redmount.xyz

Nel cuore della conferenza DEF CON 2025 di Las Vegas nasce un’iniziativa che unisce etica hacker, urgenza nazionale e difesa delle infrastrutture critiche. Un gruppo di volontari composto da professionisti della cybersecurity, esperti di sistemi OT, ricercatori universitari, attivisti digitali e membri della community si sta organizzando per offrire supporto diretto e gratuito alle piccole utenze idriche statunitensi. Si tratta di realtà spesso trascurate dai finanziamenti pubblici, prive di risorse per proteggere i propri impianti da attacchi informatici sempre più frequenti. Il progetto, battezzato DEF CON Franklin, nasce come risposta concreta alla recente escalation di offensive cyber contro municipi e impianti rurali. Molti degli attacchi sono stati attribuiti a gruppi APT come i CyberAv3ngers, già noti per sabotaggi contro infrastrutture idriche in Israele e negli Stati Uniti. L’iniziativa prevede un’azione sinergica tra la comunità hacker e organizzazioni come la National Rural ...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Negli ultimi anni si è diffusa la voce secondo cui sarebbe possibile subire un furto semplicemente passando accanto a un malintenzionato dotato di POS portatile contactless. Il principio sembra semplice: un terminale NFC viene avvicinato alla tasca o alla borsa della vittima e, grazie alla tecnologia contactless, sottrae una somma di denaro senza bisogno di autorizzazioni visibili. Ma la realtà tecnica di questo scenario è più complessa, e merita un'analisi approfondita. Il protocollo EMV utilizzato dalle carte contactless integra meccanismi di sicurezza robusti basati su crittografia a chiave pubblica. Ogni transazione genera un cryptogram unico, firmato digitalmente, che rende l'operazione non riutilizzabile e impedisce efficacemente attacchi di replay. In modalità legittima, una transazione contactless prevede l’inserimento di un importo sul terminale, l’attivazione per un breve intervallo (tipicamente inferiore ai 30 secondi), e la comunicazione tra carta e POS a pochi cent...

Immagina di avere un assistente virtuale super intelligente, capace di rispondere a qualsiasi domanda, scrivere testi, analizzare dati e addirittura aiutarti con il codice. Ora immagina che qualcuno riesca a fargli fare cose che non dovrebbe, semplicemente... parlando con lui. Questo è il rischio degli attacchi chiamati prompt injection. I modelli linguistici come ChatGPT, Gemini o Claude funzionano “a comando”: gli scrivi una richiesta (chiamata prompt) e loro rispondono. Ma se l’attaccante nasconde un’istruzione maliziosa dentro un messaggio apparentemente innocuo, il modello potrebbe eseguire quel comando, senza rendersene conto. È come se una parola magica nascosta dentro un’email riuscisse a ipnotizzare l’assistente. Questa tecnica, che può sembrare fantascienza, è reale e già sfruttata. Si può usare per rubare dati, aggirare filtri, diffondere disinformazione o sabotare un’app che si affida a un modello linguistico. È un rischio concreto per tutti i sistemi che usano l’intelligen...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2. L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2. Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità: Un...

Il gruppo di criminali informatici noto come Scattered Spider ha ripreso a colpire, questa volta mirando a compagnie aeree e fornitori di servizi tecnologici collegati al settore dell’aviazione. L’FBI ha emesso un'allerta formale. Il gruppo è già noto per attacchi ad alto impatto nel 2023 contro MGM Resorts e Caesars Entertainment. I loro attacchi si basano su un’evoluzione sofisticata del social engineering. Fingendosi dipendenti legittimi, i membri del gruppo contattano l’helpdesk IT delle aziende vittime. Puntano a ottenere l’aggiunta di nuovi dispositivi di autenticazione multifattore (MFA) o il reset delle credenziali di accesso. In alcuni casi riescono a convincere gli operatori a disabilitare temporaneamente l’MFA. Tutto questo avviene senza l’utilizzo di malware tradizionale. La tecnica di base è il cosiddetto "MFA fatigue", ma potenziata da pretexting convincente e spoofing di chiamate. Utilizzano dati precedentemente sottratti da altre intrusioni o acquistati ne...

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...

Kevin Mitnick lo diceva da anni: “ L’anello debole della sicurezza informatica non è la tecnologia, sono le persone. ” E aveva ragione. In questi giorni ho letto della campagna messa in atto dal gruppo UNC6040, che ha utilizzato una versione malevola del Salesforce Data Loader per colpire aziende in Europa e America. Nessuna falla tecnica, nessuna vulnerabilità zero-day: solo ingegneria sociale ben fatta. Hanno convinto i dipendenti a installare il tool “truccato” fingendosi operatori IT, sfruttando la fiducia e la distrazione di chi si trova a lavorare sotto pressione. Funziona? Sì. Funziona ancora nel 2025, nonostante firewall, MFA e mille strumenti di sicurezza. Perché alla fine, basta una telefonata fatta bene. Non si sa ancora se tra le vittime ci siano aziende italiane, ma il punto non è chi è stato colpito oggi, bensì chi è vulnerabile domani. E la verità è che molte aziende italiane, soprattutto PMI, usano strumenti come Salesforce senza avere reali politiche di sicurezza o for...