I ricercatori rivelano che 30 siti sono stati colpiti da un attacco informatico contro l'infrastruttura energetica polacca

A fine dicembre, un attacco informatico coordinato ha preso di mira l'infrastruttura energetica decentralizzata della Polonia, colpendo diversi siti di risorse energetiche distribuite, tra cui impianti di cogenerazione e sistemi di dispacciamento eolici e solari. Sebbene gli aggressori abbiano danneggiato in modo irreparabile le apparecchiature tecnologiche operative, l'erogazione di energia non è stata interrotta. La capacità colpita ammonta a circa 1,2 GW, circa il 5% della fornitura nazionale.

I rapporti pubblici confermano la presenza di almeno 12 siti colpiti, anche se i ricercatori di Dragos ritengono che il numero reale sia più vicino a 30. L'assenza di blackout non deve essere vista come una rassicurazione. Al contrario, evidenzia la crescente esposizione dei sistemi energetici decentralizzati ad attacchi OT mirati.

I ricercatori hanno attribuito l'attività con moderata sicurezza a un attore di minacce legato alla Russia noto come Electrum, distinto ma sovrapponibile ad APT44. Il gruppo ha dimostrato una profonda conoscenza operativa, disabilitando le comunicazioni, corrompendo i dispositivi OT e cancellando i sistemi Windows. Sebbene sia improbabile che si verifichi un blackout a livello nazionale, i ricercatori avvertono che la destabilizzazione della frequenza avrebbe potuto innescare guasti a cascata, riecheggiando precedenti incidenti alla rete europea.

L'infrastruttura di aggiornamento dell'antivirus eScan è stata compromessa per spingere un aggiornamento dannoso

MicroWorld Technologies ha confermato che uno dei suoi server regionali di aggiornamento eScan è stato violato e utilizzato per distribuire un file dannoso a un numero limitato di clienti durante una finestra di due ore il 20 gennaio 2026. L'incidente ha interessato solo i sistemi che prelevavano gli aggiornamenti dal cluster regionale colpito, e l'azienda ha sottolineato che il prodotto eScan stesso non era vulnerabile.

Secondo eScan, un accesso non autorizzato alla configurazione del server di aggiornamento ha permesso di inserire un binario corrotto nel percorso di aggiornamento. L'infrastruttura interessata è stata isolata nel giro di poche ore, ricostruita e le credenziali sono state ruotate, mentre le notifiche ai clienti e le misure correttive sono state emesse poco dopo.

Ricercatori indipendenti hanno analizzato l'attività, riferendo che un componente di aggiornamento modificato è stato utilizzato per distribuire malware in più fasi, disabilitare ulteriori aggiornamenti e stabilire un accesso di comando e controllo. Sebbene le due parti contestino la tempistica della scoperta, entrambe raccomandano ai clienti di applicare gli aggiornamenti di correzione e di bloccare l'infrastruttura di comando e controllo associata per ridurre il rischio continuo.

La violazione dei dati di Soundcloud colpisce 29,8 milioni di account

SoundCloud ha confermato una grave violazione dei dati che ha interessato circa 29,8 milioni di account utente, in seguito all'accesso non autorizzato a una delle sue dashboard di servizi ausiliari nel mese di dicembre. Fondata nel 2007, la piattaforma di streaming audio ospita più di 400 milioni di brani di oltre 40 milioni di artisti in tutto il mondo, rendendo la portata dell'esposizione significativa.

L'azienda ha dichiarato che non è stato possibile accedere a password o dati finanziari. Tuttavia, le informazioni rubate includevano indirizzi e-mail, nomi, nomi utente, statistiche del profilo, avatar e, in alcuni casi, dati sulla posizione geografica. Molte di queste informazioni erano già visibili pubblicamente sui profili, ma l'incidente ha permesso agli aggressori di mapparle direttamente agli indirizzi e-mail su larga scala.

Il servizio di notifica delle violazioni dei dati Have I Been Pwned ha confermato la portata dell'esposizione questa settimana. SoundCloud ha riconosciuto che il responsabile è il gruppo di estorsori ShinyHunters, che ha tentato di estorcere denaro all'azienda e ha utilizzato tattiche di email flooding per molestare gli utenti e il personale.

L'incidente evidenzia il rischio crescente di attacchi di aggregazione di dati su larga scala, anche quando sono coinvolti insiemi di dati limitati.

Rimozione delle falle critiche dell'help desk web di SolarWinds

SolarWinds ha rilasciato aggiornamenti di sicurezza urgenti che risolvono diverse vulnerabilità critiche nel suo software Web Help Desk (WHD), tra cui difetti di bypass dell'autenticazione e di esecuzione di comandi remoti che potrebbero essere sfruttati da aggressori non autenticati. I problemi risolti includono due vulnerabilità di bypass dell'autenticazione e due falle separate di esecuzione di codice remoto, tutte classificate di gravità critica e sfruttabili in attacchi di bassa complessità.

I ricercatori hanno segnalato le vulnerabilità, evidenziando i punti deboli che potrebbero consentire agli aggressori di eseguire comandi da remoto senza credenziali valide. SolarWinds ha inoltre risolto un problema di elevata gravità relativo alle credenziali hardcoded che, in determinate condizioni, poteva garantire un accesso non autorizzato alle funzioni amministrative.

Gli amministratori sono invitati ad aggiornare alla versione 2026.1 di Web Help Desk il prima possibile. L'avvertimento è particolarmente acuto data la storia di sfruttamento attivo di Web Help Desk, con le precedenti falle aggiunte al catalogo delle vulnerabilità sfruttate note della CISA.

Poiché WHD è ampiamente diffuso in ambito governativo, sanitario, educativo e nelle grandi imprese, gli aggiornamenti sottolineano il rischio continuo rappresentato dalle piattaforme di gestione IT esposte e l'importanza di un rapido patching.

Microsoft Office zero day sfruttato, distribuiti aggiornamenti di emergenza

Microsoft ha rilasciato aggiornamenti di sicurezza d'emergenza fuori banda per risolvere CVE-2026-21509, una vulnerabilità zero day in Microsoft Office che viene attivamente sfruttata in natura. La falla consente agli aggressori di aggirare le principali protezioni di sicurezza progettate per bloccare i controlli COM e OLE non sicuri, abusando del modo in cui Office gestisce gli input non attendibili durante le decisioni di sicurezza.

Classificata come importante con un punteggio CVSS di 7,8, la vulnerabilità richiede l'interazione dell'utente, in genere attraverso il phishing o l'ingegneria sociale che convince la vittima ad aprire un file Office dannoso. Sebbene l'attacco non richieda privilegi e sia di bassa complessità, uno sfruttamento riuscito può avere gravi impatti su riservatezza, integrità e disponibilità.

Microsoft ha confermato lo sfruttamento attraverso il suo Threat Intelligence Centre, rendendo questo problema il secondo zero day di Office attivamente sfruttato patchato questo mese. Il problema riguarda sia le versioni di Office precedenti che quelle attuali.

Si consiglia alle organizzazioni di dare priorità alle patch, di assicurarsi che gli aggiornamenti automatici siano abilitati e di aumentare il monitoraggio degli allegati Office sospetti e dei comportamenti anomali di COM o OLE.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.