Un attacco di malware wiper colpisce il gigante mondiale del settore medicale Stryker

L'azienda di tecnologia medica Stryker Corporation ha subito un grave attacco informatico dopo che un malware wiper distruttivo ha messo fuori uso i sistemi della sua rete globale. L'attacco è stato rivendicato dal gruppo hacktivista filo-palestinese Handala Hack Team, che si ritiene sia collegato al Ministero dell'Intelligence e della Sicurezza iraniano.

Secondo il gruppo, gli aggressori hanno rubato circa 50 terabyte di dati prima di cancellare più di 200.000 sistemi, server e dispositivi mobili. Il personale di diverse regioni, tra cui Stati Uniti, Irlanda, Costa Rica e Australia, ha riferito che i computer portatili aziendali e i dispositivi mobili registrati nei sistemi di gestione aziendale sono stati resettati da remoto durante la notte.

L'interruzione ha costretto gli uffici di decine di Paesi a sospendere le normali operazioni, con alcune sedi che sono tornate ai processi manuali dopo aver perso l'accesso alle applicazioni e ai servizi interni.

Stryker ha confermato l'incidente in un documento normativo, affermando che l'attacco ha causato un'interruzione globale del suo ambiente Microsoft. L'azienda ha attivato il suo piano di risposta agli incidenti informatici e sta collaborando con specialisti esterni di sicurezza informatica per indagare e ripristinare i sistemi colpiti.

Il Patch Tuesday di Microsoft corregge 79 falle di sicurezza

Microsoft ha rilasciato gli aggiornamenti del Patch Tuesday di marzo 2026, che risolvono 79 vulnerabilità di sicurezza nel suo ecosistema software, tra cui due falle zero-day divulgate pubblicamente. Anche se nessuno dei due zero-day è noto per essere stato sfruttato in attacchi attivi, le organizzazioni sono state invitate a dare priorità alle patch a causa della potenziale gravità di diversi problemi.

Tra le vulnerabilità corrette vi sono 46 difetti di elevazione dei privilegi, 18 bug di esecuzione di codice remoto e molteplici vulnerabilità di divulgazione delle informazioni e di denial-of-service. Due delle correzioni più importanti includono un problema di escalation dei privilegi di SQL Server (CVE-2026-21262) che potrebbe consentire agli aggressori di ottenere i diritti di SQLAdmin, e una vulnerabilità .NET denial-of-service.

Microsoft ha anche corretto due falle nell'esecuzione di codice remoto di Microsoft Office che possono essere attivate attraverso il riquadro di anteprima, rendendo gli aggiornamenti di Office particolarmente importanti in questo ciclo. Inoltre, una vulnerabilità di Excel potrebbe potenzialmente consentire l'esfiltrazione dei dati tramite Microsoft Copilot, se sfruttata.

Oltre agli aggiornamenti di Microsoft, questo mese diversi altri fornitori hanno pubblicato avvisi di sicurezza, tra cui Adobe, Cisco, Fortinet, Google, Hewlett Packard Enterprise e SAP. Si consiglia alle organizzazioni di rivedere tempestivamente le patch per ridurre l'esposizione.

La tecnica "Zombie Zip" elude il rilevamento antivirus

Ricercatori di sicurezza hanno rivelato una nuova tecnica chiamata "Zombie ZIP" che consente di nascondere payload dannosi all'interno di archivi ZIP appositamente realizzati, in grado di eludere molti strumenti antivirus e di rilevamento degli endpoint. Il metodo sviluppato dai ricercatori avrebbe aggirato 50 dei 51 motori di sicurezza testati su VirusTotal.

La tecnica funziona manipolando le intestazioni dei file ZIP in modo che gli scanner di sicurezza credano che l'archivio contenga dati non compressi. In realtà, il carico utile rimane compresso utilizzando l'algoritmo standard Deflate. Poiché molti strumenti antivirus si fidano delle informazioni dell'intestazione, analizzano quelli che sembrano dati grezzi innocui, consentendo al contenuto dannoso di non essere individuato.

Gli strumenti di estrazione standard, come WinRAR e 7-Zip, in genere non riescono a estrarre questi file, spesso visualizzando errori o output danneggiati. Tuttavia, un caricatore appositamente progettato può ignorare l'intestazione ingannevole e decomprimere correttamente il payload nascosto.

La vulnerabilità, classificata come CVE-2026-0866, ha suscitato un avvertimento da parte del Centro di coordinamento CERT, che consiglia ai fornitori di sicurezza di rafforzare l'ispezione degli archivi e di convalidare con maggiore attenzione i metodi di compressione. Gli utenti sono inoltre invitati a trattare con cautela i file ZIP inaspettati.

Gli hacker prendono di mira siti salesforce experience cloud mal configurati

Salesforce ha avvertito i clienti che gli aggressori stanno prendendo di mira siti Experience Cloud mal configurati che consentono agli utenti guest di accedere a più dati di quelli previsti. L'attività si concentra sull'endpoint API /s/sfsites/aura, dove le autorizzazioni per gli utenti guest mal configurate possono consentire ai visitatori non autenticati di interrogare i dati sensibili del CRM Salesforce.

Secondo l'advisory, gli aggressori stanno abusando di una versione modificata di AuraInspector, uno strumento di auditing open-source originariamente sviluppato da Mandiant per identificare i problemi di configurazione all'interno del framework Salesforce Aura. Gli attori delle minacce hanno adattato lo strumento per eseguire scansioni su larga scala dei siti Experience Cloud esposti pubblicamente alla ricerca di autorizzazioni eccessive per gli ospiti.

Il gruppo di criminalità informatica ShinyHunters rivendica la responsabilità della campagna e sostiene di aver compromesso centinaia di organizzazioni sfruttando queste configurazioni errate.

Salesforce sostiene che il problema non è una vulnerabilità della piattaforma, ma il risultato di configurazioni errate dei clienti. L'azienda invita le organizzazioni a verificare le autorizzazioni degli utenti guest, a disabilitare gli accessi API non necessari e ad applicare il principio del minimo privilegio per ridurre il rischio di esposizione dei dati.

La campagna malware BlackSanta prende di mira i team hr

Ricercatori di sicurezza hanno scoperto una campagna informatica di lunga durata che prende di mira i dipartimenti delle risorse umane con un sofisticato ceppo di malware noto come BlackSanta. Secondo un rapporto di Aryaka, l'attore di minacce di lingua russa dietro l'operazione è stato attivo per oltre un anno, combinando l'ingegneria sociale con tecniche di evasione avanzate per infiltrarsi nei sistemi aziendali.

Si ritiene che la catena di attacchi inizi con e-mail di spear-phishing che indirizzano le vittime a scaricare file ISO camuffati da applicazioni di lavoro ospitate su piattaforme cloud come Dropbox. Una volta aperti, i file dannosi attivano script PowerShell che estraggono il codice nascosto utilizzando la steganografia e lo eseguono direttamente nella memoria del sistema.

Un componente chiave della campagna è il BlackSanta EDR killer, progettato per disabilitare gli strumenti di sicurezza degli endpoint prima di distribuire ulteriori payload. Il malware modifica le impostazioni di Microsoft Defender, sopprime gli avvisi di sistema e termina i processi di sicurezza a livello di kernel utilizzando driver vulnerabili.

I ricercatori affermano che l'operazione dimostra una forte sicurezza operativa, utilizzando catene di infezione furtive e controlli ambientali per evitare il rilevamento e mantenere una persistenza a lungo termine all'interno delle reti mirate.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.