Il Regno Unito presenta il Cyber Security and Resilience Bill

Il Regno Unito ha presentato il Cyber Security and Resilience Bill, una riforma importante pensata per rafforzare la sicurezza nazionale e proteggere i servizi essenziali dalle crescenti minacce informatiche. La normativa innalzerà gli standard di cybersicurezza in settori come sanità, energia, acqua e trasporti, riducendo il rischio di interruzioni come appuntamenti NHS cancellati o blocchi nelle catene di approvvigionamento.

Per la prima volta, i fornitori di servizi gestiti di medie e grandi dimensioni che offrono supporto IT, sicurezza informatica o servizi di help desk a enti pubblici e aziende saranno soggetti a regolamentazione, con l’obbligo di segnalare incidenti significativi entro tempi stretti e mantenere piani di risposta robusti. Le autorità di vigilanza avranno inoltre nuovi poteri per designare fornitori critici e imporre sanzioni più severe in caso di gravi inadempienze.

Il disegno di legge include i data center e introduce misure di sicurezza per i sistemi di energia intelligente, riflettendo la crescente importanza delle infrastrutture digitali. Con un costo medio di oltre 190.000 sterline per ogni incidente informatico grave, il governo sostiene che queste riforme siano essenziali per migliorare la resilienza nazionale e ridurre il rischio economico.

Microsoft rilascia patch per 63 vulnerabilità, incluso un exploit zero-day nel Kernel di Windows

Microsoft ha pubblicato correzioni per 63 nuove vulnerabilità individuate nei suoi prodotti, tra cui una falla zero-day nel Kernel di Windows già sfruttata in attacchi reali. Quattro vulnerabilità sono classificate come Critiche e 59 come Importanti, riguardando problemi che spaziano dall’elevazione di privilegi all’esecuzione di codice remoto e alla divulgazione di informazioni.

La più grave è CVE-2025-62215, una falla di elevazione dei privilegi causata da una race condition nel Kernel di Windows. Gli aggressori con accesso di basso livello possono sfruttare il bug per ottenere privilegi SYSTEM, attivando ripetutamente una corruzione di memoria “double free”, prendendo di fatto il controllo del dispositivo. Microsoft ha scoperto la falla internamente, ma i dettagli sull’exploit attivo restano limitati.

Altre patch risolvono buffer overflow ad alta gravità nel componente grafico di Microsoft e nella GUI del Windows Subsystem for Linux, che potrebbero consentire l’esecuzione di codice remoto. Una vulnerabilità separata di Kerberos, denominata CheckSum, permette agli aggressori di impersonare utenti e potenzialmente compromettere interi domini Active Directory. Le organizzazioni che utilizzano AD con delega Kerberos abilitata sono invitate a dare priorità agli aggiornamenti.

DanaBot riemerge con nuova infrastruttura sei mesi dopo l’operazione Endgame

Il trojan bancario DanaBot è riemerso con una nuova versione appena sei mesi dopo che la sua infrastruttura era stata smantellata dalle forze dell’ordine internazionali. I ricercatori hanno identificato una variante ricostruita, versione 669, che ora utilizza domini di comando e controllo basati su Tor e nodi di back connect per eludere il rilevamento e ripristinare la capacità operativa.

DanaBot è nato come trojan bancario basato su Delphi, distribuito tramite phishing e malvertising, evolvendosi poi in un infostealer modulare e loader mirato alle credenziali salvate nei browser e ai portafogli di criptovalute. Nonostante il duro colpo inflitto dall’operazione Endgame a maggio, gli operatori dietro DanaBot non sono mai stati completamente smantellati, consentendo al malware di tornare con infrastruttura aggiornata e attività rinnovata.

Zscaler ha inoltre collegato diversi portafogli di criptovalute in BTC, ETH, LTC e TRX alle recenti campagne DanaBot, sottolineando la motivazione finanziaria dietro la sua persistenza. Le vie di infezione continuano a includere email malevole, SEO poisoning e malvertising, con alcuni attacchi che fungono da porta d’ingresso per il ransomware.

Le organizzazioni sono invitate ad aggiornare gli strumenti di sicurezza e bloccare i nuovi IoC pubblicati da Zscaler per ridurre l’esposizione alla minaccia riemergente.

L’America Latina diventa la regione più colpita da attacchi informatici mentre le minacce globali continuano a crescere

Nuove ricerche mostrano che l’America Latina ha superato l’Africa come regione più bersagliata dagli attacchi informatici. In ottobre, le organizzazioni in America Latina hanno affrontato una media di 2.966 attacchi a settimana, con un aumento del 16% su base annua. L’Africa segue con 2.782 attacchi settimanali, ma ha registrato una riduzione complessiva del 15%, attribuita dagli analisti agli investimenti crescenti in cybersicurezza, in particolare nella gestione del rischio esterno e nel miglioramento delle difese DDoS.

A livello globale, le organizzazioni hanno registrato una media di 1.938 attacchi a settimana, in aumento del 5% rispetto all’anno precedente. Il Nord America ha visto la crescita più marcata, con un incremento del 18% alimentato principalmente dal ransomware, che ha registrato 801 incidenti pubblicamente segnalati in ottobre. Qilin, Akira e Sinobi hanno rappresentato quasi il 40% di tutti i casi.

Il rapporto evidenzia anche i crescenti rischi di esposizione dei dati legati all’uso aziendale della GenAI, con un prompt su 44 contenente informazioni sensibili ad alto rischio. L’istruzione è rimasta il settore più bersagliato a livello mondiale, mentre l’ospitalità ha registrato un aumento del 40% con l’avvicinarsi della stagione di punta.

Emittente olandese RTV Noord colpita da attacco informatico

L’emittente televisiva e radiofonica olandese RTV Noord è stata gravemente colpita da un attacco informatico che ha messo fuori uso i sistemi digitali e costretto i presentatori a improvvisare in diretta. L’incidente, scoperto il 6 novembre, ha lasciato il personale del programma mattutino “De Ochtendploeg” senza accesso ai computer, costringendoli a tornare a CD e persino dischi in vinile per mantenere la programmazione.

Sebbene l’emittente non abbia divulgato la natura dell’attacco, ha confermato che gli intrusi hanno lasciato un messaggio sulla rete, suggerendo fortemente un ransomware. Considerando incidenti simili recenti e il livello di interruzione, è alta la probabilità di una richiesta di riscatto o di minaccia di diffusione dei dati.

L’impatto è particolarmente grave perché RTV Noord funge anche da emittente ufficiale per le emergenze nella regione di Groningen, il che significa che qualsiasi interruzione potrebbe ostacolare la diffusione di informazioni pubbliche critiche. I sistemi interni sono stati così compromessi che la redazione poteva essere contattata solo tramite WhatsApp.

L’attacco arriva mentre i gruppi ransomware prendono sempre più di mira le emittenti per ottenere il massimo vantaggio, con la spagnola KISS-FM anch’essa rivendicata da Rhysida nello stesso giorno.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.