L'NCSC avverte le organizzazioni britanniche di rivedere la propria posizione in materia di sicurezza informatica a causa del conflitto in Medio Oriente

Il National Cyber Security Centre (NCSC) del Regno Unito ha esortato le organizzazioni a rivedere la propria posizione in materia di sicurezza informatica alla luce dell'evoluzione del conflitto in Medio Oriente. Sebbene l'NCSC ritenga che non vi sia stato un aumento significativo della minaccia informatica diretta dall'Iran al Regno Unito, la situazione rimane fluida e potrebbe cambiare rapidamente con l'evolversi degli eventi.

L'agenzia avverte che la probabilità di minacce informatiche indirette potrebbe aumentare, in particolare per le organizzazioni con operazioni, uffici o catene di fornitura collegate alla regione. È noto che gli attori legati allo Stato iraniano e i gruppi hacktivisti affiliati possiedono capacità informatiche e potrebbero lanciare attività di disturbo contro organizzazioni percepite come legate a interessi opposti.

L'NCSC consiglia alle organizzazioni di rivedere la guida esistente sugli attacchi DDoS, le campagne di phishing e i potenziali tentativi di colpire i sistemi di controllo industriale. Le aziende esposte nella regione dovrebbero considerare di aumentare il monitoraggio, rivalutare la propria superficie di attacco esterna e iscriversi al servizio Early Warning dell'NCSC per ricevere avvisi sui problemi di sicurezza emergenti.

Impennata di attività informatiche hacktiviste legate al conflitto in Medio Oriente

I ricercatori di cybersicurezza segnalano un forte aumento dell'attività hacktivista in seguito alla campagna militare coordinata di Stati Uniti e Israele contro l'Iran, nota come Operazione Furia Epica e Leone Ruggente. Gli analisti della sicurezza riferiscono che le operazioni informatiche si sono intensificate parallelamente al conflitto fisico, con diversi gruppi che hanno lanciato campagne di disturbo contro infrastrutture governative, istituzioni finanziarie e fornitori di telecomunicazioni.

Secondo Radware, tra il 28 febbraio e il 2 marzo sono stati rivendicati almeno 149 attacchi DDoS di hacktivisti, che hanno preso di mira 110 organizzazioni in 16 Paesi. Due gruppi, Keymous+ e DieNet, sono stati responsabili di quasi il 70% delle attività. La maggior parte degli attacchi si è concentrata in Medio Oriente, in particolare in Kuwait, Israele e Giordania, anche se l'Europa ha rappresentato oltre il 22% dell'attività globale. Quasi la metà di tutti gli obiettivi erano organizzazioni governative.

I ricercatori di sicurezza segnalano anche l'attività di attori di minacce allineati allo Stato e di gruppi informatici pro-Iran, tra cui campagne di phishing, distribuzione di malware e tentativi di intrusione nelle infrastrutture energetiche e digitali. Gli analisti avvertono che le operazioni informatiche legate alle tensioni geopolitiche spesso mescolano disturbo, spionaggio e influenza psicologica, aumentando la probabilità di ulteriori attacchi contro governi, infrastrutture critiche e organizzazioni del settore privato in tutto il mondo.

Un'operazione di Europol distrugge una grande piattaforma di phishing-as-a-service

Un'operazione internazionale di contrasto coordinata da Europol ha interrotto Tycoon2FA, una grande piattaforma di phishing-as-a-service (PhaaS) responsabile dell'invio di decine di milioni di e-mail di phishing ogni mese. Nell'ambito dell'azione coordinata, le autorità hanno sequestrato e messo offline 330 domini utilizzati dal servizio criminale, tra cui pagine di phishing e pannelli di controllo backend.

L'interruzione tecnica è stata condotta da Microsoft con il supporto di diversi partner del settore privato, mentre le forze dell'ordine in Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito hanno effettuato i sequestri delle infrastrutture. L'indagine è iniziata dopo che le informazioni sulle minacce sono state condivise da Trend Micro e coordinate attraverso le reti di criminalità informatica di Europol.

Attivo almeno dall'agosto 2023, Tycoon2FA ha permesso ai criminali informatici di aggirare le protezioni di autenticazione a più fattori utilizzando una tecnica di phishing adversary-in-the-middle. La piattaforma intercettava le credenziali di accesso e i cookie di sessione in tempo reale, consentendo agli aggressori di dirottare le sessioni autenticate per servizi come Microsoft 365 e Gmail.

Venduto tramite abbonamenti a Telegram, il servizio ha abbassato la barriera che permette ai criminali informatici di lanciare sofisticati attacchi MFA contro le organizzazioni di tutto il mondo.

Gli aggressori abusano dei reindirizzamenti OAuth per aggirare le protezioni di phishing

I ricercatori di sicurezza hanno scoperto una tecnica di phishing che abusa dei legittimi meccanismi di reindirizzamento OAuth per aggirare le protezioni di e-mail e browser. Gli attacchi prendono di mira principalmente le organizzazioni governative e del settore pubblico, utilizzando e-mail di phishing che sembrano contenere richieste di autenticazione legittime.

I messaggi spesso si spacciano per comuni comunicazioni aziendali, come richieste di firma elettronica, notifiche di sicurezza sociale, inviti a riunioni, reimpostazione di password o aggiornamenti finanziari. In alcuni casi, i link OAuth dannosi sono incorporati all'interno di file PDF per eludere il rilevamento da parte degli strumenti di sicurezza.

Secondo i ricercatori di Microsoft Defender, gli aggressori registrano applicazioni OAuth dannose all'interno di tenant che controllano e configurano URL di reindirizzamento che puntano all'infrastruttura dell'aggressore. Quando le vittime interagiscono con la richiesta di autenticazione, i parametri manipolati innescano errori di autenticazione che reindirizzano silenziosamente gli utenti a siti dannosi.

Alcune vittime vengono inviate a pagine di phishing alimentate da framework "attacker-in-the-middle" in grado di intercettare i cookie di sessione e di aggirare l'autenticazione a più fattori. Altre vengono reindirizzate a scaricare file dannosi che distribuiscono malware attraverso tecniche di PowerShell e DLL side-loading, evidenziando come i metodi di attacco basati sull'identità si stiano evolvendo.

Gli incidenti informatici Ransomware e OT aumentano nel settore marittimo

Un nuovo rapporto di Cydome evidenzia un forte aumento delle minacce informatiche che colpiscono i sistemi di tecnologia operativa (OT) nel settore marittimo. Gli attacchi ransomware contro gli ambienti OT marittimi sono aumentati del 150% nel 2025, mentre gli attacchi ai dispositivi edge di rete come router, VPN e firewall sono aumentati dell'800%. Il rapporto rileva inoltre che il 22% delle organizzazioni ha subito un incidente OT o ai sistemi di controllo industriale (ICS) nel corso dell'anno, e molti attacchi sono iniziati attraverso un accesso esterno non autorizzato.

Le moderne operazioni di navigazione stanno diventando sempre più connesse grazie alle comunicazioni satellitari e ai sensori IoT, trasformando le navi da sistemi isolati a parte di una rete digitale globale. Questo cambiamento ha ampliato in modo significativo la superficie di attacco per i criminali informatici. Il rapporto avverte anche di un drammatico aumento degli incidenti di spoofing del GPS, con circa 1.000 interruzioni segnalate ogni giorno, che interessano circa 40.000 navi e sollevano gravi preoccupazioni per la sicurezza.

I ricercatori affermano che l'intelligenza artificiale sta rapidamente cambiando il panorama delle minacce informatiche. Il phishing, la frode d'identità e la scoperta automatizzata delle vulnerabilità assistite dall'intelligenza artificiale stanno accelerando la velocità e la portata degli attacchi. Con quasi 50.000 nuove vulnerabilità divulgate nel 2025 e molte armate in pochi giorni, le organizzazioni sono invitate a rafforzare la visibilità OT, migliorare la gestione delle patch e proteggere l'infrastruttura di accesso remoto per proteggere le operazioni marittime critiche.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.