L’Health Service Executive irlandese offre 750 € di compensazione alle vittime dell’attacco del 2021
A quattro anni dall’attacco ransomware Conti che paralizzò il sistema sanitario irlandese, l’HSE ha iniziato a offrire 750 € di compensazione agli individui colpiti, insieme a 650 € per le spese legali. Lo studio legale O’Dowd Solicitors, che rappresenta oltre 100 persone, ha confermato le prime offerte, definendole un passo significativo che riconosce la responsabilità dell’HSE nei confronti delle vittime.
L’attacco del 2021 resta il più grave mai avvenuto contro un servizio sanitario, con quasi 100.000 pazienti e membri dello staff coinvolti. Secondo l’HSE, sono in corso oltre 620 procedimenti legali e l’organizzazione afferma di aver investito molto nel rafforzare le proprie capacità di cyber sicurezza.

Microsoft corregge 57 vulnerabilità, inclusi tre zero-day, nel Patch Tuesday di dicembre 2025
L’ultimo Patch Tuesday dell’anno introduce correzioni per 57 falle, tra cui una vulnerabilità attivamente sfruttata e due zero-day divulgate pubblicamente. Tre problemi sono classificati come critici per il rischio di esecuzione di codice remoto.
La correzione più urgente riguarda CVE-2025-62221, una falla di escalation dei privilegi nel Windows Cloud Files Mini Filter Driver che può consentire l’accesso con privilegi SYSTEM. Microsoft ha inoltre risolto due zero-day: CVE-2025-64671, un problema di injection in GitHub Copilot per JetBrains, e CVE-2025-54100, una vulnerabilità PowerShell che permette l’esecuzione indesiderata di script tramite Invoke-WebRequest.
Aggiornamenti sono arrivati anche da Adobe, Fortinet, Google, Ivanti, React e SAP.

La polizia spagnola arresta un 19enne accusato di aver rubato 64 milioni di dati personali
La Polizia Nazionale spagnola ha arrestato a Barcellona un diciannovenne sospettato di aver violato nove aziende e rubato 64 milioni di record personali poi messi in vendita su forum hacker. Il giovane è stato rintracciato a Igualada, dove gli sono stati sequestrati computer e wallet di criptovalute.
I dati trafugati includevano nomi, indirizzi, email, numeri di telefono, numeri DNI e persino codici IBAN. In un caso separato, la cyberpolizia ucraina ha arrestato un 22enne che aveva sviluppato malware per compromettere automaticamente account online e gestiva una botnet di 5.000 profili.

Fortinet, Ivanti e SAP rilasciano patch urgenti per vulnerabilità critiche
Fortinet ha corretto CVE-2025-59718 e CVE-2025-59719, vulnerabilità con punteggio 9.8 che consentono a un attaccante non autenticato di aggirare l’accesso SSO di FortiCloud usando messaggi SAML manipolati.
Ivanti ha risolto una grave vulnerabilità di Stored XSS (CVE-2025-10573) in Endpoint Manager che permette l’esecuzione di JavaScript malevolo nei dashboard amministrativi.
SAP ha rilasciato patch per 14 vulnerabilità, tre delle quali critiche, tra cui una falla di code injection (punteggio 9.9) in SAP Solution Manager. Le organizzazioni sono invitate ad aggiornare immediatamente.

Aumento degli attacchi ransomware agli hypervisor guidato dal gruppo Akira
I ricercatori di Huntress segnalano un’impennata degli attacchi ransomware agli hypervisor: dal 3 percento della prima metà dell’anno al 25 percento nella seconda. Gli attaccanti prendono di mira gli hypervisor per ottenere il controllo di tutte le macchine virtuali gestite.
In diversi casi il ransomware è stato distribuito direttamente tramite l’hypervisor, aggirando completamente le difese degli endpoint. Gli aggressori hanno anche abusato di strumenti integrati come OpenSSL per cifrare i volumi delle VM. Huntress raccomanda MFA, patch tempestive, allow-listing dei binari e monitoraggio più approfondito dei log degli hypervisor.

Attori nordcoreani sospettati di sfruttare la vulnerabilità React2Shell
Secondo Sysdig, alcuni degli attacchi più sofisticati che sfruttano React2Shell (CVE-2025-55182) potrebbero essere attribuibili a gruppi nordcoreani. La vulnerabilità consente esecuzione di codice remoto non autenticata e colpisce React 19, Next.js, RedwoodSDK e altri framework.
Sono state osservate campagne avanzate che utilizzano EtherRAT, un impianto persistente che sfrutta smart contract Ethereum per il C2 e più meccanismi di persistenza Linux. Il loader criptato richiama tecniche usate nelle campagne Contagious Interview collegate alla Corea del Nord.
L’attribuzione resta incerta, ma gli indicatori suggeriscono un coinvolgimento del gruppo Lazarus o di attori affini.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.