Storm-1175 sfrutta una grave vulnerabilità di GoAnywhere MFT in attacchi ransomware

Un gruppo cybercriminale noto come Storm-1175 ha sfruttato una vulnerabilità di massima gravità in GoAnywhere MFT, CVE-2025-10035, nelle campagne ransomware Medusa almeno dall’11 settembre. Il difetto, causato da una debolezza di deserializzazione nel License Servlet di Fortra, consente attacchi remoti a bassa complessità senza interazione dell’utente.
Sebbene Fortra abbia rilasciato una patch il 18 settembre, i ricercatori hanno identificato oltre 500 istanze esposte online e non è chiaro quante siano ancora non aggiornate. Hanno segnalato che la vulnerabilità era già sfruttata attivamente una settimana dopo la patch, con prove di un utilizzo zero-day dal 10 settembre.
Microsoft ha confermato che Storm-1175 ha sfruttato la falla per ottenere l’accesso iniziale, mantenendo poi la persistenza tramite SimpleHelp e MeshAgent. Il gruppo ha eseguito attività di ricognizione, si è mosso lateralmente tramite Remote Desktop, ha esfiltrato dati con Rclone e distribuito il ransomware Medusa. Microsoft e Fortra esortano gli amministratori ad aggiornare immediatamente e a controllare i log per rilevare segni di compromissione.

Milioni a rischio mentre Microsoft si prepara a terminare il supporto per Windows 10 la prossima Settimana

Circa 5 milioni di utenti britannici corrono rischi cyber aumentati poiché Microsoft terminerà il supporto per Windows 10 il 14 ottobre, secondo il gruppo di consumatori Which?. Su un totale stimato di 21 milioni di utenti nel Regno Unito, uno su quattro intende continuare a utilizzare il sistema obsoleto, rendendosi vulnerabile a malware, virus e truffe. Oltre un terzo di coloro che non intendono intervenire ha più di 55 anni.
La decisione contribuirà anche alla crescita dei rifiuti elettronici, con milioni di PC destinati a diventare obsoleti se non possono eseguire software più recenti. Microsoft esorta gli utenti ad aggiornare a Windows 11 dove possibile o a acquistare un’estensione di un anno per avere più tempo per la transizione.
Yusuf Mehdi, vicepresidente esecutivo di Microsoft, ha avvertito che i dispositivi non supportati saranno più esposti alle minacce informatiche e che alcune applicazioni potrebbero smettere di funzionare correttamente. Si esortano gli utenti a controllare immediatamente i propri sistemi per evitare di esporsi ad attacchi.

Il gruppo Clop sfrutta una vulnerabilità zero-day di Oracle ebs per furti di dati

Il gruppo ransomware Clop ha sfruttato una vulnerabilità zero-day critica in Oracle E-Business Suite (EBS) dall’inizio di agosto, secondo CrowdStrike. Tracciata come CVE-2025-61882, la falla riguarda il componente BI Publisher Integration e consente a un attaccante non autenticato di eseguire codice remoto su sistemi vulnerabili attraverso attacchi a bassa complessità che non richiedono interazione. Oracle ha rilasciato una patch nel fine settimana.
I ricercatori hanno scoperto che il bug fa parte di una catena di vulnerabilità che permette l’esecuzione remota con una singola richiesta HTTP. L’exploit era stato originariamente pubblicato online a maggio dal gruppo Scattered Lapsus$ Hunters.
CrowdStrike ha confermato che Clop ha utilizzato questo zero-day per rubare documenti sensibili, con la prima attività risalente al 9 agosto. Gli analisti ritengono che GRACEFUL SPIDER sia probabilmente coinvolto, ma avvertono che altri gruppi potrebbero sfruttare la falla. Le indagini sono in corso.

Salesforce rifiuta di pagare il riscatto dopo massicci furti di dati

Salesforce ha confermato che non negozierà né pagherà alcun riscatto agli autori delle campagne di furto dati su larga scala che hanno colpito i suoi clienti. In un’email ai clienti, l’azienda ha citato “informazioni di minaccia credibili” secondo cui gli attaccanti pianificavano di diffondere i dati rubati. Il gruppo Scattered Lapsus$ Hunters ha lanciato un sito di data leak per estorcere 39 grandi organizzazioni, tra cui FedEx, Disney, Marriott, Google, Cisco e IKEA, affermando di possedere quasi 1 miliardo di record.
I dati rubati provengono da due campagne del 2025. La prima ha sfruttato tecniche di social engineering per indurre i dipendenti a collegare applicazioni OAuth malevole alle istanze Salesforce. La seconda, in agosto, ha coinvolto token OAuth rubati di SalesLoft per esfiltrare dati CRM da centinaia di aziende, incluse grandi società tecnologiche.
Il rifiuto di Salesforce arriva mentre il sito di estorsione è stato messo offline, con indizi che suggeriscono un possibile intervento delle forze dell’ordine. Le indagini proseguono.

Gli attacchi informatici alle catene di approvvigionamento aumentano tra grandi interruzioni aziendali

Quasi un terzo dei dirigenti aziendali ha segnalato un aumento degli attacchi informatici alle proprie catene di approvvigionamento negli ultimi sei mesi, secondo un sondaggio del Chartered Institute of Procurement and Supply (Cips). Le minacce cyber sono rapidamente salite tra le principali preoccupazioni dei responsabili degli approvvigionamenti nei settori manifatturiero, energetico e tecnologico, rivaleggiando con l’instabilità geopolitica e le tariffe commerciali come principali rischi aziendali.
Incidenti di alto profilo hanno evidenziato il pericolo. Il blocco di un mese di Jaguar Land Rover a seguito di un attacco informatico è costato circa 120 milioni di sterline in profitti, mentre le violazioni recenti a Marks & Spencer e Co-op hanno provocato perdite per decine di milioni. In Giappone, Asahi è stata costretta a fermare la produzione in 30 stabilimenti a causa di un’interruzione dei sistemi.
Il sondaggio di Cips ha rilevato che il 29% dei manager ha segnalato attacchi a società nelle proprie catene di approvvigionamento. L’organizzazione ha invitato le imprese a rafforzare le difese digitali per proteggere le operazioni e mantenere la fiducia dei clienti in reti commerciali globali sempre più interconnesse.

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización. 

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.