Microsoft identifica il ransomware Medusa come affiliato agli attacchi Zero Day

Microsoft ha identificatoStorm-1175, ungruppo criminale informaticoasfondo finanziarioconsedein Cina, come l'attore dietro una serie diattacchiinrapidaevoluzioneche utilizzano il ransomware Medusa. Il gruppo è noto per sfruttaread alta velocità levulnerabilità zero-daye quelle recentemente divulgate (n-day) per ottenere l'accesso iniziale alle reti delle vittime.

Storm-1175passa rapidamente dalla compromissione iniziale all'esfiltrazione dei dati e alla distribuzione del ransomware, talvolta completando l'intera catena di attacco in meno di 24 ore. Il loro ritmo operativo è descritto come "ad alta velocità", con il gruppo che spesso sfrutta le vulnerabilità entro un giorno dalla loro divulgazione e in alcuni casi fino a una settimana prima che le patch siano disponibili.

Il gruppo ha preso di mira organizzazioni nei settori della sanità, dell'istruzione, dei servizi professionali e della finanza in Australia, Regno Unito e Stati Uniti. Le loro campagne hanno comportato lo sfruttamento di oltre 16 vulnerabilità in prodotti aziendali ampiamente utilizzati, tra cui Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail e BeyondTrust. I principalizero-daysfruttatiincludonoCVE-2025-10035(GoAnywhere MFT),CVE-2026-23760(SmarterMail) e CVE-2026-1731 (BeyondTrust).

Ciò evidenzia che le organizzazioni, anche quelle con programmi di patch maturi, sono vulnerabili, ampliando il bacino di rischio e complicando le strategie difensive. Gli attori delle minacce sfruttano le vulnerabilità zero-day prima che esistano le patch.

L'attacco al cloud della Commissione europea colpisce 30 enti dell'UE

Il Servizio di sicurezza informatica dell'Unione europea (CERT-EU) ha confermato che l'ambiente cloud AWSdellaCommissione europeaè stato violato dal gruppo di minacce TeamPCP, esponendo dati sensibili appartenenti sia alla Commissione che ad almeno altre 29 entità dell'UE.

L'intrusione è iniziata il 10 marzo, quando gli aggressori hanno utilizzato una chiave API AWS compromessa conautorizzazionidilivellogestionale, rubata durante lacompromissionedella catena difornituradi Trivy, per accedereai sistemi clouddellaCommissione. Una volta entrati, gli aggressori hanno utilizzato TruffleHog per cercare ulteriori segreti, hanno creato una nuova chiave di accesso per eludere il rilevamento e hanno continuato la ricognizione interna e il furto di dati.

Il 28 marzo, il gruppo di estorsori ShinyHunters ha pubblicato sul dark web un archivio compresso di 90 GB (circa 340 GB non compresso), contenente: Nomi, indirizzi e-mail, contenuti e-mail, decine di migliaia di file con dati personali e organizzativi. I dati esfiltrati riguardano fino a 71 clienti del servizio di web hosting Europa dell'UE: 42 clienti interni della Commissione europea e almeno 29 altre entità dell'Unione.

Il TeamPCP è collegato a più ampiattacchiallacatenadi approvvigionamentoche coinvolgono gli ecosistemi GitHub, PyPI, NPM e Docker. In precedenza ha compromesso il pacchetto LiteLLM PyPI e ha distribuito il malware TeamPCP Cloud Stealer su decine di migliaia di sistemi colpiti.

Questo incidente segue una serie di eventi, come già menzionato, che si ricollegano a un più ampio attacco alla catena di approvvigionamento, mostrando come la compromissione di strumenti di^terze parti o open-source possa portare direttamente a violazioni di livello istituzionale. Inoltre, la pubblicazione pubblica di questo set di dati crea rischi di esposizione a lungo termine, tra cui phishing, abuso di credenziali e raccolta di informazioni da parte di attori ostili.

Hacker nordcoreani distribuiscono oltre 1.700 pacchetti Open Source dannosi

Una campagna informatica legata alla Corea del Nord, nota come "Contagious Interview", ha ampliato in modo significativo leoperazionisullacatenadi approvvigionamento del softwaredistribuendo più di 1.700 pacchetti dannosi in diversiecosistemiopensource, tra cui npm, PyPI, Go, Rust e Packagist. Questi pacchetti sono stati creati per impersonare strumenti legittimi per gli sviluppatori, consentendo agli aggressori di infiltrarsi negli ambienti di sviluppo attraverso canali fidati. I ricercatori hanno notato che gli avversari hanno incorporato caricatori di malware all'interno di questi pacchetti, consentendo loro di fornirepayloaddisecondolivellospecificiper la piattaforma, progettati per lo spionaggio e il guadagno finanziario.

I payload dannosi distribuiti attraverso questi pacchetti possiedono una serie di capacità pericolose. Molti agiscono come ruba-informazioni, raccogliendo dati del browser, password e informazioni sui portafogli di criptovalute. Alcune varianti, in particolare quelle fornite tramite il pacchetto PyPIlicense-utils-kit, funzionano comeimpianticompletipost-compromissione, consentendo l'esecuzione di comandi remoti, il keylogging, l'esfiltrazione di dati, la manipolazione del browser, il caricamento di file e l'installazione distrumentidi accessoremotocome AnyDesk.

Ciò che rende questa campagna particolarmente furtiva è la tecnica degli aggressori di incorporare il codice dannoso all'interno difunzionidall'aspettonormaleche gli sviluppatori potrebbero utilizzare abitualmente. A differenza dei pacchetti dannosi convenzionali, che eseguono il codice dannoso immediatamente dopo l'installazione, questi pacchetti nascondono la logica all'interno di funzionalità legittime.

L'elenco completo dei pacchetti identificati è il seguente

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust: logtrace
• Packagist: golangorg/logkit

la scoperta di oltre 1.700 pacchetti dannosi dall'inizio del 2025 dimostra unaminacciaaltamente coordinata eben finanziatadellacatenadi approvvigionamento, progettata per compromettere gli sviluppatori su scala. Prendendo di mira ecosistemi di sviluppo ampiamente utilizzati, gli operatori nordcoreani mirano a infiltrarsi nelle organizzazioni durante le prime fasi del ciclo di vita del software, facilitando sia lo spionaggio che il furto finanziario.

Il BKA identifica i leader del REvil dietro 130 attacchi ransomware tedeschi

L'Ufficio federale di polizia criminale (BKA) tedesco ha identificato e smascherato due membri chiave dell'ormaidefuntogruppo diransomware-as-a-serviceREvil (Sodinokibi), collegandoli a 130 attacchi ransomware in Germania tra il 2019 e il 2021. Il primo, precedentemente conosciuto con lo pseudonimo UNKN, è stato rivelato come Daniil Maksimovich Shchukin, uncittadino russodi31anniche ha utilizzato anche diversi moniker online come Oneiilk2, Oneillk2, Oneillk22 e GandCrab. Shchukin ha svolto il ruolo di rappresentante dell'operazione, pubblicizzando REvil sui forum di criminalità informatica e aiutando a reclutare gli affiliati. Il secondo individuo, Anatoly Sergeevitsch Kravchuk, si ritiene sia stato uno degli sviluppatori di REvil in quel periodo.

Secondo il BKA, le attività dei due sospetti hanno portato al pagamento di riscatti per 1,9 milioni di euro in 25 casi confermati, mentre i danni totali inflitti dai 130 attacchi hanno superato i 35,4 milioni di euro, tenendo conto dell'interruzione dell'attività, della perdita di dati e dei costi di recupero. REvil, un'evoluzione del ransomware GandCrab, è stata una delle operazioni di ransomware più prolifiche, responsabile di gravi incidenti globali prima di scomparire improvvisamente nel luglio 2021. Il gruppo è riemerso brevemente, ma alla fine è crollato a seguito diazionidicontrastointernazionali.

La Romania aveva precedentemente arrestato due affiliati e l'FSB russo ha riferito nel gennaio 2022 di aver arrestato diversi membri di REvil e smantellato parti del gruppo. Secondo i media russi, nell'ottobre 2024 quattro membri di REvil sono stati condannati alla prigione.

Operazioni di ransomware Qilin e Warlock: Catena di morte EDR basata su BYOVD

Gli attori delle minacce dietro le operazioni di ransomware Qilin e Warlock hanno adottato una tecnica di evasione molto avanzata nota come Bring Your Own Vulnerable Driver (BYOVD) per disabilitare gli strumenti di sicurezza sui sistemi infetti. Secondo una ricerca di Cisco Talos e Trend Micro, entrambi i gruppi utilizzanodriverin modalitàkernelfirmati ma vulnerabiliper bypassare le moderne protezioni EDR (Endpoint Detection and Response), eliminando di fatto oltre 300 diversi driver EDR dei principali fornitori. Questa tecnica consente agli operatori di ransomware di ottenere unaccessodi bassolivelloalsistema e di smantellare i livelli difensivi prima di distribuire i loro payload, rendendo il rilevamento e la prevenzione molto più difficili.

Nel caso di Qilin, l'attacco inizia con una DLL dannosa denominata msimg32.dll, fornita tramite DLLside-loading, che attiva unloadera piùstadiprogettato per essere eseguito furtivamente in memoria. Questo loader neutralizzagli hookinmodalitàutente, sopprime la registrazione degli eventi di Windows e oscura le chiamate API per evitare il rilevamento. Una volta eseguito, il malware carica due driver vulnerabili: rwdrv.sys, una versione rinominata di ThrottleStop.sys che garantisce l'accesso grezzo alla memoria fisica, e hlpdrv.sys, che termina i processi EDR. Questi driver , già visti in precedenza negli episodi di ransomware Akira e Makop, vengono utilizzati per spianare la strada alla distribuzione finale del ransomware disabilitando i componenti di sicurezza a livello di kernel.

Warlock (noto anche come Water Manaul) utilizza un approccio simile, ma con un propriodrivera livello dikernel, NSecKrnl.sys, sfruttando le vulnerabilità per disabilitare gli strumenti di sicurezza prima di distribuire il ransomware in rete. Warlock di solito penetra nelle organizzazioni sfruttando i server Microsoft SharePoint senza patch, trascorrendo fino a 15 giorni all'interno degli ambienti delle vittime per condurre una ricognizione, esfiltrare i dati e posizionarsi per ottenere il massimo danno.

Nel complesso, l'adozione diffusa di BYOVD da parte di diversi gruppi di ransomware, in particolare Qilin e Warlock, segnala un cambiamento critico nel panorama delle minacce.Le tecniche di aggiramento dell'EDRalivellodi kernel, un tempo considerate avanzate, sono ora mainstream in tutto l'ecosistema ransomware, rendendo le organizzazioni che si affidano agli strumenti EDR sempre più vulnerabili, a meno che non implementino un rigoroso elenco di driverammessi,protezionibasatesull'hardwarecome HVCI e una rapida patch deidrivervulnerabilidi terze parti.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.