Il NCSC avverte gli operatori delle infrastrutture critiche nazionali di agire subito contro le gravi minacce informatiche

Il National Cyber Security Centre ha lanciato un severo avvertimento agli operatori delle infrastrutture critiche nazionali del Regno Unito, esortandoli ad agire immediatamente per difendersi da quelle che definisce "gravi" minacce informatiche. L'allarme fa seguito agli attacchi informatici coordinati di dicembre che hanno preso di mira l'infrastruttura energetica polacca utilizzando un malware, sottolineando il rischio reale per i servizi essenziali.

Jonathan Ellison, direttore dell'NCSC per la resilienza nazionale, ha sottolineato che l'interruzione dei servizi quotidiani non è una possibilità remota, ma una minaccia attiva e crescente. Ha invitato gli operatori dei settori dell'energia, dell'acqua, dei trasporti, della sanità e delle telecomunicazioni a rafforzare senza indugio le proprie difese informatiche e la propria resilienza.

Le minacce gravi sono definite come attacchi deliberati, altamente dirompenti o distruttivi, progettati per bloccare le operazioni, danneggiare i sistemi di controllo industriale o cancellare i dati per impedirne il recupero. In risposta, l'NCSC consiglia alle organizzazioni di migliorare il monitoraggio delle minacce, aumentare la consapevolezza della situazione e rendere più solide le reti attraverso best practice come il patching, il controllo degli accessi e l'autenticazione a più fattori.

Ellison ha anche sottolineato come il Cyber Security and Resilience Bill sia un passo fondamentale per rafforzare la difesa collettiva del Regno Unito contro le moderne minacce informatiche.

La Germania si muove verso la legalizzazione delle operazioni informatiche offensive

La Germania starebbe preparando una nuova legislazione che autorizzerebbe formalmente le sue agenzie di intelligence a condurre operazioni informatiche offensive contro attori ostili. Se approvata, la mossa porterebbe Berlino ad allinearsi maggiormente con il Regno Unito e gli Stati Uniti, entrambi i quali operano già in base a quadri giuridici più chiari per le contromisure informatiche.

Le misure proposte consentirebbero alle agenzie tedesche di impiegare capacità informatiche avanzate e guidate dall'intelligenza artificiale per rispondere agli attacchi e scoraggiare gli avversari in un panorama di minacce sempre più complesso. Le forze armate tedesche otterrebbero anche una maggiore autorità per rispondere alle "minacce ibride", in cui le operazioni informatiche, la disinformazione e la distruzione digitale si combinano con le attività militari convenzionali.

I funzionari sostengono che i conflitti moderni non sono più limitati ai campi di battaglia fisici e che le strategie di difesa nazionale devono evolversi di conseguenza. Si prevede una posizione di tolleranza zero per gli attacchi informatici contro le infrastrutture critiche, compresi i sistemi energetici, di trasporto e di aviazione.

Il tema sarà probabilmente al centro della prossima Conferenza sulla sicurezza di Monaco, in quanto i leader europei continuano a bilanciare la deterrenza informatica con le preoccupazioni relative all'escalation e al comportamento responsabile degli Stati nel cyberspazio.

Il Patch Tuesday di Microsoft corregge sei zero-days sfruttati

Il Patch Tuesday di febbraio 2026 di Microsoft fornisce aggiornamenti di sicurezza per 58 vulnerabilità, tra cui sei zero-day attivamente sfruttate e tre che sono state pubblicamente rivelate prima che fossero disponibili le correzioni. Cinque delle falle sono classificate come "Critiche" e comprendono rischi di elevazione dei privilegi e di divulgazione delle informazioni, con i problemi di elevazione dei privilegi che costituiscono la categoria complessiva più ampia di questo mese.

Particolarmente preoccupanti sono le vulnerabilità multiple di bypass delle funzioni di sicurezza che interessano Windows Shell, MSHTML e Microsoft Word, oltre alle falle sfruttate in Desktop Window Manager e Remote Desktop Services che potrebbero consentire agli aggressori di ottenere l'accesso a livello di sistema. Microsoft ha fornito pochi dettagli tecnici, ma molti dei problemi sono stati collegati allo sfruttamento nel mondo reale da parte di attori professionisti delle minacce.

Oltre alle correzioni delle vulnerabilità, Microsoft ha iniziato il rollout graduale dei nuovi certificati Secure Boot, sostituendo i certificati del 2011 che scadono nel giugno 2026. L'aggiornamento si basa su segnali di salute del dispositivo per ridurre il rischio di distribuzione.

Si consiglia alle organizzazioni di dare priorità alle patch, di rivedere i controlli degli accessi privilegiati e di monitorare i segni di sfruttamento, in particolare per quanto riguarda gli endpoint Windows e i servizi di accesso remoto.

Un gruppo di ransomware abusa degli strumenti di monitoraggio dei dipendenti

I ricercatori hanno scoperto un'intrusione ransomware in cui un membro della banda Crazy ransomware ha abusato di software legittimi di monitoraggio dei dipendenti e di supporto remoto per mantenere l'accesso alle reti aziendali. Gli aggressori hanno utilizzato Net Monitor for Employees Professional insieme allo strumento di assistenza remota SimpleHelp, consentendo loro di mimetizzarsi nella normale attività amministrativa mentre si preparavano silenziosamente alla distribuzione del ransomware.

Negli incidenti analizzati, l'attore della minaccia ha installato il software di monitoraggio direttamente dal sito del fornitore utilizzando le utility standard di Windows, ottenendo la possibilità di visualizzare i desktop, trasferire file ed eseguire comandi da remoto. Per una maggiore persistenza, SimpleHelp è stato installato utilizzando PowerShell e camuffato con nomi di file che assomigliano ad applicazioni affidabili, compresi i componenti di OneDrive. In questo modo è stato garantito l'accesso continuo anche se uno strumento è stato rimosso.

I ricercatori hanno anche osservato tentativi di disabilitare WindowsDefender e di configurare avvisi per l'attività dei portafogli di criptovalute, segnalando la preparazione di ransomware e furti. L'attività evidenzia una tendenza crescente nelle operazioni di ransomware che abusano di strumenti legittimi, rafforzando la necessità di monitorare il software di accesso remoto e di applicare l'MFA su tutti i servizi VPN.

Gli hacker sostenuti dagli Stati armano l'intelligenza artificiale negli attacchi informatici

Secondo i nuovi risultati del Threat Intelligence Group di Google, gli attori delle minacce sponsorizzati dagli Stati utilizzano sempre più spesso l'intelligenza artificiale generativa per supportare le operazioni informatiche dall'inizio alla fine. Gruppi legati a Cina, Iran, Corea del Nord e Russia sono stati osservati mentre utilizzavano il modello Gemini di Google per la ricognizione, la profilazione degli obiettivi, la creazione di esche di phishing, lo sviluppo di malware e l'attività successiva alla compromissione.

I ricercatori hanno scoperto che alcuni attori hanno utilizzato l'IA per analizzare le vulnerabilità, testare gli exploit, tradurre i contenuti e risolvere i problemi del codice maligno, mentre altri l'hanno sfruttata per accelerare le campagne di social engineering. In diversi casi, gli strumenti assistiti dall'intelligenza artificiale sono stati collegati a kit di phishing e framework di malware progettati per rubare le credenziali, distribuire payload di secondo livello ed eludere il rilevamento.

Google ha anche messo in guardia dai tentativi di estrarre e replicare i modelli di IA su scala attraverso il prompting automatico e la distillazione delle conoscenze, descrivendo questo come un crescente rischio per la proprietà intellettuale e la sicurezza. Sebbene non siano stati individuati passi da gigante dal punto di vista tecnico, Google si aspetta che l'IA diventi sempre più integrata nei flussi di lavoro degli aggressori, rafforzando la necessità di rafforzare il rilevamento, la sicurezza delle identità e la consapevolezza degli utenti man mano che le minacce guidate dall'IA maturano.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.