La sicurezza informatica ha vissuto un momento di grande innovazione durante il Pwn2Own Ireland 2025, il celebre hackathon globale organizzato da Trend Micro. La manifestazione ha visto i partecipanti, esperti di sicurezza da tutto il mondo, sfidarsi per individuare vulnerabilità in dispositivi elettronici di uso quotidiano, con l’obiettivo di rendere la tecnologia più sicura per tutti. Il montepremi complessivo è stato superiore a un milione di dollari, segno della crescente importanza attribuita alla scoperta di nuove minacce digitali.

Un festival della ricerca: cos’è Pwn2Own

Il Pwn2Own Ireland si distingue nel mondo della cybersicurezza come uno degli eventi più attesi, grazie al suo format unico che premia coloro che riescono a “bucare” – ovvero violare la sicurezza – di prodotti tecnologici tramite la scoperta di bug chiamati “zero-day”. Questi bug sono falle mai individuate prima dai produttori e possono essere sfruttate dai criminali informatici per accedere ai dispositivi. In questa edizione, i partecipanti hanno scoperto ben 73 vulnerabilità zero-day su stampanti, sistemi di archiviazione in rete, dispositivi smart home, apparecchi di sorveglianza e persino su smartphone di largo consumo.

Cos’è una vulnerabilità zero-day? Un esempio semplice

Immagina che il tuo smartphone abbia una porta invisibile che nessuno, nemmeno il costruttore, ha mai visto. Chi scopre quella porta può entrare senza chiavi e accedere ai tuoi dati. Solo quando la vulnerabilità viene segnalata, il produttore può “chiudere la porta” con un aggiornamento. Durante Pwn2Own, tanti ricercatori hanno segnalato queste porte invisibili, “zero-day”, aiutando le aziende a correggere i difetti prima che vengano usati per scopi illeciti.

I vincitori e gli exploit più curiosi

Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare il Samsung Galaxy S25, inclusa la fotocamera e il sistema di localizzazione, sfruttando un difetto nella verifica dei dati immessi dall’utente. Altri team hanno sfidato dispositivi come router di casa e speaker intelligenti, dimostrando come anche la sicurezza degli oggetti smart che usiamo a casa sia cruciale: Bongeun Koo ed Evangelos Daravigkas hanno impiegato 8 bug diversi per violare sistemi di rete e archiviazione, mettendo in luce la complessità della difesa digitale.
In definitiva, l’evento ha visto gli hacker etici competere per un montepremi di oltre 2 milioni di dollari. Ecco in dettaglio i momenti più salienti:

• Ben R. e Georgi G. di Interrupt Labs sono riusciti a violare un Samsung Galaxy S25, inclusi la fotocamera e il rilevamento della posizione, utilizzando un bug di convalida dell’input improprio, aggiudicandosi un premio di $50.000.
• Ken Gannon / 伊藤 剣 di Mobile Hacking Lab e Dimitrios Valsamaras di Summoning Team hanno violato un Samsung Galaxy S25 utilizzando 5 bug diversi, aggiudicandosi un premio di $50.000.
• Bongeun Koo ed Evangelos Daravigkas di Team DDOS hanno utilizzato 8 differenti bug e injection multiple, per completare un “SOHO Smashup” del router QNAP Qhora-322 e del dispositivo QNAP TS-453E NAS. Per questo, si sono aggiudicati un premio di $100.000.
• dmdung di STAR Labs SG Pte. Ltd ha utilizzato un singolo bug di accesso OOB per violare lo smart speaker Sonos Era 300, aggiudicandosi un premio di $50.000.
• Sina Kheirkhah e McCaulay Hudson di Summoning Team hanno sfruttato un paio di vulnerabilità per hackerare un Synology ActiveProtect Appliance DP320.
• Il Team Z3 ha ritirato il tentativo di dimostrare un exploit zero-click di WhatsApp, ma la ricerca è stata condivisa privatamente con Trend Micro ZDI e Meta, per garantire che eventuali potenziali vulnerabilità possano essere risolte.

Un exploit “zero-click”: che significa?

Si tratta di una tecnica che permette di compromettere un’app o un dispositivo senza che l’utente debba fare nulla: non serve aprire un messaggio, cliccare su un link, né scaricare un file. È come ricevere una lettera nel cassetto della posta che si apre da sola e mostra il contenuto a chi è alla porta. Al Pwn2Own, i tentativi di mostrare questi exploit sono stati portati avanti con responsabilità: la ricerca è stata condivisa in privato con i produttori, per evitare rischi agli utenti e consentire una rapida correzione.
Trend Micro mette in evidenza come questa competizione acceleri la protezione verso i propri clienti, offrendo aggiornamenti di sicurezza mediamente 71 giorni prima rispetto agli altri concorrenti. Significa che chi utilizza prodotti protetti grazie alle scoperte di Pwn2Own ha quasi due mesi di margine sulla diffusione delle nuove minacce.
Il prossimo evento, Pwn2Own Automotive, si terrà a Tokyo, Giappone, dal 21 al 23 gennaio 2026.

Una nuova minaccia informatica sta emergendo con caratteristiche tanto inquietanti quanto sofisticate: si chiama Stealerium, un infostealer open source che non si limita soltanto a rubare credenziali, dati bancari o cookie, ma introduce anche funzioni di monitoraggio dell’attività web e della webcam, con potenziali usi di sextortion.

Stealerium è stato reso pubblico su GitHub nel 2022, dichiaratamente per “scopi educativi”. Tuttavia, il fatto che il suo codice sia open source lo rende facilmente accessibile, editable e adattabile da chi ha intenzioni malevole. Diverse campagne cybercriminali stanno ormai sfruttando versioni modificate di Stealerium o malware strettamente correlati, come Phantom Stealer o Warp Stealer, che condividono parti consistenti del codice.

Come si propaga

La diffusione di Stealerium avviene tramite le tecniche classiche del phishing:

1. email che sembrano provenire da banche, enti pubblici, organizzazioni benefiche, con oggetti urgenti (“Payment Due”, “Court Summons”, “Donation Invoice”, etc.)
2. allegati compatti in formati ZIP, ISO, IMG, file JavaScript o VBScript, oppure file VBS dentro immagini disco (IMG, ISO) che eseguono loader malevoli
3. link che inducono il destinatario a scaricare ed eseguire il payload.

Funzionalità e tecnica: che cosa fa Stealerium

Una volta che il malware è installato, attiva varie funzionalità di furto dati e spionaggio:

Estrazione di dati sensibili
Stealerium può rubare password, cookie di browser, cronologia, dati di carte di credito, token di sessione da servizi online (anche giochi), chiavi di portafoglio di criptovalute, librerie di file vari sensibili archiviate sul dispositivo.

Persistenza e occultamento
– Crea un mutex per assicurarsi che non vengano avviate più istanze contemporaneamente.
– Effettua controlli anti-analisi: blocco in ambienti sandbox o virtualizzati, verifica di processi sospetti o nomi utente “blocklisted”.
– Usa attività schedulate (scheduled tasks) e loader con PowerShell per garantire che il malware sopravviva al riavvio.
In alcune varianti, disabilita o esclude alcune protezioni di Windows Defender tramite comandi PowerShell.

Ricognizione di rete e sistema
– Esecuzione di comandi come netsh wlan per elencare profili Wi-Fi salvati e reti wireless vicine, utile per movimento laterale o localizzazione.
– Uso di Chrome in modalità headless con opzioni come –remote-debugging-port per aggirare le protezioni del browser e leggere cookie o sessioni.

Funzione di sextortion automatizzata
Questa è l’aspetto più “disturbante” che differenzia Stealerium da molti altri infostealer:

-Il malware “ascolta” il browser alla ricerca di URL o parole chiave NSFW (Not Safe For Work), come “porn”, “sex”, etc. Quando le rileva, cattura screenshot delle schede attive e contemporaneamente scatta foto tramite webcam.

-Queste immagini possono poi essere inviate ai criminali per utilizzarle come arma di ricatto digitale. Anche se finora non ci sono report pubblici di vittime identificate con certezza che abbiano subito sextortion tramite questa specifica funzione, la presenza della feature è un segnale di rischio concreto.

Campagne osservate

Proofpoint segnala che da maggio 2025 è aumentato notevolmente il numero di campagne che usano Stealerium:

-Gli attori TA2715 e TA2536 sono stati identificati come utilizzatori del malware.
-I target includono settori come ospitalità, finanza, istruzione, ma anche utenti privati.
-Nei messaggi usati nei phishing si usano temi urgenti o per effetto leva psicologica: richieste di pagamento, sospensione di account, inviti all’azione immediata.

Perché è pericoloso

Violazione della privacy profonda: non solo dati economici o tecnici, ma anche immagini personali potenzialmente imbarazzanti.

Open source = facile diffusione: il codice pubblico significa che chiunque può studiarlo, modificarlo, migliorarlo, farne varianti meno rilevabili.

Varietà di metodi di esfiltrazione: invio tramite Telegram, Discord, SMTP, webhook, upload su servizi di file sharing tipo GoFile, Zulip, ecc.

Tecniche evasive: anti-analisi, blocchi se l’ambiente non soddisfa certi requisiti, cancellazione di sé stessi se compromessi.

Come difendersi

Ecco alcuni consigli pratici e tecnici per proteggersi da rischi come quelli introdotti da Stealerium:

Mantenere il sistema aggiornato: patch di sistema operativo, browser e antivirus/EDR.

Controlli su allegati e link: diffidare da email con allegati compressi, script, immagini disco sospette; non abilitare macro in documenti Office di origine non verificata.

Endpoint protection avanzata: usare soluzioni che controllino:
-attività sospette di PowerShell;
-creazioni di task schedulati non usuali;
-esecuzioni di processi “headless” o con remote debugging;
-esclusioni di Windows Defender o altre protezioni tramite script.

Monitoraggio del traffico in uscita: bloccare o segnalare traffico verso servizi che non dovrebbero essere usati, come upload non autorizzati, webhook di Discord/Telegram, servizi di file sharing pubblici.

Consapevolezza dell’utente: educare a riconoscere phishing, a usare webcam solo quando strettamente necessario, a coprire la webcam fisicamente quando non in uso.

Stealerium rappresenta un’evoluzione particolarmente insidiosa nel panorama degli infostealer: combina il furto di dati “tradizionale” con invasioni della privacy che possono portare a danni psicologici, oltre che economici. Per i professionisti della sicurezza, ma anche per utenti catturati nella vita quotidiana, è essenziale capire queste nuove funzionalità e adottare misure preventive.

*Illustrazione progettata da Freepick

Le truffe online colpiscano tutte le generazioni, con una particolare incidenza tra i giovani, sfatando il mito che gli anziani siano le vittime principali. Lo studio di Trend Micro suddivide le truffe più comuni per fascia d’età:

Generazione Z: più esposta a truffe legate allo shopping online, agli investimenti (soprattutto in criptovalute) e al mondo del lavoro, con perdite medie di 1.800 euro per utente.

Millennials: vittime di truffe con assegni falsi, false offerte di lavoro e raggiri da parte di finti funzionari governativi.

Generazione X: bersaglio di truffe sull’assistenza tecnica e sanitaria, approfittando del loro ruolo multitasking tra famiglia e lavoro.

Boomers e Generazione Silenziosa: colpiti da truffe su lotterie e premi, investimenti fraudolenti e truffe romantiche, sfruttando la solitudine.

“Le truffe online riguardano tutti a prescindere dall’età, ma la consapevolezza e la vigilanza rimangono le armi migliori. È fondamentale mantenere aggiornati i dispositivi, proteggere le informazioni personali e utilizzare password robuste. Bisogna diffidare dei contatti non verificati e dei pagamenti tramite metodi non convenzionali e prendersi tempo per riflettere sulle decisioni, consultando amici o familiari se sorgono dei dubbi. La chiave per difendersi dalle frodi digitali è rimanere informati e attenti”. Afferma Salvatore Marcis, Head of Channel and Territory Sales di Trend Micro Italia.

Maggiori informazioni sullo studio sono reperibili a questo indirizzo.

Leggi anche: “Nuove truffe: dove si nascondono”

*illustrazione articolo progettata da TrendMicro

Check Point® Software Technologies Ltd. ha pubblicato l’Indice delle minacce globali per ottobre 2024, evidenziando un aumento preoccupante degli attacchi da infostealer e la crescente sofisticazione dei metodi di attacco. In Italia, le minacce principali rimangono FakeUpdate al primo posto e Androxgh0st al secondo, con Lumma al terzo posto, sostituendo Formbook che scende al settimo. FakeUpdate, un downloader JavaScript, è la minaccia più significativa con un impatto dell’8,36%, seguita da Androxgh0st, una botnet che ruba informazioni sensibili, con un impatto del 6,7%. Lumma Stealer, un malware russo che sottrae informazioni e opera come Malware-as-a-Service, si posiziona al terzo posto con un impatto del 3,75%. I ricercatori hanno scoperto una nuova catena di infezione che utilizza false pagine CAPTCHA per distribuire Lumma Stealer, diffuso tramite URL di download di giochi craccati e email di phishing indirizzate agli utenti di GitHub. Questo metodo di infezione evidenzia l’efficacia crescente degli infostealer nel rubare credenziali e dati sensibili.

Il malware che colpisce Android

Nel settore del malware per dispositivi mobili, la nuova versione di Necro è diventata una minaccia significativa, classificandosi al secondo posto tra i malware più diffusi. Necro ha infettato numerose applicazioni popolari, inclusi mod di gioco su Google Play, compromettendo oltre 11 milioni di dispositivi Android. Utilizza tecniche di offuscamento e steganografia per eludere il rilevamento e nascondere i suoi payload. Una volta attivato, può visualizzare annunci in finestre invisibili, interagire con essi e abbonare le vittime a servizi a pagamento, dimostrando l’evoluzione delle tattiche degli aggressori per monetizzare le loro operazioni.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

FakeUpdates è il malware più diffuso questo mese con un impatto del 6% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto globale del 5% e AgentTesla con un impatto globale del 4%.

1. ↔ FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
2. ↔ Androxgh0st è una botnet che colpisce le piattaforme Windows, Mac e Linux e sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server. Il malware ruba informazioni sensibili come i dati dell’account Twilio, le credenziali SMTP, l’accesso a AWS, ecc. Utilizza i file Laravel per raccogliere le informazioni richieste e ha molteplici varianti che scansionano diverse informazioni.
3. ↑ AgentTesla – AgentTesla è un RAT avanzato che funziona come keylogger e ruba informazioni. È in grado di monitorare e raccogliere gli input dalla tastiera della vittima, di scattare screenshot e di esfiltrare le credenziali di una serie di software installati sul computer (tra cui Google Chrome, Mozilla Firefox e il client e-mail Microsoft Outlook).
4. ↑ Lumma Stealer, noto anche come LummaC2, è un malware legato alla Russia che ruba informazioni e che opera come piattaforma Malware-as-a-Service (MaaS) dal 2022. Questo malware, scoperto a metà del 2022, è in continua evoluzione e viene distribuito attivamente sui forum in lingua russa. LummaC2 si concentra sulla raccolta di vari dati dai sistemi infetti, tra cui le credenziali del browser e le informazioni sui conti delle criptovalute.
5. ↓ Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.

Le vulnerabilità maggiormente sfruttate

1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Esiste una vulnerabilità di directory traversal su diversi web server. La vulnerabilità è dovuta a un errore di convalida dell’input in un server web che non sanifica correttamente l’URI per i modelli di attraversamento delle directory. Uno sfruttamento riuscito consente agli attaccanti remoti non autenticati di divulgare o accedere a file arbitrari sul server vulnerabile.
2. ↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086 – È stata segnalata una vulnerabilità di iniezione di comandi su HTTP. Un attaccante remoto può sfruttare questo problema inviando una richiesta appositamente creata alla vittima. Uno sfruttamento riuscito consentirebbe a un aggressore di eseguire codice arbitrario sul computer di destinazione.
3. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – Esiste una vulnerabilità di command injection in Zyxel ZyWALL. Lo sfruttamento riuscito di questa vulnerabilità consentirebbe agli aggressori remoti di eseguire comandi arbitrari del sistema operativo nel sistema interessato.

Principali malware per dispositivi mobili

Questo mese Joker è al primo posto nella classifica delle minacce informatiche mobili più diffuse, seguito da Necro e Anubis.

1. ↔ Joker è uno spyware per Android presente in Google Play, progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo. Inoltre, il malware fa sottoscrivere silenziosamente alla vittima servizi premium su siti web pubblicitari.
2. ↑ Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, di mostrare annunci invadenti e di rubare denaro attraverso l’addebito di abbonamenti a pagamento.
3. ↓ Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.

I settori più attaccati a livello globale

Questo mese l’istruzione/ricerca è rimasta al primo posto nella classifica dei settori attaccati a livello globale, seguita da governo/militare e comunicazioni.

1. Istruzione/Ricerca
2. Governo/Militare
3. Comunicazioni

I gruppi di ransomware maggiormente rilevati

I dati si basano su informazioni provenienti da “siti della vergogna” gestiti da gruppi di ransomware a doppia estorsione che hanno pubblicato informazioni sulle vittime. RansomHub è il gruppo ransomware più diffuso questo mese, responsabile del 17% degli attacchi pubblicati, seguito da Play con il 10% e Meow con il 5%.

1. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware conosciuto come Knight. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.
2. Play Ransomware, noto anche come PlayCrypt, è un ransomware emerso per la prima volta nel giugno 2022. Questo ransomware ha preso di mira un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, colpendo circa 300 entità fino a ottobre 2023. Play Ransomware accede tipicamente alle reti attraverso account validi compromessi o sfruttando vulnerabilità senza patch, come quelle delle VPN SSL di Fortinet. Una volta all’interno, utilizza tecniche come l’uso di binari “living-off-the-land” (LOLBins) per attività quali l’esfiltrazione di dati e il furto di credenziali.
3. Meow Ransomware è una variante basata sul ransomware Conti, nota per la crittografia di un’ampia gamma di file sui sistemi compromessi e l’aggiunta dell’estensione “.MEOW”. Quando attacca lascia una nota di riscatto denominata “readme.txt”, istruendo le vittime a contattare gli aggressori via e-mail o Telegram per negoziare il pagamento del riscatto. Meow Ransomware si diffonde attraverso vari vettori, tra cui configurazioni RDP non protette, spam via e-mail e download dannosi.

*illustrazione articolo progettata da  Securelist

La seconda edizione di “Cybearly – forecasting 2025”, un evento dedicato alla sicurezza informatica promosso da Cybear e BearIT, si terrà il 3 e 4 ottobre 2024 al Museo delle Genti d’Abruzzo di Pescara. L’evento, che fa parte dell’European Cyber Security Month promosso dall’ENISA, gode del patrocinio del Comune di Pescara, Clusit, Assintel, Agid, e Women4Cyber, e della collaborazione con l’Università Politecnica delle Marche. Il programma prevede speech e una tavola rotonda sul ruolo delle donne nella cyber security, con interventi di esperti provenienti da vari settori. Inoltre, ci sarà la Cyber Security Challenge che coinvolgerà studenti di sei istituti superiori italiani, permettendo loro di mostrare le proprie abilità digitali e di incontrare professionisti e aziende del settore.

«L’idea di fondo del progetto Cybearly», commenta Gaspare Aristide Silvestri, CEO di BearIT, «è fare divulgazione sul tema della cyber security con il coinvolgimento di ospiti di livello internazionale. Con Cybearly – forecasting 2025 confermiamo questa visione, chiedendo – come abbiamo fatto per la scorsa edizione – ai nostri speaker di rendere la materia fruibile al pubblico con un linguaggio accurato ma non eccessivamente tecnico. In questo modo auspichiamo che il messaggio arrivi in maniera semplice ma non semplicistica a un maggior numero di persone possibile. In estrema sintesi, l’obiettivo di Cybearly – forecasting 2025 è di innalzare il livello di consapevolezza generale, dal cittadino al professionista, sulle tematiche di cyber sicurezza, fornendo al pubblico alcuni strumenti pratici per identificare e contrastare le minacce informatiche».

Sono previste due modalità per partecipare gratuitamente all’evento: in presenza o in diretta live streaming. Sarà possibile seguire l’evento in presenza, previa iscrizione tramite il form presente sul sito www.cybearly.com. L’iscrizione dà diritto, oltre che al posto garantito in sala, al caffè di benvenuto e al light lunch. O in alternativa a distanza, sempre tramite iscrizione sul sito: in questo caso il link per seguire la diretta streaming sarà inviato il giorno prima dell’evento all’indirizzo e-mail specificato al momento dell’iscrizione. In entrambi i casi, l’iscrizione può essere effettuata al seguente link.

Clicca qui per prendere visione del programma completo dell’evento.

Secondo l’ultimo rapporto di Check Point Research, le scuole e le università, con i loro dati sensibili e misure di sicurezza informatica spesso inadeguate, sono diventate obiettivi primari per i criminali informatici. Il rapporto, della divisione di Threat Intelligence di Check Point® Software Technologies Ltd., rivela che il settore dell’istruzione è stato il più colpito dagli attacchi informatici nel 2024. Inoltre, i dati evidenziano una disparità tra i settori e differenze a livello di regioni geografiche.
Dall’inizio dell’anno alla fine di luglio, il settore dell’istruzione/ricerca è stato il più bersagliato a livello globale, con una media di 3.086 attacchi per organizzazione, a settimana. Si tratta di un aumento del 37% rispetto all’anno precedente, comparato con il secondo settore più bersagliato, quello governativo/ militare.

Media settimanale di attacchi per organizzazione nel 2024 vs 2023

Attacchi complessivi per regione

La regione APAC è quella che ha registrato il maggior numero di attacchi informatici contro le organizzazioni del settore Istruzione/Ricerca dall’inizio dell’anno, con 6.002 attacchi settimanali per organizzazione. Il Nord America ha registrato il più alto incremento su base annua, con un aumento del 127%.

L’India è il Paese più bersagliato

Il testo riporta che l’India è il Paese più bersagliato nel settore dell’istruzione e della ricerca, con 6.874 attacchi settimanali per organizzazione, un aumento del 97% su base annua. La rapida adozione dell’apprendimento a distanza e la digitalizzazione dell’istruzione, dovute ai lockdown per il COVID, hanno creato opportunità per i criminali informatici. La proliferazione di piattaforme di apprendimento online ha aumentato i rischi, mentre scuole e università spesso trascurano la sicurezza informatica, lasciando le reti vulnerabili. In Germania e Portogallo si registra un aumento del 66% degli attacchi. In Italia, con 4.730 attacchi settimanali, c’è un incremento del 40% rispetto all’anno scorso, superando del 53% la media globale.

Perché proprie le scuole?

Il testo evidenzia l’interesse per i dati personali conservati dagli istituti scolastici, che includono non solo dipendenti come insegnanti e docenti, ma anche studenti. Le reti di scuole, college e università sono quindi più ampie, aperte e difficili da proteggere, contenendo molte informazioni di identificazione personale (PII) utili a fini finanziari. Gli studenti, non essendo vincolati da rigide linee guida aziendali, utilizzano i propri dispositivi, lavorano da alloggi condivisi e si connettono a Wi-Fi pubblici, aumentando i rischi per la sicurezza. Questa situazione crea una “tempesta perfetta” per le minacce informatiche.

Campagna di phishing negli Stati Uniti

In vista dell’inizio del nuovo anno scolastico, Check Point ha rilevato la creazione di 12.234 nuovi domini relativi a scuole e istruzione, con un incremento del 9% rispetto all’anno precedente. Di questi, 1 dominio su 45 è stato classificato come dannoso o sospetto. Nel luglio 2024, Check Point Research ha osservato diverse campagne di phishing negli Stati Uniti che utilizzavano nomi di file legati alle attività scolastiche per attirare le vittime. Una di queste campagne includeva il file “DEBIT NOTE_ {nome e data} _schoolspecialty.com.html”, che imitava un messaggio di accesso Adobe PDF.

Un’altra campagna ha utilizzato il nome del file “{nome della scuola} High School July Open Enrollment for Health & Financial Benefits.htm” e conteneva un codice altamente offuscato, che sembrava visualizzare una pagina di login Microsoft per qualche organizzazione.

*illustrazione articolo progettata da  CheckPoint

Di recente, il malware Industroyer2 si è distinto come una delle armi più pericolose impiegate nella guerra in Ucraina. Conosciuto anche come CrashOverride, si tratta di un agente altamente sofisticato che mira a compromettere i sistemi di automazione industriale (ICS), utilizzati ampiamente nel settore energetico. È in grado di infiltrarsi nei sistemi SCADA (Supervisory Control And Data Acquisition) e di compromettere le infrastrutture critiche, come le sottostazioni elettriche e le reti di distribuzione. Sfrutta vulnerabilità presenti nei protocolli di comunicazione utilizzati nei sistemi ICS, tra cui il protocollo IEC 61850, comunemente impiegato nel settore energetico. Attraverso l’analisi delle reti e l’intercettazione dei comandi di controllo, è in grado di eseguire attacchi mirati e causare il blackout delle reti elettriche.

Industroyer2 implementa solo il protocollo IEC-104 (noto anche come IEC 60870-5-104) per comunicare con le apparecchiature industriali. Fonte: https://www.welivesecurity.com

MODALITÀ DI ATTACCO

Industroyer2 si diffonde attraverso varie fasi di attacco, ognuna delle quali svolge un ruolo specifico nel compromettere l’infrastruttura target. Tra le sue funzionalità principali, possiamo identificare: il rilevamento della rete, l’analisi della rete e l’identificazione dei dispositivi, nonché l’individuazione di vulnerabilità presenti. Subito dopo, tenta di creare delle interferenze con i protocolli di comunicazione: il malware manipola i messaggi di controllo inviati tra le diverse componenti del sistema ICS. Ciò gli consente di assumere il controllo dei dispositivi e di modificare il loro comportamento. Infine, disabilita i dispositivi critici come interruttori, trasformatori e generatori, provocando un black-out e danni significativi alle infrastrutture.

Una volta avviato Industroyer2, si apre una finestra del prompt che visualizza i comandi che vengono inviati e ricevuti. In questo caso, a essere presa di mira è la porta 2404 utilizzata da IEC-104 per inviare messaggi TCP. Fonte: https://www.sentinelone.com

PAROLA D’ORDINE: COLLABORAZIONE

Durante gli attacchi ai sistemi energetici hanno causato black-out prolungati, con conseguente mancanza di elettricità per le comunità colpite. Questo ha avuto un impatto diretto sulle attività quotidiane, inclusi i servizi essenziali come l’approvvigionamento idrico, i trasporti e i servizi sanitari. Tanto che Industroyer2 ha spinto la comunità internazionale a intensificare gli sforzi per la prevenzione e la mitigazione delle minacce cibernetiche nel settore energetico. Le agenzie governative, i ricercatori di sicurezza informatica e le aziende del settore energetico stanno collaborando per sviluppare contromisure e soluzioni di difesa più efficaci.

NUOVA VERSIONE

In concomitanza con la diffusione di Industroyer2 nella rete ICS, gli attaccanti hanno distribuito anche una nuova versione del malware CaddyWiper, molto probabilmente con lo scopo di rallentare il processo di recupero e impedire agli operatori della compagnia energetica di riprendere il controllo delle console ICS. È stato anche distribuito sulla macchina in cui è stato eseguito Industroyer2, probabilmente per coprire le loro tracce.

Schema di funzionamento dell’attacco combinato di Industroyer2 e CaddyWiper.  Fonte: https://www.headmind.com/fr/industroyer-2/