Un ransomware colpisce il porto spagnolo di Vigo, interrompendo le operazioni digitali

Un attacco ransomware ha mandato in tilt i sistemi digitali del porto spagnolo di Vigo, mettendo fuori uso parti della rete e riportando alcune operazioni a processi manuali. Rilevato nelle prime ore di martedì, l'incidente ha colpito i server responsabili della gestione delle merci e dei servizi portuali, con segnalazioni che confermano una richiesta di riscatto e sistemi criptati.

In risposta, l'autorità portuale ha isolato l'infrastruttura interessata per contenere la minaccia, mentre le operazioni fisiche, come i movimenti delle navi e la movimentazione dei carichi, continuano. Tuttavia, il coordinamento logistico è stato significativamente colpito, con gli operatori che si affidano a flussi di lavoro cartacei.

Il presidente del porto Carlos Botana ha confermato che i sistemi non saranno ripristinati fino a quando i team di sicurezza non saranno certi che la minaccia sia stata completamente sradicata. Sono in corso indagini per determinare il punto di accesso iniziale e valutare qualsiasi potenziale compromissione dei dati.

L'attacco evidenzia la crescente attenzione alle infrastrutture marittime da parte dei gruppi di ransomware, poiché l'interruzione dei porti può avere un impatto immediato e di vasta portata sulle catene di approvvigionamento globali.

Un pacchetto LiteLLM dannoso alimenta una grave violazione della catena di approvvigionamento

Un importante attacco alla catena di approvvigionamento ha compromesso il pacchetto LiteLLM Python, ampiamente utilizzato, con versioni dannose che espongono le organizzazioni a un furto di credenziali su larga scala e a una potenziale compromissione del sistema. L'attacco, attribuito al gruppo TeamPCP, ha visto versioni manomesse di LiteLLM distribuite tramite PyPI, con un impatto su una libreria utilizzata milioni di volte al giorno.

I pacchetti dannosi introducevano payload nascosti progettati per essere eseguiti all'importazione, raccogliendo dati sensibili tra cui chiavi SSH, credenziali cloud, segreti Kubernetes e variabili d'ambiente. Varianti più avanzate hanno garantito la persistenza incorporando backdoor che si attivano ogni volta che Python viene eseguito, consentendo l'accesso continuo e il movimento laterale attraverso gli ambienti.

Secondo le prime informazioni, potrebbero essere stati colpiti fino a 500.000 dispositivi, anche se le cifre non sono ancora state verificate. La campagna segue le precedenti attività di TeamPCP che hanno preso di mira strumenti come Trivy, evidenziando un modello di sfruttamento del software affidabile nella pipeline di sviluppo.

L'incidente rafforza il rischio crescente di attacchi alla catena di fornitura del software, in cui una singola dipendenza compromessa può diffondersi a cascata in migliaia di organizzazioni, esponendo sistemi, dati e infrastrutture critiche su scala.

Per saperne di più leggete il nostro Avviso sulle minacce

Un attacco informatico colpisce i sistemi del ministero delle finanze olandese

Il Ministero delle Finanze olandese ha confermato un attacco informatico che ha colpito i sistemi interni, con un accesso non autorizzato rilevato a seguito di una segnalazione di terzi il 19 marzo. È in corso un'indagine e i funzionari hanno confermato che alcuni dipendenti sono stati colpiti e che l'accesso ai sistemi interessati è stato limitato per precauzione.

Si ritiene che la violazione riguardi i sistemi utilizzati dai dipartimenti politici, anche se i servizi nazionali critici non sono stati toccati. Le autorità hanno confermato che i sistemi di riscossione delle imposte, le operazioni doganali e i sistemi previdenziali continuano a funzionare normalmente, garantendo che non vi siano interruzioni per i cittadini o le imprese.

In questa fase, l'entità dell'incidente rimane poco chiara e non è stato confermato se siano stati acceduti o esfiltrati dati sensibili. Nessun attore ha rivendicato la responsabilità.

L'incidente segue una serie di eventi informatici che hanno preso di mira le istituzioni olandesi, evidenziando la continua pressione sui sistemi governativi. Nel prosieguo delle indagini, l'attenzione si concentrerà sull'identificazione del vettore dell'attacco, sulla valutazione dell'impatto e sul rafforzamento dei controlli per prevenire ulteriori compromissioni.

I dati di AstraZeneca sarebbero stati rubati e messi in vendita sul dark web

Un gruppo di hacker ha dichiarato di aver violato i sistemi informatici di AstraZeneca, esfiltrare circa 3 GB di dati sensibili e tentare di venderli sul dark web. Il gruppo, identificato come LAPSUS$, avrebbe rilasciato dei file campione per convalidare la violazione, anche se l'azienda non ha ancora confermato l'accaduto.

I presunti dati includono codice sorgente, dettagli dell'infrastruttura cloud, record legati ai dipendenti e credenziali di accesso. Sebbene non siano coinvolti i dati dei clienti, l'esposizione dei sistemi interni e delle informazioni relative all'identità potrebbe comportare rischi significativi per la sicurezza. Anche senza credenziali attive, tali dati possono consentire il phishing mirato, l'escalation dei privilegi e ulteriori tentativi di intrusione.

I ricercatori di sicurezza avvertono che, se verificata, la violazione potrebbe avere serie implicazioni per il settore sanitario, dove la proprietà intellettuale e i dati operativi sono obiettivi di grande valore. In particolare, sembra che gli aggressori stiano monetizzando i dati direttamente invece di utilizzare le tradizionali tattiche di ransomware.

L'incidente riflette un più ampio cambiamento nella strategia dei criminali informatici, con il furto e la rivendita dei dati che diventano una minaccia sempre più importante per le organizzazioni aziendali.

Foster City USA dichiara lo stato di emergenza dopo un attacco informatico che interrompe i servizi

Foster City ha dichiarato lo stato di emergenza in seguito a un attacco informatico che ha costretto i funzionari a mettere offline l'intera rete, interrompendo gravemente le operazioni comunali. Mentre i servizi di emergenza rimangono operativi, le funzioni principali del municipio, compresi i sistemi di comunicazione e di autorizzazione, sono state bloccate.

Le autorità non hanno reso nota l'intera portata della violazione, compresi i dati a cui si è avuto accesso o che sono stati compromessi. Tuttavia, a residenti e imprese è stato consigliato di cambiare le password per precauzione. La mancanza di dettagli ha creato incertezza sulla portata e sull'impatto dell'incidente.

Il personale della città non è attualmente in grado di inviare o ricevere e-mail o di effettuare chiamate, evidenziando l'interruzione operativa causata dall'attacco. I funzionari stanno lavorando con esperti esterni di sicurezza informatica per indagare sull'incidente e ripristinare i sistemi, anche se non è stata fornita alcuna tempistica.

La dichiarazione di emergenza consente l'accesso a finanziamenti e risorse aggiuntive, sottolineando la gravità dell'interruzione e il crescente impatto che gli incidenti informatici possono avere sulle operazioni del settore pubblico.

La violazione di Crunchyroll legata a sistemi di supporto di terze parti ha un impatto su 6,8 milioni di utenti

La piattaforma di streaming di anime Crunchyroll sta indagando su una violazione segnalata, dopo che gli attori della minaccia hanno affermato di aver avuto accesso ai dati di 6,8 milioni di utenti. L'azienda ha dichiarato che l'incidente sembra essere limitato ai dati dei biglietti del servizio clienti a seguito di una compromissione che ha coinvolto un fornitore terzo.

Secondo quanto riportato, gli aggressori hanno ottenuto l'accesso tramite l'account di un agente di assistenza, presumibilmente compromesso da un malware, che ha consentito l'ingresso in diversi sistemi interni, tra cui Zendesk e gli strumenti di collaborazione aziendale. Gli attori della minaccia sostengono di aver esfiltrato milioni di record di assistenza contenenti dettagli degli utenti come indirizzi e-mail, dati IP e richieste di assistenza.

Crunchyroll sostiene che non ci sono prove di un accesso continuato e che sono in corso indagini con esperti esterni di sicurezza informatica. Anche se l'esposizione ai dati di pagamento sembra limitata, l'incidente evidenzia i rischi associati alle informazioni sensibili memorizzate nei sistemi di supporto.

La violazione sottolinea la crescente minaccia rappresentata dagli attacchi ai fornitori di terze parti, dove la compromissione di un singolo account può consentire l'accesso a grandi volumi di dati dei clienti e dell'organizzazione attraverso piattaforme interconnesse.

Una vulnerabilità critica del PLM provoca avvisi urgenti in tutta Europa

PTC ha reso nota una vulnerabilità critica che interessa le sue piattaforme Windchill e FlexPLM, sollevando preoccupazioni sulla potenziale esecuzione di codice remoto nei sistemi di gestione del ciclo di vita del prodotto ampiamente diffusi. Tracciata come CVE-2026-4681, la falla deriva da una deserializzazione insicura di dati attendibili e interessa più versioni supportate.

Sebbene non sia stato confermato alcuno sfruttamento attivo, le autorità tedesche hanno preso l'insolito provvedimento di lanciare avvertimenti diretti alle organizzazioni, sottolineando l'immediatezza della minaccia. I rapporti indicano che le forze dell'ordine hanno contattato le aziende a livello nazionale, sollecitando una rapida mitigazione.

Non essendo ancora disponibile una patch ufficiale, PTC ha consigliato alle organizzazioni di implementare controlli temporanei, tra cui la limitazione dell'accesso ai componenti vulnerabili o la disconnessione da Internet dei sistemi interessati, se necessario. Sono stati inoltre rilasciati degli indicatori di compromissione per supportare il rilevamento delle minacce.

Dato il ruolo critico che i sistemi PLM svolgono nelle catene di produzione, ingegneria e fornitura, la vulnerabilità rappresenta un rischio significativo. La risposta sottolinea la crescente preoccupazione per lo sfruttamento del software aziendale per consentire lo spionaggio industriale e le interruzioni su larga scala.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.