, LockBit ha annunciato sul forum dark web RAMP la versione 5.0, coincidendo con il sesto anniversario dell’operazione. A distanza di circa sette mesi dal lancio, il quadro è chiaro: il gruppo ha ripreso la sua cadenza operativa, con oltre 100 vittime rivendicate sulla nuova data leak site (DLS) e attività in costante escalation nel 2026.

Architettura tecnica: cosa c’è di nuovo in LockBit 5.0

LockBit 5.0 è costruito su un’architettura a due componenti principali, un Loader e un modulo Ransomware, con una separazione netta tra funzioni di delivery e payload di cifratura.

Il Loader decifra il payload ransomware usando XOR combinato con compressione LZ e lo esegue direttamente in memoria, senza mai scrivere il binario cifrato su disco — una tecnica che complica notevolmente l’analisi forense e il rilevamento da parte degli antivirus tradizionali.

Sul fronte cifratura, la versione 5.0 introduce significativi miglioramenti rispetto alla 4.0:

• Cifratura differenziale basata sulla dimensione dei file: per i file più grandi viene cifrata solo una porzione, massimizzando la velocità dell’attacco e comprimendo la finestra di risposta per i difensori.
• Modulo di cancellazione delle Shadow Copy aggiornato: basato su codice derivato da Conti, ora utilizza le VSS API native di Windows invece degli strumenti da riga di comando, riducendo le tracce nel log degli eventi.
• Patching di EtwEventWrite: disabilita in memoria il Windows Event Tracing for Windows (ETW), cieco di fatto i sistemi di SIEM e EDR che si affidano ai provider nativi.
• Controlli di geolocalizzazione e locale: i campioni escludono automaticamente i sistemi nei paesi della CIS (Comunità degli Stati Indipendenti), un pattern tipico degli operatori ransomware di madrelingua russa.
• Estensioni randomizzate a 16 caratteri: i file cifrati ricevono un’estensione generata casualmente per ogni campagna, impedendo il rilevamento basato su signature statiche.

Multi-piattaforma: Windows, Linux e VMware ESXi nel mirino

Una delle novità più significative di LockBit 5.0 è l’espansione cross-platform. Il gruppo ha sviluppato tre varianti distinte — per Windows, Linux e VMware ESXi — che possono essere deployate in modo coordinato su tutta l’infrastruttura di una vittima.

La variante ESXi è progettata specificamente per cifrare i datastore delle macchine virtuali, paralizzando interi ambienti virtualizzati in un singolo passaggio. Per un’organizzazione enterprise che fa affidamento su VMware, questo significa che server, applicazioni critiche e database possono essere resi inaccessibili simultaneamente, moltiplicando la pressione a pagare il riscatto.

Le vittime di aprile 2026: da Bladex alle logistiche europee

La settimana del 26-27 aprile 2026 ha visto LockBit 5.0 rivendicare una serie di attacchi di profilo elevato, in particolare:

• Bladex (Panama): istituto finanziario multinazionale fondato direttamente dalle banche centrali dei paesi latinoamericani e caraibici. LockBit ha annunciato la pubblicazione dei dati entro 14-15 giorni. Un attacco a un istituto con questo profilo istituzionale ha implicazioni che vanno ben oltre il singolo incidente.
• Merlo Teleskoplader (Germania): produttore tedesco di macchinari industriali; la rivendicazione include potenziale esfiltrazione di dati tecnici e commerciali.
• D. Heinrichs Logistic GmbH (Bremerhaven, Germania): provider logistico nel porto di Bremerhaven, nodo strategico per il commercio europeo.

La concentrazione di vittime tedesche nel settore logistico/industriale suggerisce una campagna mirata, o quantomeno che gli affiliati di LockBit 5.0 stiano attivamente prendendo di mira la filiera produttiva e logistica europea.

Indicatori di compromissione e pattern di attacco

# File system indicators (Windows)
%TEMP%\ReadMeForDecrypt.txt         # Ransom note (naming convention LockBit 5.0)
*.{16-char random extension}         # File cifrati con estensione randomizzata
# Processi sospetti (behavior indicators)
vssadmin.exe (chiamate VSS API native invece di CLI)
wevtutil.exe (possibile log clearing pre-cifratura)
wmic.exe shadowcopy delete
# ETW patching (in-memory)
EtwEventWrite patched -> NOP sled   # Disabilita event tracing Windows
# Geolocation check (CIS exclusion)
GetUserDefaultLCID() / GetLocaleInfoW()  # Controllo locale pre-esecuzione
# Network indicators
Comunicazioni C2 su infrastrutture TOR
Data exfiltration pre-cifratura via tool personalizzato (data theft stage)
# Loader behavior
XOR + LZ decompression in memoria
Nessuna scrittura del payload cifrato su disco (fileless execution)

Il modello RaaS e la resilienza di LockBit

La sopravvivenza di LockBit alle operazioni delle forze dell’ordine non è un caso: è il risultato di un modello RaaS (Ransomware-as-a-Service) progettato con ridondanza in mente. Gli affiliati — decine di gruppi criminali indipendenti che noleggiano il malware in cambio di una percentuale dei riscatti — possono continuare a operare anche quando l’infrastruttura centrale viene sequestrata. Quando il codice e le build vengono trapelate o ricostruite, il lancio di una nuova versione diventa relativamente rapido.

LockBit 5.0 dimostra anche una capacità di adattamento tecnico reale: il patching in memoria di ETW, l’uso delle VSS API invece dei comandi shell, e l’architettura modulare cross-platform non sono aggiornamenti cosmetici ma miglioramenti mirati a sopravvivere agli EDR e ai SIEM di nuova generazione.

Raccomandazioni per i difensori

• Proteggere i backup offline e immutabili: la strategia più efficace contro LockBit rimane avere copie fuori dalla portata del ransomware. I backup connessi alla rete sono sempre stati l’obiettivo primario degli operatori.
• Monitorare le API di Volume Shadow Copy: rilevare chiamate anomale alle VSS API da processi inusuali, non solo l’esecuzione di vssadmin.
• EDR con visibilità sulle patch in-memory: i provider che monitorano l’integrità del codice in memoria (PatchGuard bypass, EtwEventWrite tampering) hanno significativamente più chance di rilevare LockBit 5.0 prima dell’esecuzione del payload.
• Segmentazione rigorosa degli ambienti VMware: i datastore ESXi non devono essere accessibili da host che non abbiano una necessità operativa diretta.
• Threat hunting basato su estensioni randomizzate: configurare alert su mass-rename di file con estensioni sconosciute nei file server critici.
• Verifica della geolocation check: se in un ambiente vengono rilevati controlli di locale da processi inusuali, potrebbe indicare una fase di reconnaissance pre-attivazione del payload.

LockBit 5.0 non è un fantasma del passato. È una minaccia attiva, tecnicamente evoluta e operativamente resiliente. L’attacco a Bladex — un’istituzione finanziaria nata per volontà delle banche centrali di un’intera regione del mondo — è il segnale che nessun settore, nessuna dimensione aziendale e nessuna geografia è fuori dal mirino del gruppo più prolifico del ransomware mondiale.

(in)sicurezza digitale

2026-04-27 10:59:28

UNC6692 usa Microsoft Teams per distribuire SNOW: email bombing, impersonazione helpdesk e compromissione del dominio Active Directory

Si parla di:
Toggle

Non serve uno zero-day quando si puo’ semplicemente telefonare. O meglio: mandare un messaggio su Microsoft Teams fingendo di essere il supporto IT aziendale. E’ questa la filosofia operativa di UNC6692, un gruppo di minaccia documentato da Google Threat Intelligence Group (GTIG) e Mandiant il 22 aprile 2026, che ha sviluppato una delle catene di intrusione piu’ efficaci osservate di recente: zero vulnerabilita’ software sfruttate, impatto devastante.

La catena di attacco: dalla casella di posta al dominio compromesso

La campagna di UNC6692 si articola in piu’ fasi con una logica narrativa precisa, progettata per sfruttare i processi cognitivi delle vittime anziche’ le vulnerabilita’ del software. Tutto inizia tra fine dicembre 2025 e i mesi successivi con un’operazione di email bombing: le vittime — prevalentemente dipendenti senior (77% dei casi rilevati) — si trovano improvvisamente sommerse da migliaia di email spam, un’inondazione che paralizza l’attivita’ lavorativa e genera panico.

Nel momento di massima confusione, arriva il soccorso: un messaggio su Microsoft Teams da un account che si presenta come tecnico del supporto IT interno. L’attaccante offre assistenza per il problema email e guida la vittima attraverso una sequenza di azioni apparentemente legittime. Il punto critico e’ il click su un link che porta a una pagina di phishing ospitata su un bucket Amazon S3 — presentata come “Mailbox Repair and Sync Utility v2.1.5”. L’URL su S3 non e’ in lista di blocco di quasi nessun proxy aziendale, e il dominio amazonaws.com gode di alta reputazione nei sistemi di URL filtering.

La suite SNOW: tre strumenti, un’unica operazione

Il download dalla pagina di phishing avvia l’esecuzione di un binario AutoHotKey (RegSrvc.exe) che funge da dropper per l’ecosistema SNOW, una suite malware modulare composta da tre componenti distinti, ciascuno con un ruolo specializzato nella catena di compromissione.

SNOWBELT e’ un backdoor basato su JavaScript, distribuito come estensione Chromium (directory: SysEvents). Viene installato in modalita’ non-supervised attraverso policy forzate, non tramite il Chrome Web Store. Si maschera sotto nomi come “MS Heartbeat” o “System Heartbeat”. Una volta attivo nel browser della vittima, intercetta sessioni autenticate, cookie, token OAuth e qualsiasi credenziale inserita nelle form web. Comunica con il C2 tramite richieste verso bucket S3 in us-east-2, usando un VAPID key fisso come identificatore.

SNOWGLAZE e’ un tunneler Python compatibile con Windows e Linux. La sua funzione primaria e’ creare un tunnel WebSocket autenticato tra il sistema della vittima e l’infrastruttura C2 dell’attaccante, tipicamente un sottodominio Heroku. Questo tunnel permette all’attaccante di instradare traffico RDP, PsExec e altri protocolli attraverso una connessione apparentemente legittima verso Heroku, eludendo i controlli firewall.

SNOWBASIN e’ il backdoor persistente per il controllo remoto completo: esecuzione di comandi via cmd.exe o PowerShell, cattura di screenshot, upload/download di file e auto-terminazione. E’ SNOWBASIN che gestisce la fase di post-exploitation, una volta che il foothold iniziale e’ stabilito.

Post-exploitation: dal PC della vittima al domain controller

L’analisi di Mandiant descrive una sequenza di post-exploitation metodica e aggressiva. Dopo l’installazione della suite SNOW, l’attaccante utilizza SNOWGLAZE per stabilire una sessione PsExec verso il sistema compromesso, poi avvia una scansione della rete locale alla ricerca di sistemi raggiungibili su porte 135 (RPC), 445 (SMB) e 3389 (RDP). Una volta identificato un server di backup, SNOWGLAZE viene usato per instradare una sessione RDP verso di esso.

Sul server di backup avviene la fase critica: l’attaccante usa Windows Task Manager per eseguire il dump del processo LSASS (Local Security Authority Subsystem Service), catturando in chiaro tutti gli hash delle password degli account autenticati sul sistema, inclusi account privilegiati con accesso al dominio Active Directory. Il file di dump viene esfiltrato via LimeWire attraverso il tunnel SNOWGLAZE. Con gli hash estratti, e’ possibile effettuare attacchi pass-the-hash per autenticarsi come qualsiasi account del dominio, portando alla compromissione completa dell’infrastruttura AD.

Indicatori di compromissione (IoC)

# URL phishing (pattern)
https://service-page-[ID]-outlook.s3.us-west-2.amazonaws.com/update.html?email=

# C2 SNOWGLAZE (WebSocket)
wss://sad4w7h913-b4a57f9c36eb[.]herokuapp[.]com:443/ws

# C2 SNOWBELT (pattern URL S3)
https://[a-f0-9]{24}-[0-9]{6,7}-[0-9]{1}.s3.us-east-2.amazonaws[.]com

# SNOWBELT VAPID Key
BJkWCT45mL0uvV3AssRaq9Gn7iE2N7Lx38ZmWDFCjwhz0zv0QSVhKuZBLTTgAijB12cgzMzqyiJZr5tokRzSJu0

# File sospetti (dropper)
RegSrvc.exe    # binario AutoHotKey rinominato
Protected.ahk  # script AHK malevolo

# Directory estensione Chrome malevola
SysEvents/  # in %LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions

# Hash SHA256
SNOWGLAZE: 2fa987b9ed6ec6d09c7451abd994249dfaba1c5a7da1c22b8407c461e62f7e49
SNOWBELT background.js: 7f1d71e1e079f3244a69205588d504ed830d4c473747bb1b5c520634cc5a2477

Attribuzione e contesto

UNC6692 e’ classificato da Google/Mandiant come UNC (Uncategorized): non e’ ancora stata stabilita un’attribuzione definitiva a un paese o gruppo noto. Il profilo operativo mostra tuttavia caratteristiche interessanti: capacita’ di sviluppo malware custom elevate, pazienza tattica (la campagna di email bombing precede l’attacco di settimane) e una chiara preferenza per obiettivi aziendali con accesso privilegiato a infrastrutture IT. L’assenza di exploit zero-day puo’ indicare sia un operatore esperto che preferisce metodi OPSEC-sicuri, sia un gruppo finanziariamente motivato che ha ottimizzato il rapporto costo/impatto delle proprie operazioni.

Consigli per i difensori

La campagna UNC6692 mette in evidenza lacune difensive comuni negli ambienti enterprise. Sul fronte delle policy Microsoft Teams, e’ fondamentale limitare la possibilita’ per utenti esterni di contattare dipendenti interni tramite Teams: configurare una allowlist dei tenant esterni autorizzati e’ il primo passo. Sul fronte della protezione da email bombing, implementare rate limiting e filtri anti-spam aggressivi con alert su aumenti anomali di volume per singolo account. Per la protezione del browser, deployare policy Group Policy che blocchino l’installazione di estensioni Chrome non approvate e monitorare la creazione di nuove directory in %LOCALAPPDATA%. Monitorare il traffico verso sottodomini Heroku e bucket S3 non registrati come legittimi nel proprio inventario cloud. Infine, proteggere LSASS con Credential Guard su tutti i sistemi Windows 10/11 e Server 2019+: questa misura da sola avrebbe bloccato la fase piu’ critica dell’attacco documentato.

La campagna UNC6692/SNOW e’ un esempio paradigmatico di come il perimetro piu’ difficile da difendere non sia tecnico, ma umano: un dipendente stressato da un’inondazione di spam e “soccorso” da un collega del supporto IT e’ una vittima quasi inevitabile, indipendentemente dalla sofisticazione dell’infrastruttura di sicurezza aziendale.

(in)sicurezza digitale

2026-04-26 18:11:56

GlassWorm muta ancora: 73 estensioni “sleeper” su Open VSX pronte a svegliarsi come malware

Una campagna di supply chain attack di nuova generazione non aspetta di essere scoperta: prima si mimetizza, poi colpisce. È questa la logica dietro GlassWorm, un attore malevolo che ha trasformato il marketplace Open VSX in un campo minato di estensioni apparentemente legittime, pronte ad attivarsi dopo settimane di apparente innocenza.

La nuova ondata: 73 estensioni sleeper identificate

Il 25 aprile 2026, i ricercatori di Socket hanno pubblicato un’analisi approfondita rilevando 73 nuove estensioni per Open VSX — il registry alternativo a Visual Studio Marketplace, utilizzato principalmente dagli sviluppatori di VSCodium e Eclipse Theia — che mostrano caratteristiche riconducibili alla campagna GlassWorm. Almeno sei di queste estensioni si sono già “svegliate”, aggiornandosi per distribuire payload malevoli, mentre le restanti rimangono classificate come sleeper ad alta confidenza in attesa di attivazione.

Il meccanismo è elegante nella sua perversità: le estensioni vengono pubblicate con codice pulito, superano i controlli automatici del marketplace, accumulano installazioni e fiducia degli utenti — poi, attraverso un aggiornamento silenzioso o aggiungendo una dipendenza malevola, si trasformano in vettori di malware. Nessun exploit, nessun CVE: pura abuso della fiducia nella supply chain del software.

Evoluzione di una campagna persistente

GlassWorm non è un attore nuovo. La campagna è attiva almeno dal tardo 2024, con escalation progressive che si sono succedute nel corso del 2025-2026. A dicembre 2025 furono rilevate le prime 24 estensioni impersonatrici; a febbraio 2026 si scoprì che un account sviluppatore compromesso era stato usato per propagare il malware; a marzo 2026 la campagna scalò a 72 estensioni attive su Open VSX con diffusione tramite abuso di dipendenze. L’ondata di aprile 2026 rappresenta dunque l’evoluzione più sofisticata finora osservata.

Gli obiettivi rimangono costanti: furto di segreti di sviluppo (API key, token, credenziali), svuotamento di wallet di criptovalute, e trasformazione dei sistemi infetti in proxy per ulteriori attività criminali. Il target primario sono sviluppatori che lavorano su macOS, Linux e Windows con ambienti basati su VS Code o suoi fork.

Tecniche di attacco: la profondità della sleeper strategy

L’analisi di Socket rivela una serie di pattern tecnici ricorrenti nell’attuale cluster di 73 estensioni. I publisher sono account GitHub neonati, con una o due repository pubbliche: una repository vuota con nome composto da otto caratteri casuali e una contenente il codice dell’estensione. Questo pattern serve a superare le verifiche di identità del marketplace, che richiedono un profilo GitHub associato.

Le estensioni impersonano utility popolari — ad esempio il language pack turco per VS Code — usando la stessa icona, un nome simile e contenuti copiati dal pacchetto legittimo. Una volta guadagnata la fiducia degli utenti, la delivery del malware avviene in due modalità principali: aggiornamento diretto dell’estensione per includere codice offuscato, oppure aggiunta di una dipendenza da un’estensione separata che contiene il loader GlassWorm, sfruttando il fatto che l’installazione di un’estensione può portare all’installazione automatica di tutte le sue dipendenze dichiarate.

I payload attivati al momento includono: VSIX malevoli ospitati su GitHub, binari nativi firmati con certificati rubati, JavaScript offuscato con tecniche di code splitting per sfuggire all’analisi statica. Il loader GlassWorm, una volta eseguito nell’ambiente VS Code, ha accesso allo stesso filesystem, alle variabili d’ambiente e ai token di sessione dell’IDE — un privilegio enorme che permette di esfiltrare le credenziali di ogni servizio cloud configurato nello strumento di sviluppo.

Contesto più ampio: l’ecosistema VS Code come vettore sistemico

GlassWorm rappresenta un sintomo di una vulnerabilità strutturale: gli ecosistemi di estensioni per editor di codice sono intrinsecamente difficili da proteggere. A differenza dei package manager come npm o PyPI, dove esiste una cultura più consolidata di analisi della sicurezza, i marketplace di estensioni IDE tendono ad avere meccanismi di revisione più leggeri e una percezione del rischio più bassa da parte degli utenti. Un desarrollatore che installa un’estensione VS Code raramente si chiede se stia introducendo un RAT nella propria workstation.

La tecnica della sleeper extension è particolarmente insidiosa perché richiede pazienza da parte dell’attaccante — una caratteristica tipica di campagne sponsorizzate da attori con risorse significative. Non è ancora stata stabilita un’attribuzione definitiva per GlassWorm, ma il livello di sofisticazione e persistenza suggerisce un gruppo criminale strutturato o un attore nation-state interessato alla compromissione di pipeline di sviluppo software.

Indicatori di compromissione (IoC)

# Pattern publisher malevoli (account GitHub)
- Account con repository vuota a nome di 8 caratteri esadecimali
- Account creati tra gennaio e aprile 2026 senza storia pubblica

# Pattern nomi estensioni sospette (esempi noti)
- Estensioni che impersonano language pack (es. Turkish Language Pack for VSCode)
- Estensioni con nomi che differiscono di un carattere da quelle legittime

# Comportamenti runtime sospetti
- Lettura di variabili d'ambiente (PATH, HOME, credenziali cloud)
- Connessioni in uscita verso bucket S3 su us-east-2 o us-west-2
- Caricamento dinamico di script da URL GitHub Raw

# Repository di tracking
https://socket.dev/glassworm-v2  (lista aggiornata estensioni maligne)

Consigli per i difensori

Per chi gestisce ambienti di sviluppo, alcune misure concrete. Prima di tutto, applicare policy di allowlist per le estensioni VS Code/VSCodium approvate, impedendo l’installazione di estensioni non verificate dall’organizzazione. Monitorare con strumenti come Socket o Phylum le dipendenze dei progetti, incluse quelle delle estensioni IDE. Configurare il traffico di rete delle workstation degli sviluppatori per rilevare connessioni anomale verso S3 bucket sconosciuti o hostname Heroku. Abilitare la telemetria degli IDE aziendali e integrarla nel SIEM per rilevare accessi insoliti al keychain o alle variabili d’ambiente. Infine, considerare l’adozione di ambienti di sviluppo containerizzati o in sandbox, dove l’impatto di un’estensione compromessa è limitato al container.

Socket mantiene una pagina dedicata al tracking di GlassWorm v2 con l’elenco aggiornato delle estensioni malevole identificate: consultarla periodicamente è una misura di igiene minima per chi usa Open VSX. La campagna è ancora attiva e il numero di sleeper non ancora attivati — stimato in oltre 60 — suggerisce che il peggio non sia ancora avvenuto.

(in)sicurezza digitale

2026-04-26 10:03:13

Operation Level Up: DoJ smantella il compound Shunda Park in Myanmar e sanziona il senatore cambogiano Kok An

Il Dipartimento di Giustizia degli Stati Uniti ha sferrato un attacco coordinato contro uno dei nodi più oscuri del cybercrimine organizzato in Asia sudorientale: lo Scam Center Strike Force ha incriminato due cittadini cinesi per aver gestito il compound Shunda Park in Myanmar, mentre l’OFAC ha sanzionato il senatore cambogiano Kok An e 28 entità collegate. L’operazione ha portato al sequestro di 503 siti web falsi di investimento in criptovalute e al recupero di oltre 562 milioni di dollari.

Lo Scam Center Strike Force e l’operazione Level Up

L’operazione è stata condotta nell’ambito di due iniziative parallele: Operation Level Up, focalizzata sul contrasto delle truffe di crypto-investimento, e lo Scam Center Strike Force, task force interagenziale del DoJ dedicata allo smantellamento dei compound criminali del Sudest asiatico. Complessivamente, le azioni coordinate hanno interrotto circa 9.000 casi di frode con criptovalute e bloccato oltre 700 milioni di dollari in asset digitali legati al riciclaggio di denaro.

I due imputati principali, Huang Xingshan e Jiang Wen Jie, sono stati incriminati per cospirazione in frode telematica. Huang Xingshan avrebbe supervisionato il controllo coercitivo sui lavoratori trafficked nel compound, mentre Jiang Wen Jie dirigeva direttamente le operazioni di scam. Entrambi si trovano attualmente in custodia in Thailandia, dove erano stati arrestati all’inizio del 2026 per violazioni delle leggi sull’immigrazione nel tentativo di rientrare in Myanmar.

Shunda Park: anatomia di un compound criminale

Il compound Shunda Park si trovava nel villaggio di Min Let Pan, nello Stato del Karen (Myanmar), in una zona controllata da milizie locali nella regione di confine con la Thailandia. Ha operato da almeno gennaio 2025 fino a novembre 2025, quando è stato sequestrato dal Karen National Liberation Army (KNLA). Questa dinamica rivela un dato significativo: i compound criminali del Sudest asiatico operano spesso in zone dove l’autorità statale è frammentata o assente, appoggiandosi a milizie e strutture paramilitari.

Secondo la documentazione del DoJ, le vittime dei reclutatori venivano attratte con offerte di lavoro ben retribuito in Thailandia nel settore tecnologico. Una volta giunte nella zona, i documenti d’identità venivano confiscati e i soggetti venivano trafficati in Myanmar e costretti a lavorare sotto minaccia di violenza. Le testimonianze raccolte dall’FBI descrivono condizioni di lavoro forzato in un’operazione industriale di frode.

Il meccanismo del “pig butchering”

Le truffe perpetrate da Shunda Park seguivano il classico schema del pig butchering (in cinese: 杀猪盘, shā zhū pán): i truffatori stabilivano relazioni personali con le vittime attraverso piattaforme di social networking e app di dating, costruendo nel tempo un rapporto di fiducia. Una volta guadagnata la fiducia della vittima, la conversazione veniva progressivamente indirizzata verso presunte opportunità di investimento in criptovalute su piattaforme false create ad hoc. Le vittime venivano incoraggiate a depositare somme crescenti, con la promessa di rendimenti straordinari visualizzati su dashboard manipolate, fino a quando i truffatori sparivano con i fondi.

Questa tecnica è particolarmente efficace perché i criminali dedicano settimane o mesi alla costruzione del rapporto, rendendo le vittime emotivamente investite prima di introdurre il componente finanziario. Le perdite individuali documentate nei casi americani raggiungono spesso centinaia di migliaia di dollari.

La rete di Kok An: senatore, casinò e human trafficking

Parallelamente alle incriminazioni penali, l’OFAC (Office of Foreign Assets Control) ha designato il senatore cambogiano Kok An, assieme al suo impero di affari, 28 individui e entità correlate — tra cui casinò, società di facciata e una banca cambogiana. Le designazioni documentano il ruolo di Kok An nel fornire infrastrutture fisiche e finanziarie ai network di human trafficking e frode cyber-enabled in Cambogia e nella regione.

L’inclusione di un senatore in carica tra i soggetti sanzionati rappresenta una mossa diplomaticamente significativa, segnalando la disponibilità dell’amministrazione americana a colpire direttamente figure politiche regionali che proteggono o facilitano queste operazioni. Esperti del settore avvertono tuttavia che i compound criminali, già dimostratasi resiliente, probabilmente si rilocalizzeranno piuttosto che cessare le operazioni.

Infrastruttura digitale sequestrata

Sul fronte digitale, l’operazione ha portato a risultati tangibili: sequestro di 503 siti web di investimento fake in criptovalute, abbattimento di un canale Telegram con oltre 6.000 follower usato per reclutare lavoratori forzati in Cambogia, blocco di oltre 700 milioni di dollari in criptovalute legate al riciclaggio. Questi numeri evidenziano la scala industriale dell’operazione: non si tratta di piccoli gruppi criminali, ma di organizzazioni con infrastrutture tecnologiche, risorse umane forzate, e strutture finanziarie sofisticate.

Il contesto geopolitico: Asia sudorientale come hub del cybercrimine

I compound criminali di Myanmar, Cambogia, Laos e Filippine sono emersi negli ultimi anni come il principale hub globale delle truffe online. Secondo le stime delle Nazioni Unite, centinaia di migliaia di persone sono vittime di trafficking forzato in questi compound. La particolarità di questa criminalità organizzata è la sua doppia natura: è contemporaneamente una crisi di human trafficking e una minaccia di cybercrimine sofisticato, con vittime sia tra i lavoratori forzati che tra le persone truffate.

Le azioni dell’amministrazione americana vanno lette anche in chiave geopolitica: la presenza di criminali cinesi alla guida di operazioni in Myanmar, unita alla complicità di figure politiche cambogiane, configura una rete di illegalità che attraversa le sfere di influenza della regione. La risposta americana con sanzioni OFAC e incriminazioni penali tenta di esercitare pressione su attori che operano fuori dalla giurisdizione diretta degli Stati Uniti.

Implicazioni per i difensori e indicatori di allerta

Per i professionisti della sicurezza, l’operazione Level Up offre spunti operativi utili. Le piattaforme di investimento in criptovalute false utilizzate nei pig butchering scam mostrano pattern infrastrutturali ricorrenti: domini registrati di recente con nomi che imitano exchange legittimi, certificati TLS validi ma hosting su provider offshore, assenza di registrazioni presso autorità di regolamentazione finanziaria, e dashboard di investimento con rendimenti manipolati in tempo reale.

Pattern infrastrutturali dei siti fake sequestrati:
- Registrazione dominio: <90 giorni prima del sequestro
- Hosting: provider offshore (generalmente Asia/Est Europa)
- TLD comuni usati: .vip, .top, .xyz, .pro
- Pattern nome dominio: [exchange-legittimo]-[suffisso] (es. coinbase-pro-vip[.]com)
- Assenza di registrazione SEC/FCA/CONSOB

Indicatori di una truffa pig butchering:
- Contatto non sollecitato via app di dating o social
- Proposta di investimento in crypto dopo periodo di "amicizia"
- Piattaforma di trading non verificabile su registri ufficiali
- Richiesta di deposit in crypto (irreversibile)
- "Rendimenti" visibili ma impossibilità di prelevare fondi

L’operazione Level Up dimostra che le forze dell’ordine internazionali stanno affinando le capacità di tracking delle criptovalute per seguire il flusso di fondi anche attraverso mixer e chain-hopping. La collaborazione tra FBI, OFAC e forze locali regionali rappresenta il modello operativo necessario per contrastare criminalità che, per definizione, ignora i confini nazionali.

(in)sicurezza digitale

2026-05-03 15:43:34

CVE-2026-41940: il bug CRLF di cPanel che ha consegnato 44.000 server al ransomware “Sorry”

Quando il 28 aprile 2026 WebPros International ha pubblicato la patch per CVE-2026-41940, la vulnerabilità critica nel suo pannello di controllo hosting cPanel & WHM, era già tardi per decine di migliaia di server. Gli attaccanti avevano sfruttato la falla in silenzio almeno dall’inizio di marzo — forse da febbraio — trasformandola nel vettore di accesso iniziale per una campagna ransomware attiva e distruttiva denominata Sorry. Con un CVSS di 9.8 su 10 e oltre 1,5 milioni di installazioni cPanel nel mondo, l’impatto potenziale di questa vulnerabilità è difficile da sopravvalutare.

La Meccanica dell’Attacco: CRLF Injection nel Daemon di Autenticazione

A differenza dei classici buffer overflow o delle SQL injection, CVE-2026-41940 sfrutta un meccanismo sottile ma devastante: un’iniezione CRLF (Carriage Return Line Feed) nel processo di login e caricamento delle sessioni di cpsrvd, il daemon principale di cPanel.

Il flusso di autenticazione di cPanel prevede che cpsrvd scriva un nuovo file di sessione su disco prima che l’autenticazione vera e propria sia completata. Questo comportamento, probabilmente introdotto per ottimizzare le performance, diventa fatale in presenza della vulnerabilità. Un attaccante non autenticato può manipolare il cookie whostmgrsession omettendo un segmento atteso del suo valore, bypassando così il processo di cifratura della sessione. Iniettando caratteri raw attraverso un header di autorizzazione HTTP appositamente costruito, l’attaccante forza il sistema a scrivere il file di sessione senza sanitizzare l’input, permettendo l’inserimento di proprietà arbitrarie come user=root.

Il risultato finale: accesso amministrativo completo al server hosting, alle sue configurazioni, ai database e a tutti i siti web che gestisce — senza fornire alcuna credenziale valida. La Shadowserver Foundation ha rilevato sin da subito decine di migliaia di IP che scansionavano attivamente honeypot alla ricerca di istanze vulnerabili.

Timeline: Zero-Day Sfruttato per Mesi

La ricostruzione della timeline rivela un gap di esposizione particolarmente preoccupante:

• Febbraio 2026 (data presunta): prime evidenze di sfruttamento nei log di server compromessi
• 23 febbraio 2026: data confermata di prime attività malevole documentate da Shadowserver e altri sensori
• 28 aprile 2026: WebPros pubblica security advisory e rilascia la patch (versioni corrette: 118.0.38, 120.0.23, 122.0.6)
• 1 maggio 2026: CISA aggiunge CVE-2026-41940 al catalogo KEV, imponendo alle agenzie federali US l’aggiornamento entro 3 settimane
• 2-3 maggio 2026: BleepingComputer documenta almeno 44.000 host cPanel compromessi; centinaia di siti già indicizzati da Google con evidenza di deface e ransomware

Il fatto che la vulnerabilità fosse nota agli attaccanti almeno due mesi prima della patch suggerisce o una scoperta interna da parte del gruppo criminale, o un acquisto sul mercato zero-day. In entrambi i casi, la finestra di esposizione è stata sufficiente per costruire un’infrastruttura di attacco scalabile.

Il Ransomware “Sorry”: un Linux Encryptor Progettato per i Server Hosting

Una volta ottenuto l’accesso root via CVE-2026-41940, gli attaccanti non si limitano alla ricognizione o all’esfiltrazione di dati: distribuiscono direttamente un encryptor Linux denominato Sorry, progettato specificamente per ambienti server e hosting. Il payload agisce su filesystem ext4 e XFS, prende di mira le directory tipiche degli stack web LAMP/LEMP (/home/*/public_html, /var/www, database MySQL in /var/lib/mysql) e cifra i file aggiungendo l’estensione .sorry. La ransom note lasciata sui sistemi compromessi include un indirizzo di contatto su rete Tor e una richiesta di pagamento in Bitcoin o Monero.

L’aspetto più insidioso per i provider hosting è che un singolo server cPanel compromesso può ospitare centinaia o migliaia di siti di clienti diversi. La compromissione di un account root su cPanel non è una violazione singola: è una catastrofe di scala industriale per chi gestisce hosting condiviso o rivenditori (reseller). Il provider hosting si trova così a dover comunicare la violazione a ogni singolo cliente presente sul server, con implicazioni legali e reputazionali enormi.

Impatto Globale: 1,5 Milioni di Installazioni a Rischio

Secondo le stime di Picus Security e Bitsight, al momento della divulgazione pubblica esistevano oltre 1,5 milioni di installazioni cPanel/WHM esposte su Internet. Watchtowr Labs, che ha pubblicato un’analisi tecnica con proof-of-concept, ha definito la situazione “The Internet Is Falling Down”, un titolo che rende l’idea della portata del problema. Rapid7 ha confermato l’elevata sfruttabilità nel suo Emergency Threat Response.

cPanel è il pannello di controllo hosting più diffuso al mondo, utilizzato non solo da grandi provider ma anche da decine di migliaia di piccole aziende di hosting e rivenditori. Molte di queste realtà non dispongono di processi di patch management strutturati, il che ha contribuito a mantenere alta la percentuale di installazioni non aggiornate anche giorni dopo la pubblicazione della fix.

Indicatori di Compromissione (IoC)

# Estensione aggiunta ai file cifrati dal ransomware Sorry
*.sorry
# Ransom note lasciata sui sistemi colpiti
READ_ME_SORRY.txt
# Pattern header malevolo rilevato nei log (CRLF injection)
# Authorization: Basic contiene \r\n seguito da user=root
# Percorsi sospetti post-exploit
/var/cpanel/sessions/raw/[stringa_casuale_anomala]
/tmp/.cpanel_*
/root/.bash_history con comandi curl/wget verso .onion o IP anomali
# Verifica crontab aggiunti
crontab -l -u root | grep -vE '^(#|$)'
# Versioni cPanel vulnerabili (da aggiornare immediatamente)
# Tutte le versioni precedenti a: 118.0.38 / 120.0.23 / 122.0.6
# Fonti IoC aggiornati
# https://bazaar.abuse.ch/browse/tag/sorry-ransomware/
# https://www.shadowserver.org/

Azioni di Difesa Immediate

Priorità assoluta: aggiornare cPanel & WHM alle versioni 118.0.38, 120.0.23, 122.0.6 o superiori. La patch è applicabile tramite il meccanismo nativo (upcp --force da root).

• Audit retroattivo: ispezionare i log di cpsrvd in /usr/local/cpanel/logs/ alla ricerca di header Authorization anomali con caratteri non-ASCII o accessi root senza credenziali valide dal febbraio 2026 in poi
• Isolamento in caso di compromissione: se si sospetta l’intrusione, isolare immediatamente il server prima dell’analisi forense — il ransomware Sorry agisce rapidamente e la cifratura può avvenire in pochi minuti dall’accesso
• Verifica account e credenziali: controllare la presenza di nuovi account amministrativi, chiavi SSH non autorizzate in /root/.ssh/authorized_keys, crontab anomali
• Regole WAF/IDS: implementare firme per rilevare header Authorization HTTP contenenti sequenze CRLF (\r\n)
• Backup offsite: verificare che i backup siano conservati su storage disconnesso dalla macchina principale — i backup locali vengono cifrati insieme al server

CVE-2026-41940 è un caso esemplare di come vulnerabilità architetturali in software di infrastruttura ad alta diffusione possano trasformarsi in crisi su scala industriale. La finestra di due mesi tra sfruttamento attivo e patch pubblica, combinata con i ritardi nell’aggiornamento tipici del settore hosting, ha creato le condizioni ideali per una campagna ransomware sistematica. Per chi gestisce server cPanel, l’unica risposta razionale è aggiornare immediatamente e verificare retroattivamente la compromissione risalendo almeno a febbraio 2026.