Content 

01. News Bites
  • Maxi truffa globale sugli investimenti utilizza siti di notizie false per colpire utenti in oltre 50 paesi
  • Nuovo gruppo ransomware 'BERT' prende di mira macchine virtuali per massimizzare i danni
  • Microsoft Patch Tuesday luglio 2025: risolte 137 vulnerabilità
  • I lavoratori britannici temono di segnalare attacchi cyber, secondo una nuova ricerca
  • APT indiana sospettata di aver colpito un ministero europeo con malware personalizzato

02. Conclusion

Quick News Bites

Maxi truffa globale sugli investimenti utilizza siti di notizie false per colpire utenti in oltre 50 paesi


Una grande truffa online sugli investimenti sta ingannando utenti in tutto il mondo tramite siti di notizie false progettati per imitare testate affidabili come CNN, BBC e CNBC. Queste pagine, note come Baiting News Sites (BNS), sono costruite per sembrare legittime e presentano articoli manipolati che fingono il sostegno di celebrità, banche centrali o marchi finanziari per promuovere schemi di “reddito passivo”.
I truffatori indirizzano traffico verso questi siti fraudolenti attraverso annunci sponsorizzati su piattaforme come Google e Meta, usando titoli sensazionalistici e simboli nazionali per aumentare la credibilità. Cliccando su questi annunci, gli utenti vengono reindirizzati ad articoli falsi che poi li conducono su piattaforme truffaldine come Trap10, Solara Vynex o Eclipse Earn.
Dopo la registrazione, si attiva un processo ben orchestrato: finti agenti professionali contattano la vittima, chiedono la verifica dell’identità e incoraggiano depositi in criptovalute. I siti simulano profitti per mantenere l’illusione e spingere a ulteriori investimenti. Oltre alla perdita finanziaria, vengono raccolti anche dati personali per attività di phishing e furto d’identità.
Questa truffa sofisticata e a fasi multiple evidenzia il crescente rischio rappresentato dalle campagne BNS a livello globale.

Nuovo gruppo ransomware 'BERT' prende di mira macchine virtuali per massimizzare i danni


Un nuovo gruppo ransomware, chiamato BERT, sta attirando l’attenzione del mondo della cyber security per la sua capacità avanzata di terminare forzatamente le macchine virtuali VMware ESXi prima di crittografare i dati. Identificato per la prima volta nell’aprile 2025, il gruppo si è rapidamente espanso in Asia, Europa e Stati Uniti.
BERT—noto anche come Water Pombero—utilizza una variante Linux in grado di rilevare e spegnere macchine virtuali in esecuzione su host ESXi, rendendo difficoltose le operazioni di recupero. Questa tecnica impedisce alle organizzazioni di migrare o eseguire backup durante un attacco attivo.
Il malware supporta fino a 50 thread simultanei, ottimizzando velocità e impatto in ambienti virtualizzati su larga scala. BERT colpisce anche sistemi Windows e Linux con loader basati su PowerShell che disattivano le difese di sicurezza prima di distribuire il payload, solitamente tramite infrastrutture russe.
Le tattiche del gruppo ricordano quelle del noto ransomware REvil e sono state usate contro settori sanitari, tecnologici e degli eventi. Gli esperti raccomandano di segmentare le reti, isolare gli hypervisor e mantenere backup immutabili.

Microsoft Patch Tuesday luglio 2025: risolte 137 vulnerabilità


Il Patch Tuesday di Microsoft di luglio 2025 affronta ben 137 vulnerabilità, inclusa una zero-day divulgata pubblicamente in SQL Server e 14 criticità, in gran parte relative all’esecuzione di codice da remoto (RCE).
La zero-day, CVE-2025-49719, potrebbe consentire l’accesso non autenticato alla memoria di SQL Server. Gli amministratori sono invitati a installare l’ultima versione di SQL Server e dei driver OLE DB per ridurre il rischio.
Sono state risolte anche gravi vulnerabilità RCE in Microsoft Office, SharePoint e Hyper-V, comprese quelle che si attivano con l’anteprima dei file. In particolare, la CVE-2025-49704 di SharePoint è sfruttabile da remoto con credenziali valide.
AMD ha inoltre divulgato due nuove vulnerabilità side-channel. Sono state rilasciate patch anche da Fortinet, Cisco, Google, SAP e Ivanti.
Con 53 vulnerabilità di escalation dei privilegi, 41 RCE e 18 bug di divulgazione di informazioni risolti, i team IT dovrebbero dare priorità agli aggiornamenti. Microsoft raccomanda vivamente di controllare e aggiornare i sistemi immediatamente per ridurre il rischio di exploit.

I lavoratori britannici temono di segnalare attacchi cyber, secondo una nuova ricerca


Un nuovo rapporto ha rivelato che il 39% dei lavoratori d’ufficio nel Regno Unito non segnalerebbe un sospetto attacco informatico al proprio team IT o cyber, anche se pensasse di essere stato compromesso. Nonostante il 79% affermi di saper riconoscere le minacce informatiche, molti restano in silenzio per paura di essere incolpati o di avere problemi.
Imbarazzo e il desiderio di non “creare problemi” figurano tra le principali motivazioni. Alcuni dipendenti (11%) hanno addirittura ammesso che preferirebbero risolvere il problema da soli piuttosto che informare l’IT.
Sebbene i lavoratori britannici abbiano una comprensione superiore del ransomware rispetto ai colleghi francesi e tedeschi, il silenzio resta un rischio significativo. I dati IBM mostrano che le violazioni che durano più di 200 giorni costano il 34% in più, evidenziando l’importanza dell’intervento precoce.
Anche i dati governativi confermano la gravità: nel 2024, metà delle aziende britanniche e un terzo delle associazioni benefiche hanno subito incidenti informatici.

APT indiana sospettata di aver colpito un ministero europeo con malware personalizzato


I ricercatori di sicurezza informatica di Trellix hanno attribuito una campagna mirata di spionaggio contro un ministero degli affari esteri europeo al gruppo DoNot Team—una APT sospettata di legami con l’India. Conosciuto anche come APT-C-35 o Viceroy Tiger, il gruppo è attivo dal 2016 e ha tipicamente colpito governi sudasiatici, ONG e soggetti della difesa.
Questo attacco recente ha utilizzato email di spear-phishing che impersonavano funzionari della difesa per indurre i destinatari a scaricare un archivio RAR malevolo. Al suo interno si trovava LoptikMod, un trojan di accesso remoto personalizzato in grado di mantenere la persistenza, esfiltrare dati e aggirare i controlli grazie a tecniche anti-VM e offuscamento.
Sebbene il server di comando e controllo sia ora inattivo, la campagna riflette un’evoluzione nelle capacità di DoNot, segnando il primo uso noto di LoptikMod contro un governo europeo.
I ricercatori di Trellix evidenziano questo attacco come una transizione da azioni opportunistiche a operazioni di raccolta di intelligence diplomatica, segnalando un possibile ampliamento degli obiettivi. In passato, il gruppo ha preso di mira anche soggetti nel Regno Unito e in Norvegia, ma questo episodio rappresenta un’escalation nella strategia operativa.

Closing Summary

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

Disclaimer

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.