Una nuova ricerca evidenzia l'aumento della minaccia ransomware per il settore delle costruzioni

Una nuova ricerca ha evidenziato le crescenti preoccupazioni in materia di cybersecurity nel settore edile e immobiliare, con il 32% dei leader del settore ora preoccupato per le minacce informatiche. Un'indagine di Beazley ha rilevato che il settore ha il livello di fiducia più basso di tutti i settori intervistati, con solo il 74% che ritiene di essere preparato ad affrontare i moderni rischi informatici.

I risultati riflettono il fatto che la criminalità informatica sta diventando sempre più un rischio operativo e commerciale piuttosto che un semplice problema informatico. I ricercatori hanno avvertito che le campagne di phishing guidate dall'intelligenza artificiale e la ricognizione automatizzata consentono agli attori delle minacce di sferrare attacchi con maggiore velocità e scala, rendendo gli incidenti più difficili da individuare e contenere.

Una ricerca separata di QBE ha identificato il ransomware come la minaccia informatica più significativa per le imprese edili, con incidenti che causano in media 24 giorni di inattività. Il rapporto ha inoltre evidenziato un aumento del 410% delle attività di malware IoT rivolte al settore nel 2025.

Gli esperti del settore esortano ora le organizzazioni a integrare la sicurezza informatica nella pianificazione dei rischi del progetto, avvertendo che gli attacchi possono interrompere le catene di fornitura, ritardare i progetti e aumentare significativamente i costi.

L'NCSC avverte di una campagna russa di dirottamento DNS che ha come obiettivo i router

Il National Cyber Security Centre (NCSC) ha emesso un nuovo avviso in cui avverte che i cyber attori sostenuti dallo Stato russo stanno compromettendo i router Internet più diffusi per reindirizzare segretamente il traffico degli utenti attraverso infrastrutture dannose.

Secondo l'avviso, il gruppo noto come APT28 sfrutta i router vulnerabili per effettuare attacchi di dirottamento del Domain Name System (DNS). Questi attacchi consentono agli attori delle minacce di intercettare il traffico Internet e di rubare le credenziali, comprese le password e i token di autenticazione, dai servizi Web e di posta elettronica.

Si ritiene che la campagna sia opportunistica: gli aggressori prendono di mira un gran numero di dispositivi prima di concentrarsi su organizzazioni o individui di interesse per l'intelligence. L'APT28 è stato precedentemente collegato all'unità 26165 del GRU russo ed è conosciuto anche con nomi quali Fancy Bear e Sofacy.

L'NCSC ha avvertito che i dispositivi di rete compromessi possono fornire agli attori ostili accesso a lungo termine e visibilità sulle comunicazioni sensibili. Le organizzazioni sono state esortate a rafforzare la sicurezza dei router, a patchare rapidamente le vulnerabilità, a proteggere le interfacce di gestione e ad abilitare l'autenticazione a più fattori per ridurre il rischio di compromissione.

L'avviso sottolinea la continua minaccia rappresentata dalle operazioni informatiche sostenute dagli Stati che prendono di mira le infrastrutture critiche di Internet e i dispositivi di rete di uso quotidiano.

Palo Alto Networks avverte di attacchi zero-day attivi contro i firewall

Palo Alto Networks ha avvertito i clienti che una vulnerabilità critica non patchata che colpisce il portale di autenticazione PAN-OS User-ID è attivamente sfruttata in natura.

Tracciata come CVE-2026-0300, la falla è una vulnerabilità di buffer overflow che potrebbe consentire ad aggressori non autorizzati di eseguire codice arbitrario con privilegi di root sui firewall PA-Series e VM-Series esposti. Il problema riguarda il portale di autenticazione User-ID, noto anche come Captive Portal, utilizzato per autenticare gli utenti le cui identità non possono essere mappate automaticamente dal firewall.

Palo Alto Networks ha dichiarato che lo sfruttamento è stato finora limitato e riguarda principalmente le organizzazioni con il portale esposto a Internet pubblico o a indirizzi IP non attendibili. I ricercatori di Shadowserver stanno attualmente monitorando più di 5.800 firewall PAN-OS serie VM esposti online.

Il fornitore non ha ancora rilasciato una patch, ma afferma che le correzioni del software sono previste a partire dal 13 maggio 2026. Nel frattempo, le organizzazioni sono fortemente invitate a limitare l'accesso al portale alle reti interne fidate o a disabilitare completamente la funzione, ove possibile.

L'avvertimento prosegue la crescente tendenza degli attori delle minacce a prendere di mira in modo aggressivo le infrastrutture firewall e le apparecchiature di sicurezza rivolte a Internet.

La violazione di Vimeo espone i dati di oltre 119.000 utenti

Il gruppo di estorsori ShinyHunters ha rivendicato la responsabilità di un attacco informatico contro la piattaforma video Vimeo che ha esposto i dati personali di oltre 119.000 utenti.

Secondo il servizio di notifica delle violazioni di dati Have I Been Pwned, i dati rubati includono indirizzi e-mail e, in alcuni casi, nomi di utenti. Vimeo ha reso nota la violazione in aprile, collegando l'incidente a una compromissione di Anodot, un fornitore di terze parti di rilevamento delle anomalie dei dati integrato nei suoi sistemi.

Vimeo ha dichiarato che gli aggressori hanno avuto accesso principalmente ai dati tecnici, ai titoli dei video e ai metadati, e ha confermato che le credenziali di accesso, i dati delle carte di pagamento e i contenuti dei video non sono stati compromessi. In seguito all'incidente, l'azienda ha disabilitato le credenziali di Anodot, ha rimosso l'integrazione e ha incaricato specialisti di sicurezza esterni di indagare.

Dopo il fallimento dei tentativi di estorsione, ShinyHunters avrebbe diffuso un archivio di 106 GB di dati rubati sul suo sito dark web. Il gruppo si è sempre più concentrato sugli ambienti SaaS e sui sistemi single sign-on aziendali, utilizzando le credenziali compromesse per accedere alle piattaforme cloud connesse e ai dati aziendali sensibili.

La violazione evidenzia i crescenti rischi associati alle integrazioni di terze parti e alla compromissione della catena di approvvigionamento nei moderni ambienti cloud.

Una nuova botnet basata su Mirai prende di mira dispositivi Android e IoT per attacchi DDoS

Ricercatori di sicurezza informatica hanno scoperto una nuova botnet derivata da Mirai, nota come xlabs_v1, che prende di mira i dispositivi Android e IoT esposti a Internet per costruire una rete DDoS (distributed denial-of-service).

I ricercatori di Hunt.io hanno dichiarato che il malware va a caccia di dispositivi con Android Debug Bridge (ADB) esposto sulla porta TCP 5555. Questo include TV box Android, smart TV, set-top box e altri hardware IoT che vengono forniti con ADB abilitato per impostazione predefinita. Il malware supporta anche diverse architetture hardware, suggerendo che può colpire router residenziali e altri dispositivi connessi.

Secondo i ricercatori, la botnet viene gestita come un servizio DDoS a pagamento incentrato sull'attacco di server di gioco e host Minecraft. Supporta più di 20 metodi di attacco attraverso i protocolli TCP e UDP e include funzionalità progettate per aggirare le protezioni DDoS di livello consumer.

Il malware contiene anche funzioni per misurare la larghezza di banda dei dispositivi infetti, consentendo agli operatori di classificare i sistemi compromessi in fasce di prezzo per i clienti che acquistano gli attacchi. I ricercatori hanno notato che il design della botnet privilegia la scala e la varietà degli attacchi rispetto alla sofisticazione.

La scoperta evidenzia i continui rischi posti da dispositivi IoT e consumer scarsamente protetti ed esposti direttamente a Internet.

ShinyHunters denuncia il furto di 240 milioni di dati scolastici nella violazione di Instructure

L'azienda di tecnologia educativa Instructure ha confermato di aver subito un attacco informatico, con il gruppo di estorsori ShinyHunters che sostiene di aver rubato più di 240 milioni di dati relativi a studenti, insegnanti e personale in tutto il mondo.

L'azienda, nota soprattutto per il sistema di gestione dell'apprendimento Canvas, utilizzato da scuole e università di tutto il mondo, ha dichiarato che sta collaborando con esperti di cybersicurezza di terze parti e con le forze dell'ordine per indagare sull'incidente. Ai clienti è stato inoltre richiesto di autorizzare nuovamente l'accesso alle API come parte della risposta.

Secondo ShinyHunters, i dati rubati riguardano quasi 15.000 istituti scolastici in Nord America, Europa e Asia-Pacifico. Il gruppo sostiene che le informazioni includono nomi, indirizzi e-mail, dettagli di iscrizione ai corsi e miliardi di messaggi privati scambiati tra studenti e insegnanti.

Gli attori della minaccia sostengono inoltre di aver ottenuto l'accesso agli ambienti Salesforce collegati durante l'attacco. Sebbene l'intera portata della violazione non sia ancora stata verificata in modo indipendente, l'entità del furto di dati denunciato lo renderebbe uno dei più grandi incidenti informatici del settore dell'istruzione segnalati quest'anno.

L'incidente evidenzia la crescente attenzione alle piattaforme educative da parte di criminali informatici alla ricerca di grandi volumi di dati personali e sensibili.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più rilevanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoper scoprire come potete proteggere la vostra organizzazione.

Il Threat Intel Roundup è stato preparato da Integrity360 riassumendo le notizie sulle minacce così come le osserviamo, aggiornate alla data di pubblicazione. Non deve essere considerata una consulenza legale, di consulenza o di altro tipo. Qualsiasi raccomandazione deve essere considerata nel contesto della propria organizzazione. Integrity360 non prende alcuna posizione politica nelle informazioni che condivide. Inoltre, le opinioni espresse non sono necessariamente quelle di Integrity360.