L'UE sanziona gli attori informatici dopo gli attacchi a organizzazioni francesi e svedesi

L'Unione Europea ha imposto sanzioni a tre aziende e due persone legate a continui attacchi informatici contro Stati membri e partner, mentre le tensioni geopolitiche continuano a guidare le attività degli schieramenti statali. Le misure includono il congelamento dei beni, il divieto di viaggiare e la restrizione di fornire fondi o risorse ai soggetti elencati.

Due aziende con sede in Cina sono state sanzionate per aver consentito compromissioni su larga scala. I funzionari dell'UE affermano che i loro strumenti hanno facilitato la violazione di oltre 65.000 dispositivi in sei Stati membri, con collegamenti al gruppo di minacce Flax Typhoon. Anxun è anche accusata di aver preso di mira oltre 80 sistemi governativi e del settore privato a livello globale.

L'azienda iraniana Emennet Pasargad è stata sanzionata per aver preso di mira organizzazioni in Francia e Svezia, tra cui il furto di un database di abbonati francesi e l'interruzione di un servizio SMS svedese, con un impatto su un gran numero di cittadini.

La mossa rafforza il rischio crescente per le infrastrutture critiche, dato che la crescente digitalizzazione continua ad ampliare la superficie di attacco per le operazioni informatiche sostenute dagli Stati.

La Companies House corregge la falla che esponeva i dati delle società britanniche

La Companies House ha ripristinato il suo servizio di WebFiling dopo averlo messo offline per correggere una falla di sicurezza che ha potenzialmente esposto dati sensibili legati a milioni di società registrate nel Regno Unito. Il problema, introdotto durante un aggiornamento del sistema nell'ottobre 2025, è rimasto presente per diversi mesi prima di essere segnalato dai ricercatori di sicurezza.

La vulnerabilità consentiva agli utenti autenticati di accedere al cruscotto di un'altra azienda manipolando il flusso di lavoro di archiviazione. Ciò avrebbe potuto esporre dati non pubblici, tra cui date di nascita, indirizzi di residenza e account e-mail aziendali. C'era anche il rischio di depositi non autorizzati, come la modifica dei dati degli amministratori o la presentazione dei conti, anche se questo sarebbe stato limitato a un record aziendale alla volta.

La Companies House ha confermato che non sono state compromesse le password o i dati di verifica dell'identità e che non è stato possibile alterare i documenti depositati.

L'incidente è stato segnalato all'Information Commissioner's Office e al National Cyber Security Centre. Sebbene non sia stato identificato alcun abuso confermato, le indagini sono ancora in corso e mettono in evidenza i continui rischi nell'ambito dei servizi digitali critici del settore pubblico.

Una violazione di Aura espone i dati dei clienti a seguito di un attacco di vishing

L'azienda di protezione dell'identità Aura ha confermato una violazione dei dati che ha interessato quasi 900.000 record dopo che un attacco di phishing vocale ha compromesso un account di un dipendente. L'incidente evidenzia la continua efficacia dell'ingegneria sociale nell'aggirare i tradizionali controlli di sicurezza.

I dati esposti comprendono nomi, indirizzi e-mail, numeri di telefono e indirizzi di casa. Aura dichiara che i numeri di previdenza sociale, le password e i dati finanziari non sono stati compromessi. Il set di dati interessati proviene in gran parte da una piattaforma di marketing ereditata da un'acquisizione del 2021, con circa 35.000 record collegati a clienti attuali ed ex.

Il gruppo di minacce ShinyHunters ha rivendicato la responsabilità, sostenendo di aver rubato 12 GB di dati e di averli successivamente divulgati dopo tentativi di estorsione falliti. Un'analisi indipendente indica un'ulteriore esposizione delle note del servizio clienti e dei dati relativi agli indirizzi IP, con molti record già in circolazione a causa di precedenti violazioni.

Aura sta collaborando con specialisti esterni di cybersicurezza e ha informato le forze dell'ordine. L'incidente rafforza il rischio persistente rappresentato dagli attacchi mirati all'uomo, in particolare perché gli attori delle minacce continuano a sfruttare i dipendenti come punto di ingresso nelle organizzazioni.

Il ransomware Interlock sfrutta lo zero-day di Cisco negli attacchi al firewall

Il gruppo ransomware Interlock ha sfruttato una vulnerabilità critica per l'esecuzione di codice remoto nel software Cisco Secure Firewall Management Center (FMC) come zero-day, evidenziando il rischio continuo rappresentato dalle infrastrutture edge prive di patch.

La falla, classificata come CVE-2026-20131, consente agli aggressori non autorizzati di eseguire codice arbitrario con privilegi di root. Le informazioni sulle minacce indicano che la vulnerabilità è stata attivamente sfruttata a partire dal 26 gennaio, consentendo agli aggressori di accedere per oltre un mese prima che Cisco rilasciasse una patch il 4 marzo.

Interlock, osservato per la prima volta nel 2024, è stato collegato a diversi attacchi di alto profilo e in passato ha preso di mira le università del Regno Unito utilizzando il malware NodeSnake. Più di recente, i ricercatori hanno identificato il gruppo che sta distribuendo un nuovo ceppo, Slopoly, che si ritiene sia stato sviluppato utilizzando l'intelligenza artificiale generativa.

La campagna si è concentrata sugli ambienti firewall aziendali, un punto di controllo critico all'interno delle reti aziendali. Questa attività sottolinea l'importanza di patch rapide, monitoraggio continuo e capacità di rilevamento delle minacce, soprattutto perché gli attori delle minacce utilizzano sempre più spesso vulnerabilità zero-day per ottenere l'accesso iniziale e stabilire la persistenza.

La violazione digitale di Telus evidenzia il rischio della catena di approvvigionamento

Telus Digital ha confermato l'esistenza di un incidente di cybersicurezza in seguito alle affermazioni del gruppo di minacce ShinyHunters, secondo il quale è stato rubato fino a un petabyte di dati in una violazione prolungata. L'azienda sta indagando sulla portata dell'intrusione e ha ingaggiato esperti forensi esterni, pur confermando che le operazioni principali non sono state intaccate.

In qualità di fornitore globale di processi aziendali in outsourcing, Telus Digital gestisce l'assistenza clienti, la fatturazione e i servizi operativi per diverse organizzazioni, il che la rende un obiettivo di alto valore per gli aggressori che cercano un accesso aggregato ai dati sensibili. Gli attori della minaccia sostengono che la violazione ha avuto origine da credenziali esposte di Google Cloud Platform scoperte in dati di terze parti precedentemente compromessi, che hanno consentito un movimento laterale attraverso i sistemi.

I dati rubati, secondo quanto riferito, riguardano i registri dell'assistenza clienti, i dati dei call center, le registrazioni vocali e i sistemi interni, con una potenziale esposizione in più ambienti dei clienti. ShinyHunters avrebbe tentato un'estorsione, chiedendo 65 milioni di dollari.

L'incidente sottolinea il rischio crescente all'interno degli ecosistemi SaaS e di terze parti, dove una singola compromissione può avere impatti a cascata su più organizzazioni e catene di fornitura.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.