Il Regno Unito pianifica il divieto di pagamento di riscatti nel settore pubblico

Il governo britannico intende vietare il pagamento di riscatti da parte di enti pubblici e infrastrutture critiche dopo attacchi informatici, con l’obiettivo di contrastare il modello di business alla base dei ransomware. La normativa proposta si applicherà a scuole, consigli locali e al NHS. Il Ministro della Sicurezza Dan Jarvis ha dichiarato che il Regno Unito è “determinato a distruggere il modello criminale del cybercrime” per proteggere i servizi essenziali.
Le aziende non coperte dal divieto dovranno notificare le autorità se intendono pagare un riscatto, per evitare di violare sanzioni. È inoltre in fase di sviluppo un sistema di segnalazione obbligatorio per aiutare le forze dell’ordine a rintracciare gli aggressori. Il piano segue una consultazione pubblica avviata a gennaio e arriva in un contesto di crescente minaccia ransomware. Tra le vittime più note: NHS, British Library e Marks & Spencer. Anche Co-op e Harrods hanno segnalato incidenti.

Violazione zero-day in SharePoint colpisce oltre 400 organizzazioni

Ricercatori di sicurezza hanno rivelato che oltre 400 organizzazioni sono state compromesse tramite una vulnerabilità zero-day in Microsoft SharePoint, segnando un aumento significativo rispetto ai primi report della scorsa settimana. La vulnerabilità, identificata come CVE-2025-53770, colpisce le versioni self-hosted di SharePoint e consente l'esecuzione remota di codice, permettendo l’accesso a file interni e reti aziendali.
La società olandese Eye Security, che ha scoperto il problema, riferisce di centinaia di sistemi compromessi. Secondo i ricercatori, la falla potrebbe essere sfruttata dal 7 luglio. Microsoft e Google hanno attribuito gli attacchi ad attori sponsorizzati dalla Cina, anche se Pechino nega. Con migliaia di server potenzialmente esposti, gli esperti avvertono che la sola applicazione della patch potrebbe non essere sufficiente — sono necessari controlli approfonditi.
Leggi l’approfondimento completo: https://insights.integrity360.com/it/threat-advisories/vulnerabilit%C3%A0-critica-in-sharepoint-cve-2025-53770-guida-e-mitigazione

Violazione dell’Agenzia Nucleare USA evidenzia le conseguenze della falla SharePoint

La rete della National Nuclear Security Administration (NNSA) statunitense è stata violata sfruttando la vulnerabilità zero-day di Microsoft SharePoint, recentemente corretta. L’NNSA è responsabile della sicurezza dell’arsenale nucleare degli Stati Uniti e della gestione delle emergenze radiologiche.
Un portavoce del Dipartimento dell’Energia ha confermato l’attacco, precisando che l’impatto è stato limitato grazie all’uso diffuso dei servizi cloud Microsoft 365. I sistemi compromessi sono in fase di ripristino e non ci sono prove di accesso a dati classificati.
La campagna, conosciuta come ToolShell (CVE-2025-53770), ha colpito almeno 148 organizzazioni e oltre 400 server in Europa e Medio Oriente. Microsoft e Google attribuiscono gli attacchi a gruppi cinesi. L’agenzia statunitense CISA ha ordinato aggiornamenti urgenti in tutti i sistemi federali. Le indagini proseguono a livello globale.

APT41 prende di mira una società IT africana in un’espansione dell’attività di spionaggio

Il gruppo APT41, legato alla Cina, ha condotto un attacco mirato contro un fornitore di servizi IT governativi in Africa — un’espansione insolita rispetto al suo tradizionale focus su Stati Uniti e Asia. I ricercatori di Kaspersky hanno scoperto il breach, evidenziando l’uso di malware progettati su misura con riferimenti interni all’infrastruttura della vittima, inclusi IP e server proxy. Gli attaccanti hanno persino sfruttato un server SharePoint della vittima come centro di comando.
APT41 ha utilizzato le sue tattiche tipiche: furto di credenziali (Mimikatz), esfiltrazione di dati con RawCopy e Pillager, accesso persistente con Cobalt Strike e web shell Neo-reGeorg. L’uso di strumenti legittimi come Impacket ha reso il rilevamento più complesso.
Conosciuto anche come Wicked Panda o Brass Typhoon, APT41 è attivo dal 2012 e combina spionaggio sponsorizzato dallo Stato e crimine informatico a fini finanziari. L’attacco riflette l’evoluzione del gruppo e l’aumento del rischio cyber in Africa.

Il fornitore sanitario svizzero AMEOS colpito da una violazione dei dati

Il gruppo AMEOS, una delle più grandi reti sanitarie private dell’Europa centrale, ha confermato una violazione che potrebbe aver esposto dati sensibili di pazienti, dipendenti e partner. L’organizzazione, con sede a Zurigo, gestisce oltre 100 strutture sanitarie in Svizzera, Germania e Austria, impiegando circa 18.000 persone.
In una comunicazione ai sensi dell’articolo 34 del GDPR, AMEOS ha dichiarato che attori esterni hanno ottenuto accesso non autorizzato ai suoi sistemi IT, nonostante le misure di sicurezza. La società avverte che i dati rubati potrebbero essere utilizzati online, anche se finora non vi è prova di una loro diffusione.
AMEOS ha spento i sistemi IT e le reti, coinvolgendo esperti forensi esterni per le indagini. Le autorità competenti sono state informate e presentata denuncia alla polizia.
Si consiglia a pazienti e stakeholder di prestare attenzione a possibili tentativi di phishing. L’organizzazione ha promesso ulteriori miglioramenti nella propria sicurezza informatica.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou alternativement, prenez contact pour découvrir comment vous pouvez protéger votre organisation.

Le résumé des renseignements sur les menaces (Threat Intel Roundup) a été préparé par Integrity360, résumant les actualités sur les menaces telles que nous les observons, à la date de publication. Il ne doit pas être considéré comme un conseil juridique, de consultation ou tout autre conseil professionnel. Toutes les recommandations doivent être considérées dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées peuvent ne pas nécessairement refléter les vues d'Integrity360.