Tata Electronics conferma l'attacco informatico mentre emergono accuse di fuga di dati

Tata Electronics ha confermato di essere stata oggetto di un attacco informatico che ha interessato alcune parti della propria infrastruttura IT, sebbene l’azienda affermi che le operazioni siano proseguite regolarmente senza subire interruzioni.

In una dichiarazione, l’azienda ha affermato di aver individuato un incidente di sicurezza informatica su alcuni dei propri sistemi “alcune settimane fa” e di aver attivato immediatamente i propri protocolli di risposta. Tata Electronics ha aggiunto che l’incidente non ha avuto alcun impatto sulle operazioni delle sue diverse divisioni.

La conferma segue le affermazioni del gruppo di hacker World Leaks, che avrebbe divulgato dati sottratti a Tata Electronics. Si dice che i file trapelati includano directory e documenti relativi alla produzione di prodotti Apple, tra cui schemi dei componenti, progetti di circuiti stampati, specifiche dei materiali e file SDK.

Si ritiene che World Leaks sia una ridenominazione di Hunters International e che operi come gruppo di estorsione di dati, rubando informazioni e minacciando di pubblicarle online.

La campagna FortiBleed ha utilizzato sniffer personalizzati per rubare credenziali

Una nuova ricerca ha rivelato che la campagna su larga scala FortiBleed, rivolta ai dispositivi Fortinet FortiGate, ha utilizzato sniffer personalizzati per raccogliere le credenziali di autenticazione dai firewall compromessi.

La campagna ha preso di mira oltre 430.000 firewall FortiGate in tutto il mondo ed è attiva almeno dal febbraio 2026. I ricercatori affermano che l’autore della minaccia opera come broker di accesso iniziale, utilizzando tecniche di credential stuffing, attacchi di forza bruta, raccolta di credenziali e cracking offline delle password per ottenere l’accesso alle reti aziendali.

I ricercatori sostengono che gli aggressori abbiano impiegato uno strumento basato su Golang denominato FortigateSniffer, che sfrutta la funzionalità integrata di analisi diagnostica dei pacchetti di FortiOS per intercettare il traffico di autenticazione che transita attraverso i dispositivi compromessi. Secondo quanto riferito, lo strumento monitora protocolli quali RADIUS, NTLM, Kerberos e LDAP, prima di estrarre credenziali, hash delle password e segreti di autenticazione.

Si consiglia alle organizzazioni che utilizzano dispositivi FortiGate di verificare se alcuni dei loro sistemi siano stati presi di mira.

La nuova vulnerabilità CI/CD «Cordyceps» minaccia le catene di approvvigionamento open source

I ricercatori di sicurezza informatica hanno identificato una nuova classe di vulnerabilità nei flussi di lavoro CI/CD che potrebbe consentire agli aggressori di dirottare i repository e compromettere le catene di approvvigionamento del software open source.

Il problema, denominato in codice "Cordyceps" da Novee Security, riguarda configurazioni CI/CD vulnerabili che concedono alle richieste pull più permessi di quelli che dovrebbero avere. Secondo Novee, un utente non autenticato con un account gratuito potrebbe potenzialmente sfruttare questi flussi di lavoro per eseguire codice, rubare credenziali, falsificare approvazioni o introdurre modifiche dannose.

Dopo aver analizzato circa 30.000 repository ad alto impatto, Novee ha riscontrato che oltre 300 erano completamente vulnerabili, con un potenziale impatto su importanti organizzazioni tra cui Microsoft, Google, Apache e Cloudflare.

Tra gli esempi figurano vulnerabilità che interessano Azure Sentinel, gli esempi dell’AI Agent Development Kit di Google, Apache Doris, l’SDK di Cloudflare Workers e il progetto Black di Python. A seguito della segnalazione responsabile, Microsoft e Google hanno confermato l’impatto, mentre Cloudflare, Python e Apache hanno applicato misure di rafforzamento della sicurezza o patch.

Un attacco alla catena di fornitura di Klue espone i dati dei clienti di Salesforce

Klue, fornitore di una piattaforma di market intelligence, sta indagando su un attacco alla catena di fornitura che ha portato all’esfiltrazione di massa di dati relativi alla gestione delle relazioni con i clienti (CRM) di Salesforce appartenenti a centinaia di clienti, tra cui diverse aziende di sicurezza informatica.

Secondo Klue e i ricercatori di ReliaQuest, un attore malintenzionato ha utilizzato un’app Klue Battlecards compromessa per accedere ai token OAuth utilizzati per collegare Klue con integrazioni di terze parti, tra cui Salesforce. Da allora, Salesforce ha disabilitato le connessioni tramite l’app e ha affermato che non vi sono indicazioni di una vulnerabilità nella propria piattaforma.

L’autore dell’attacco, identificato con il nome in codice Icarus, avrebbe pubblicato i dati rubati a diverse vittime e avrebbe iniziato a contattare le aziende colpite. Huntress, LastPass, Recorded Future e Tanium hanno tutte confermato la violazione, sottolineando tuttavia che i propri sistemi interni, prodotti e piattaforme principali non sono stati compromessi.

L’incidente evidenzia come le integrazioni di terze parti compromesse possano esporre dati CRM sensibili anche quando le piattaforme primarie rimangono sicure.

Le agenzie di sicurezza informatica dei Five Eyes lanciano un appello all’azione riguardo alle minacce legate all’IA

I vertici delle agenzie di sicurezza informatica del gruppo Five Eyes hanno lanciato un appello congiunto all’azione, avvertendo che l’intelligenza artificiale sta trasformando rapidamente il rischio informatico e che le organizzazioni devono agire rapidamente per rafforzare la propria resilienza.

Le agenzie hanno affermato che l’IA migliorerà la difesa informatica nel tempo, ma sta già aumentando la velocità, la portata e la sofisticazione degli attacchi. Hanno avvertito che i modelli di IA all’avanguardia potrebbero ridefinire le capacità informatiche offensive e difensive nel giro di mesi anziché anni.

La dichiarazione esorta i leader aziendali a considerare la resilienza informatica una questione di livello dirigenziale, non solo una preoccupazione di competenza IT. Tra le priorità chiave figurano la riduzione delle superfici di attacco, l’accelerazione dell’applicazione delle patch, la gestione dei sistemi legacy, il rafforzamento dei controlli di identità e accesso e la verifica dei piani di risposta agli incidenti prima che gli attacchi avvengano.

Le agenzie hanno inoltre incoraggiato le organizzazioni a utilizzare l’IA in modo difensivo per identificare tempestivamente i punti deboli, migliorare la qualità del software, monitorare comportamenti insoliti e rispondere più rapidamente agli incidenti. Chi ritarda ad agire rischia di aumentare la propria esposizione operativa e strategica.

Se siete preoccupati per una delle minacce descritte nel presente bollettino o avete bisogno di assistenza per stabilire quali misure adottare per proteggervi dalle minacce più rilevanti che la vostra organizzazione deve affrontare, vi invitiamo a contattare il vostro account manager oppurea contattarciper scoprire come proteggere la vostra organizzazione.

Il “Threat Intel Roundup” è stato redatto da Integrity360 per riassumere le notizie relative alle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerato come un parere legale, di consulenza o di qualsiasi altro tipo di consulenza professionale. Eventuali raccomandazioni devono essere valutate nel contesto della propria organizzazione. Integrity360 non assume alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse potrebbero non corrispondere necessariamente al punto di vista di Integrity360.