L'Italia blocca i sospetti attacchi informatici russi in vista delle Olimpiadi invernali

Le autorità italiane hanno confermato di aver sventato una serie di attacchi informatici che hanno preso di mira le infrastrutture governative e i siti web legati ai Giochi Olimpici nei giorni precedenti le Olimpiadi invernali. Il Ministro degli Esteri Antonio Tajani ha dichiarato che gli attacchi erano di origine russa e comprendevano tentativi di interrompere i sistemi del Ministero degli Esteri italiano, un sito dell'ambasciata a Washington D.C. e piattaforme online collegate ai Giochi e agli hotel di Cortina d'Ampezzo.

La tempistica ha sollevato preoccupazioni, dato che le Olimpiadi invernali inizieranno questa settimana e la Russia non potrà gareggiare come nazione a causa della guerra in corso in Ucraina. Solo un numero limitato di atleti russi può partecipare sotto una bandiera neutrale.

L'incidente evidenzia anche la crescente tensione geopolitica intorno alla sicurezza informatica. Negli Stati Uniti, i recenti commenti del Presidente Donald Trump, secondo cui la Russia non è considerata una grande minaccia informatica, hanno attirato le critiche degli esperti. Nel frattempo, i funzionari statunitensi hanno continuato ad avvertire pubblicamente dei rischi informatici provenienti da Cina e Iran, sottolineando le diverse percezioni delle minacce in un momento delicato per gli eventi globali.

Gruppi di ransomware sfruttano la falla critica di VMware ESXi

Il CISA ha confermato che gruppi di ransomware stanno attivamente sfruttando CVE-2025-22225, una vulnerabilità di VMware ESXi ad alta gravità che consente agli aggressori di sfuggire all'isolamento delle macchine virtuali e di ottenere il controllo dell'hypervisor sottostante. La falla, patchata da Broadcom nel marzo 2025, è classificata come Importante con un punteggio CVSS di 8,2 e consente scritture arbitrarie del kernel dal processo VMX.

La vulnerabilità è stata divulgata insieme ad altri due zero-day, CVE-2025-22224 e CVE-2025-22226, che gli aggressori stanno concatenando per ottenere l'evasione completa della VM. Il CISA ha aggiunto CVE-2025-22225 al suo catalogo delle vulnerabilità sfruttate, richiedendo alle agenzie federali statunitensi di applicare una patch secondo il BOD 22-01.

Informazioni recenti collegano la falla a campagne di ransomware attive che prendono di mira gli hypervisor aziendali, spesso dopo un accesso iniziale a livello di amministratore. Con decine di migliaia di istanze ESXi esposte ancora senza patch, le organizzazioni sono invitate ad applicare immediatamente gli aggiornamenti, a limitare i privilegi amministrativi e a monitorare gli indicatori di compromissione per ridurre il rischio di crittografia diffusa e furto di dati.

Operatore in incognito del mercato degli stupefacenti del dark web incarcerato per 30 anni

Un uomo di Taiwan è stato condannato a 30 anni di carcere per aver gestito Incognito Market, uno dei più grandi mercati online di stupefacenti al mondo, che ha facilitato oltre 105 milioni di dollari di vendite illegali di droga in tutto il mondo. Rui-Siang Lin, 24 anni, noto anche come Pharoah, si è dichiarato colpevole di riciclaggio di denaro e di molteplici accuse di associazione a delinquere finalizzata al traffico di droga, dopo il suo arresto nel maggio 2024.

I pubblici ministeri statunitensi hanno descritto Incognito Market come una vasta impresa criminale, che ospitava più di 1.800 venditori, oltre 400.000 account di clienti e centinaia di migliaia di transazioni. La piattaforma consentiva la vendita di oltre una tonnellata di stupefacenti, tra cui metanfetamina, cocaina, anfetamine e MDMA, con alcune sostanze addizionate di fentanil.

Il giudice Colleen McMahon ha definito il caso di droga più grave che abbia mai affrontato in quasi tre decenni, descrivendo l'operazione come un'attività che ha trasformato Lin in un boss della droga globale. Le forze dell'ordine hanno infine smantellato il mercato sequestrando i server chiave utilizzati per le transazioni, la protezione DDoS e i pagamenti in criptovaluta, ponendo fine all'operazione nel marzo 2024.

Il phishing guidato dall'intelligenza artificiale aumenta su una scala senza precedenti

L'attività di phishing ha subito una forte accelerazione nel 2025, con i filtri di sicurezza che hanno bloccato un'e-mail dannosa ogni 19 secondi, più del doppio rispetto all'anno precedente, secondo i ricercatori. L'aumento è dovuto al fatto che gli attori delle minacce incorporano l'intelligenza artificiale direttamente nelle loro operazioni di phishing, consentendo di generare, adattare e distribuire campagne su scala.

L'ultima ricerca mostra che gli aggressori utilizzano l'intelligenza artificiale per produrre e-mail quasi impeccabili nelle lingue locali e per condurre campagne altamente personalizzate e polimorfiche che cambiano costantemente aspetto. Tre quarti degli URL di phishing sono unici, il che aiuta gli attacchi a eludere il rilevamento tradizionale. In particolare, il 18% delle e-mail di phishing non conteneva link o allegati, evidenziando la continua crescita della compromissione delle e-mail aziendali.

Il rapporto ha anche registrato un aumento del 105% nell'uso di strumenti di accesso remoto e un aumento del 204% nelle e-mail di phishing con consegna di malware. Con gli aggressori che abusano di software legittimi e infrastrutture in rapida evoluzione, i ricercatori avvertono che l'analisi post-delivery e la validazione umana sono ora fondamentali per identificare le minacce che eludono le difese perimetrali.

La falla SQL injection colpisce migliaia di siti WordPress

Più di 40.000 siti web WordPress sono stati esposti a rischi in seguito alla scoperta di una vulnerabilità SQL injection nel popolare plugin Quiz and Survey Master. La falla riguardava le versioni 10.3.1 e precedenti e poteva essere sfruttata da qualsiasi utente autenticato con accesso di livello Subscriber o superiore, ampliando in modo significativo la potenziale superficie di attacco.

Il problema derivava da una funzione API REST utilizzata per recuperare i dati delle domande dei quiz. Un parametro della richiesta, is linking, è stato erroneamente considerato numerico e inserito direttamente in una query del database senza un'adeguata convalida o sanitizzazione. Ciò ha permesso a un utente malintenzionato di iniettare comandi SQL aggiuntivi, consentendo potenzialmente un accesso non autorizzato ai database del sito.

La vulnerabilità, segnalata come CVE-2025-67987, è stata divulgata responsabilmente ed è stata ora risolta nella versione 10.3.2 del plugin. La patch impone una gestione rigorosa degli interi del parametro interessato, impedendo l'inserimento di input dannosi. Sebbene non vi siano prove di uno sfruttamento attivo, l'incidente evidenzia i rischi in corso all'interno di plugin ampiamente diffusi e l'importanza di una patch tempestiva e di pratiche di codifica sicure.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.