BotNet
Una botnet è una rete di droni zombie sotto il controllo di un hacker. Quando i black hat lanciano un attacco Distributed Denial of Service, ad esempio, utilizzeranno una botnet sotto il loro controllo. Molto spesso, gli utenti dei sistemi hackerati non sanno nemmeno di essere coinvolti o che le loro risorse di sistema vengono utilizzate per eseguire attacchi DDOS o per spam. Non solo aiuta a coprire le tracce del hacker, ma aumenta la ferocia dell’attacco utilizzando le risorse di molti sistemi informatici in uno sforzo coordinato.

Articoli
Test distro: OpenSUSE Leap 15.6
Alla scoperta dell’OS basato su GNU/Linux, che fornisce all’utente un ambiente di lavoro versatile e personalizzabile

Fin dal 2005, con il rilascio della versione 10.0, la comunità del progetto openSUSE si occupa di questo particolare sistema operativo basato su GNU/Linux, che fornisce all’utente un ambiente di lavoro versatile e personalizzabile. Come vedrete, fin dal momento dell’installazione è possibile scegliere fra tre diversi ambienti desktop: KDE Plasma,
GNOME e Xfce. Inoltre, sono disponibili uno definito generico e la versione server. In tal modo vengono coperte tutte le esigenze. Va anche notato come il programma di installazione si occupi automaticamente di tutta una serie di
operazioni, come la configurazione della rete, rendendo così le cose molto semplici anche agli utenti meno esperti.
Le novità principali
Basata sul kernel Linux 6.4, la versione 15.6 di openSUSE Leap risulta particolarmente stabile e affidabile. A migliorarne la sicurezza ci pensa la nuova versione di Python che ha permesso la rimozione di numerosi pacchetti obsoleti e ormai privi di manutenzione. La principale novità presentata dagli sviluppatori è l’introduzione del pacchetto Cockpit. Grazie a esso, viene migliorata la gestione del sistema e dei contenitori e viene fornita un’interfaccia Web più intuitiva e con funzionalità avanzate. Sul fronte audio ci sono stati importanti aggiornamenti con il rilascio di PulseAudio 17.0 e PipeWire 1.0.4 che migliorano la compatibilità hardware e la funzionalità Bluetooth. A tutto questo va aggiunta tutta una lunga serie di aggiornamenti che segna un sensibile passo avanti rispetto alla versione rilasciata un anno prima.
L’ambiente GNOME
Ciò che l’utente si troverà di fronte al termine dell’installazione dell’ambiente desktop GNOME è un’interfaccia estremamente spartana, il cui unico elemento interattivo è rappresentato dalla barra superiore, divisa in tre
parti. Al centro troverete l’orologio e il calendario con l’agenda delle notifiche, che può essere
disattivata attivando con un clic la funzione Non disturbare. Premendo sull’icona a destra si visualizza un menu multifunzionale. Qui è possibile attivare la Luce notturna e lo Stile scuro e regolare la Modalità energia. Inoltre, ci
sono il pulsante per aprire la finestra Impostazioni, quello per catturare una schermata e quello per accedere ad azioni come lo spegnimento e il riavvio del sistema. Tuttavia, il pulsante più importante è quello che si trova a sinistra. Facendo clic su di esso vengono visualizzate le aree di lavoro selezionabili, il motore di ricerca interno e la
Dash. Quest’ultima si presenta con sei pulsanti. Il primo attiva Firefox, il secondo avvia Evolution, il terzo apre il lettore musicale e il quarto lancia LibreOffice Writer. Seguono poi il pulsante per accedere a file e cartelle e quello
per visualizzare le applicazioni installate. Queste possono essere aggiunte alla Dash selezionando il comando nel menu contestuale di ciascuna. Volendo arricchire la già ottima dotazione del sistema operativo, sarà sufficiente avviare Software e cercare le applicazioni di cui avete bisogno o che siete curiosi di provare. Questo è il link per il download.
Installazione di openSUSE Leap
Scelta della lingua
Spostatevi su Installation e premete INVIO. Aspettate che l’installatore svolga i primi tre passi automaticamente poi,
quando viene visualizzata la schermata Welcome, scegliete Italian – Italiano nel menu Language. In questo modo apparirà Italiana in Mappatura della tastiera.
Repository online
Fate clic su Avanti se la tastiera corrisponde già alla vostra, altrimenti modificatela nel menu. Quando compare la finestra pop-up Repository online, premete su Sì per attivarli. Nella schermata successiva vedrete un elenco di questi repository. Selezionate quelli che volete aggiungere e fate clic su Avanti.
Scelta del desktop
Terminata l’aggiunta dei repository, scegliete il tipo di ambiente desktop tra i quattro a disposizione. In questa guida è stato selezionato GNOME, ma la procedura successiva rimane identica anche per gli altri. Quindi, fatta la vostra scelta, premete su Avanti per accedere alla configurazione del disco rigido.
Disco e fuso orario
Nella schermata Partizionamento suggerito, controllate i parametri predefiniti e, se necessario, modificateli facendo clic su Configurazione guidata. In questo esempio si è semplicemente premuto su Avanti. In Fuso orario e orologio l’impostazione automatica è Europa e Italia. Fate clic su Avanti.
Creazione dell’Utente
Nella schermata Utente locale compilate il campo Nome utente completo. Il successivo si compila automaticamente. Inserite una password e ripetetela in Conferma password. Lasciate selezionate le due opzioni in basso e fate clic su Avanti. In Impostazioni dell’installazione premete su Installa e di nuovo su Installa.
Avvio di openSUSE
Finita l’installazione, rimuovete il file relativo e riavviate. Nella schermata Benvenuto deselezionate Mostra al prossimo avvio e fate clic su Chiudi. Per personalizzare lo sfondo, fate un clic destro sulla Scrivania e premete su Cambia sfondo. Per visualizzare le aree di lavoro e la Dash, premete sul pulsante in alto a sinistra.
Leggi anche: “Test distro: FreeBSD“
News
Occhio alla vulnerabilità CitrixBleed 2
Il nuovo bug colpisce Citrix NetScaler. Akamai rilascia una protezione immediata

Il mondo della cybersecurity torna a occuparsi di Citrix. Lo scorso 4 luglio 2025 sono stati infatti pubblicati i dettagli di una nuova e grave vulnerabilità, identificata come CVE-2025-5777 e soprannominata CitrixBleed 2, che colpisce i dispositivi Citrix NetScaler ADC e Gateway. Si tratta di una falla di tipo memory disclosure, che consente a un attaccante non autenticato di ottenere accesso arbitrario a porzioni casuali della memoria di sistema.
Accesso ai dati senza autenticazione
L’aspetto più preoccupante di CitrixBleed 2 è la sua semplicità di sfruttamento: basta una semplice richiesta POST all’endpoint /p/u/doAuthentication.do per attivare l’exploit. L’attacco sfrutta una variabile non inizializzata nel codice C/C++ del modulo di autenticazione, che permette al malintenzionato di leggere blocchi di memoria non protetti. In questi blocchi potrebbero trovarsi token di sessione, credenziali, chiavi di accesso e informazioni di configurazione interna, con un impatto potenzialmente devastante sulla sicurezza aziendale.
Rischi immediati e Proof of Concept online
Citrix aveva notificato la vulnerabilità ai propri clienti già il 17 giugno, ma la situazione è precipitata il 4 luglio con la pubblicazione di un proof of concept (PoC) pubblico. Nelle 24 ore successive, i ricercatori di Akamai hanno osservato una vera e propria ondata di traffico malevolo, con oltre 200.000 richieste sospette legate a scanner automatici e tentativi reali di sfruttamento. È quindi probabile che molti attori della minaccia abbiano già iniziato a testare la vulnerabilità in scenari reali.
La risposta di Akamai
In risposta alla minaccia, il team WAF Threat Research di Akamai ha rilasciato tempestivamente la Rapid Rule 3000967, integrandola nei sistemi App & API Protector. La regola, inizialmente attivata in modalità “alert”, è stata impostata su “deny” a partire dall’8 luglio, bloccando di fatto qualsiasi tentativo di attacco per tutti i clienti protetti da questa tecnologia. Chi utilizza Akamai per la protezione di applicazioni web e API non deve effettuare alcuna configurazione manuale: la mitigazione è stata applicata automaticamente a tutti i clienti con policy aggiornate. Un vantaggio significativo in situazioni in cui il tempo è un fattore critico per contenere l’esposizione.
CitrixBleed 2 richiama alla memoria il precedente CVE-2023-4966, noto come CitrixBleed, ma la nuova vulnerabilità si presenta con caratteristiche ancora più critiche. A differenza del suo predecessore, non è richiesto alcun livello di autenticazione, rendendo l’exploit accessibile anche ad attaccanti con risorse e competenze limitate.
Leggi anche: “Vulnerabilità zero day di Microsoft“
*illustrazione articolo progettata da Freepik
News
Il lato oscuro del turismo
Con la ripresa del turismo globale, aumentano anche le minacce digitali. DDoS, ransomware e phishing colpiscono compagnie aeree, agenzie e piattaforme online, sfruttando vulnerabilità tecniche e umane

Con la ripresa globale del turismo, anche le minacce informatiche nel settore dei viaggi sono in netto aumento. Secondo un recente report di Check Point, tra il 2023 e il 2025 si è registrato un incremento significativo di attacchi informatici contro compagnie aeree, agenzie, piattaforme di prenotazione e fornitori di servizi di trasporto. Il settore, altamente digitalizzato e interconnesso, rappresenta un bersaglio ricco di dati e particolarmente vulnerabile.
Le tecniche usate
Gli attacchi più diffusi includono DDoS, ransomware, phishing mirato e compromissioni della supply chain. Una caratteristica chiave di questo settore è l’ampia dipendenza da sistemi legacy e infrastrutture cloud spesso mal configurate, oltre all’uso estensivo di fornitori terzi. Questi fattori amplificano la superficie di attacco e rendono più difficile la difesa.
Tra gli incidenti recenti più gravi, si segnala l’attacco DDoS che nel marzo 2025 ha colpito un importante operatore di biglietteria aerea in area DACH (Germania, Austria, Svizzera), causando il blocco delle prenotazioni e gravi disagi a clienti e agenzie. In Australia, invece, una configurazione errata di un bucket Amazon S3 ha portato alla violazione di oltre 112.000 record, tra cui passaporti, visti e numeri di carte di credito.
Anche il phishing si è evoluto: grazie all’intelligenza artificiale, gli attaccanti creano esche sempre più sofisticate. Nel 2023, una catena di resort statunitense è stata compromessa dopo che i criminali, fingendosi dipendenti, hanno ottenuto credenziali tramite una convincente campagna di social engineering, rubando 6 TB di dati e bloccando i sistemi di prenotazione e accesso alle camere.
La compromissione di terze parti è un altro vettore critico. Un attacco del 2023 a una compagnia aerea europea ha sfruttato malware di web skimming su un fornitore di pagamenti, portando al furto di dati sensibili come numeri di passaporto e informazioni di contatto, oltre alle carte di credito.
Infine, non mancano le minacce geopolitiche. Nell’agosto 2024, APT28 (Fancy Bear), gruppo collegato al governo russo, ha preso di mira il traffico aereo tedesco, compromettendo i sistemi amministrativi e le comunicazioni interne.
Il messaggio è chiaro: l’industria dei viaggi deve rafforzare le proprie difese informatiche, adottando misure come la segmentazione delle reti, il monitoraggio continuo, una corretta configurazione delle risorse cloud e solidi protocolli di gestione delle terze parti.
Leggi anche: “Il Phishing non va in vacanza“
*illustrazione articolo progettata da Freepik
News
Il ransomware che usa modelli LLM
Scoperto dal team GReAT di Kaspersky, il nuovo malware combina intelligenza artificiale, crittografia avanzata e attacchi multi-fase

Durante l’evento “Kaspersky Horizons” tenutosi a Madrid, il team GReAT (Global Research and Analysis Team) ha presentato una nuova minaccia informatica destinata a cambiare lo scenario dei ransomware: FunkSec. Questo gruppo, attivo dalla fine del 2024, si distingue per l’integrazione massiva dell’intelligenza artificiale nei propri strumenti e tattiche. Secondo il più recente State of Ransomware Report, gli attacchi ransomware continuano a crescere, con un incremento globale dello 0,44% degli utenti colpiti rispetto all’anno precedente.
Analisi del malware
FunkSec è un esempio lampante di questa evoluzione. Il gruppo prende di mira settori strategici – tra cui governativo, tecnologico, finanziario e accademico – con operazioni rapide e su larga scala, soprattutto in Europa e Asia. A renderlo particolarmente insidioso è la sua architettura tecnica sofisticata, costruita in linguaggio Rust, che include crittografia avanzata, esfiltrazione di dati e funzioni di auto-pulizia, tutto all’interno di un unico eseguibile. Uno degli aspetti più innovativi è il meccanismo “password-gated”: il malware si attiva con diverse intensità in base alla presenza di una password. Senza password, effettua una cifratura base; con la password corretta, scatena un attacco completo, combinando cifratura e furto mirato di dati. Questo approccio rende il ransomware estremamente versatile e personalizzabile per ogni attacco.
Altro elemento distintivo è l’utilizzo diretto dell’intelligenza artificiale generativa per scrivere il codice. Analisi forensi indicano che molte parti del malware – inclusi commenti placeholder e funzioni inutilizzate – sono state generate da LLM (Large Language Models), abbassando così la soglia tecnica per sviluppare strumenti avanzati. Come osserva Marc Rivero, Lead Security Researcher di Kaspersky, l’IA sta diventando un moltiplicatore di capacità per la criminalità informatica, permettendo anche a gruppi poco esperti di produrre malware su scala industriale.
A livello economico, FunkSec adotta una strategia controcorrente: richieste di riscatto contenute, anche a partire da 10.000 dollari, combinate con la rivendita di dati rubati a terzi. Questo modello “high-volume, low-ransom” punta a moltiplicare gli attacchi, costruendo rapidamente una solida reputazione nei forum cybercriminali.
Non solo ransomware
Sul proprio Dark Leak Site il gruppo ospita strumenti come un generatore di password basato su Python per attacchi brute-force e un modulo DDoS. L’intero kit è pensato per essere usato anche da affiliati, offrendo un pacchetto plug-and-play capace di eludere oltre 50 processi di sistema, evitando il rilevamento e complicando la risposta forense. Secondo Kaspersky, FunkSec rappresenta un punto di svolta nella cybercriminalità moderna, segnando il passaggio verso malware autonomi, adattivi e alimentati dall’intelligenza artificiale. La combinazione tra sofisticazione tecnica, automazione AI, basso costo e accessibilità potrebbe portare a una nuova ondata di minacce su scala globale. I sistemi Kaspersky rilevano questa minaccia come HEUR:Trojan-Ransom.Win64.Generic.
*illustrazione articolo progettata da SecureList
Articoli
Varchi di (in)sicurezza negli aeroporti
Quando una SQL Injection può mettere a rischio il sistema di controllo. Svelati i retroscena

In italiano la parola “sicurezza”, almeno quando si parla di tecnologia, può essere ambigua. In effetti, utilizziamo la stessa parola per indicare sia quella che in inglese è “safety”, sia la “security”. Il problema è che sono due concetti differenti che spesso si sovrappongono, ma non sempre. E il caso più palese è l’aeronautica. Le decine di sistemi, sia l’avionica a bordo degli aeroplani che il controllo di volo a terra, sono progettati per garantire la “sicurezza” nel senso di safety: fare in modo che ogni aeroplano possa decollare e atterrare senza incidenti, anche in caso di malfunzionamento di alcuni componenti. Per questo motivo esistono molti meccanismi ridondanti e tutti scambiano informazioni liberamente. Così, se un sensore per il livello del carburante dovesse guastarsi, il computer può leggerne un altro. Se una linea di comunicazione con i martinetti idraulici si dovesse danneggiare si potrebbe usare un’altra. Persino i sistemi che inviano informazioni agli altri aerei, come l’ADS-B (che permette a ogni aereo di sapere quali altri aerei ci siano nelle vicinanze per evitare collisioni), comunicano nel modo più semplice e aperto possibile: più un sistema è complesso, maggiore è la probabilità che si blocchi per qualche errore non previsto.
Chi vede le cose dal punto di vista della “sicurezza” intesa come cybersecurity, però, si rende conto immediatamente che c’è un problema: se un sistema è troppo semplice, sarà anche relativamente semplice da attaccare volontariamente.
Nel caso dell’ADS-B si è dimostrato che è possibile persino da terra generare dei segnali radio fittizi (ADS-B spoofing), dando agli aeroplani l’illusione di un cielo congestionato e mettere in crisi i piloti, mentre in realtà c’è un solo aereo in volo.
La differenza di fondo è questa: chi si occupa di safety cerca di proteggere i sistemi da un loro stesso fallimento, tipicamente dovuto a un difetto di progettazione non ancora scoperto; chi invece si occupa di security cerca di proteggere i sistemi da un attacco volontario da parte di qualche malintenzionato.

Provando a inserire qualche testo contenente apici si otteneva un messaggio di errore che indicava chiaramente la possibilità di una SQL injection. FONTE: https://ian.sh/tsa.
Dove 1 è uguale a 1
Tutto ciò che ruota attorno al mondo dell’aeronautica civile dondola in equilibrio tra safety e security, con un occhio sempre puntato all’aspetto economico: è pur sempre un business, le aziende cercano di risparmiare tempo e denaro dove possibile.
Un esempio sono alcune file speciali ai controlli di sicurezza dei grandi aeroporti internazionali, indicate spesso come KCM (Known Crew Member, personale di volo). Queste permettono a personale fidato come i piloti di passare i controlli molto velocemente, senza fare la fila che spetta ai normali passeggeri. Un meccanismo simile è il CASS, Cockpit Access Security System. Nel complesso si tratta di un protocollo che permette (tipicamente ai piloti) di salire su un aereo qualsiasi come “ospiti”, su un sedile nella cabina di pilotaggio. Così possono raggiungere l’aeroporto da cui dovranno partire per il prossimo volo anche se sui normali posti a sedere non è rimasto nemmeno uno spazio libero. Come vengono identificati i piloti? In linea di massima, ogni compagnia aerea ha il suo sistema gestionale per tenere una lista contenente tutti i nomi dei piloti. Poi, però, esistono anche degli aggregatori che offrono questo servizio, soprattutto per le linee aeree più piccole, che non hanno i fondi per sviluppare e mantenere un gestionale internamente: almeno negli USA, questo è il ruolo di FLYCASS. Le linee come Air Transport International ottengono una interfaccia Web dedicata, per esempio questo sito Internet.
A questa pagina c’è un form per il login, eseguito il quale gli utenti (che sono i responsabili del personale) possono aggiungere o rimuovere persone sulla lista KCM o CASS. Però c’è un form di login: si potrebbe supporre che, quindi, sia tutto sicuro fintanto che i vari utenti utilizzano password sicure.
E, invece, no: fino alla versione del sito precedente agli ultimi bugfix, questa pagina consentiva una SQL injection. E anche piuttosto banale: il campo email veniva inserito direttamente nella query, senza alcuna validazione.
Quindi era possibile scrivere nel campo una stringa del tipo:
‘ or ‘1’=’1
Per interrompere la stringa e di fatto sostituire la condizione con l’ovvio 1=1. E, a quel punto, bastava fare sostanzialmente la stessa cosa per la password, scrivendo:
‘) OR MD5(‘1’)=MD5(‘1
Non sappiamo esattamente quale fosse il codice del sito, ma probabilmente la query SQL era costruita in questo modo:
“where email = ‘” + usremail + “’ and password = MD5(‘” + usrpass + “’)”
Il risultato della SQL injection diventava questo:
“where email = ‘’ or ‘1’=’1’ and password = MD5(‘’) OR MD5(‘1’)=MD5(‘1’)”
In altre parole, questa semplice chiamata HTTP:
curl ‘https://flycass.com/ati/login’ -H ‘Origin: https://flycass.com’
-H ‘Content-Type: application/x-www-form-urlencoded’
-H ‘User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36’
-H ‘Referer: https://flycass.com/ati/?cmd=login’
–data-raw ‘_token=Im0wVENDOTufq4EmZHO3UjPkXdq2nnKr1vlsulUD&email=%27%20or%20%271%27%3D%271&password=%27%29%20OR%20MD5%28%271%27%29%3DMD5%28%271’
Il sito offriva così un accesso di amministrazione alla lista del personale per questa compagnia aerea. Il token si sessione si può ottenere con una prima chiamata GET generica alla pagina in questione. Non solo. Nel sistema non era previsto alcun meccanismo secondario di verifica: dopo la prima autenticazione, l’utente aveva accesso a qualunque cosa, inclusa la possibilità di aggiungere una persona qualsiasi all’elenco del personale autorizzato a saltare i controlli di sicurezza e ad accedere alle cabine degli aerei. Tutto questo semplicemente inserendo i dati anagrafici e una fotografia della persona in questione. I ricercatori di sicurezza (intesa come security) che si sono accorti del problema hanno provato ad aggiungere una persona arbitraria, quindi non un vero pilota, e la nuova lista dei passeggeri autorizzati contenente l’impostore è stata propagata nel giro di breve tempo senza che intervenissero ulteriori controlli.

Ottenuto l’accesso come amministratori, era possibile creare un nuovo utente, che vieniva automaticamente approvato per le liste KCM e CASS. FONTE: https://ian.sh/tsa.
Entità della vulnerabilità
L’effettivo impatto di questa vulnerabilità è complesso da valutare: si tratta di uno specifico errore di progettazione in un singolo sito web, se la cosa finisse lì sarebbe quasi irrilevante. Il problema è che la centralizzazione delle informazioni dei sistemi KCM e CASS rischi di amplificare questo tipo di vulnerabilità: se tutti gli aeroporti e le compagnie aeree si fidano dei dati che ricevono dai vari gestionali basta un piccolo bug come questo per mettere in pericolo l’intero sistema. Naturalmente, i responsabili della compagnia aerea (ATI, nell’esempio) possono accorgersi che è stata aggiunta una persona. Il problema è che non sappiamo se ci siano delle segnalazioni automatiche (o una conferma obbligatoria) all’aggiunta di un individuo nella lista degli autorizzati a salire sugli aerei, o se tutto sia lasciato alla solerzia della compagnia aerea.
La soluzione
Il problema è stato corretto modificando il sistema di login, prevedendo una validazione dei campi per evitare SQL injection.
Non sappiamo se sia anche stato sviluppato un meccanismo di permessi per fare in modo che solo alcuni utenti possano modificare le liste aggiungendo passeggeri autorizzati. Ciò che è certo è che risulta, che questo specifico bug non è più sfruttabile. Non sappiamo poi se altri siti web che offrono servizi simili alle piccole compagnie aeree possano avere bug simili: la vulnerabilità di fondo dei sistemi KCM e CASS, infatti rimane. E questo proprio perché sono sistemi progettati per “fidarsi” delle compagnie aeree e delle loro basi di dati, per garantire la “safety” piuttosto che la “security”.
A cura di Luca Tringali
Leggi anche: “Database: l’SQL Injection è dietro l’angolo“
News
Il pericolo viene dai cookie
Alcuni siti falsi, che imitano in modo molto convincente Booking.com, vengono utilizzati per ingannare gli utenti e indurli a installare pericolosi malware

Con l’estate alle porte, cresce la corsa alle offerte per prenotare viaggi e vacanze. Ma dietro alle allettanti promozioni si nasconde una nuova minaccia informatica: falsi siti di prenotazione viaggi che, attraverso banner per l’accettazione dei cookie, installano malware nei dispositivi degli utenti. A lanciare l’allarme è HP, nel suo ultimo Threat Insights Report, pubblicato da HP Wolf Security.
Cookie malevoli: il nuovo volto dell’ingegneria sociale
Secondo gli esperti di HP, gli hacker stanno approfittando della “fatica da clic” che colpisce molti utenti durante la navigazione, specialmente in contesti stressanti come la ricerca di voli o hotel. I siti truffa, esteticamente simili a noti portali come Booking.com, mostrano un finto banner per la gestione dei cookie. Un clic su Accetta avvia in realtà il download di uno script malevolo in JavaScript.
Questo semplice gesto installa XWorm, un potente trojan di accesso remoto (RAT), che consente agli attaccanti di prendere il controllo completo del dispositivo: dai file personali alla webcam, dal microfono alla possibilità di disabilitare strumenti di sicurezza o installare ulteriore malware.
Altre tecniche in crescita: documenti camuffati e MSI infetti
Il report evidenzia anche altre tecniche sempre più usate dai cybercriminali, in particolare troviamo:
-
File camuffati come PDF in cartelle familiari come “Documenti” o “Download”, ma che in realtà attivano codice dannoso. L’inganno avviene tramite un file di collegamento all’interno di una cartella remota WebDAV, che inganna l’utente facendogli credere che si tratti di un file sicuro.
-
Presentazioni PowerPoint malevole che si aprono a schermo intero imitando una cartella di sistema. Un clic apparentemente innocuo attiva il download di un archivio contenente uno script e un eseguibile che scaricano un payload da GitHub.
-
MSI infetti (installer di Windows) sempre più usati per diffondere malware, spesso in campagne legate a ChromeLoader. Gli attaccanti utilizzano certificati di firma del codice validi per aggirare i controlli di sicurezza di Windows.
Gli esperti consigliano sempre di verificare l’indirizzo web prima di inserire dati o cliccare su banner; di diffidare da siti con grafica “sfocata” o testi poco leggibili; di utilizzare software di sicurezza avanzati e aggiornati; di evitare di scaricare file da fonti non certificate o poco familiari.
*illustrazione articolo progettata da HP
News
Industria italiana nel mirino hacker
Secondo il report stilato da Kaspersky, il 90% delle aziende industriali italiane nel 2024 sono state colpite da cyber attacchi

Nel 2024, la quasi totalità delle organizzazioni industriali italiane ha subito almeno un incidente informatico: è quanto emerge dalla nuova ricerca di Kaspersky dedicata alla cybersecurity nel settore manifatturiero. Secondo il report, ben il 90% degli intervistati ha riportato attacchi negli ultimi 12 mesi, e oltre un terzo si è trovato ad affrontare eventi di gravità elevata. Un dato allarmante, che conferma come il comparto industriale sia oggi un bersaglio privilegiato per i cybercriminali.
Tra le minacce più comuni spiccano malware, ransomware, attacchi DDoS e le violazioni legate al fattore umano. Oltre l’80% delle aziende ha dichiarato di aver subito tentativi di furto di proprietà intellettuale o segreti industriali. Non solo: il 57% ha subito tra due e tre interruzioni operative in un solo anno, spesso con impatti significativi sulla continuità produttiva.
Una criticità particolarmente rilevante è quella delle supply chain: l’86% dei decision maker intervistati ritiene che la propria catena di fornitura sia vulnerabile, soprattutto a causa della presenza di sistemi legacy e tecnologie obsolete. Anche i partner e i fornitori rappresentano un punto debole, spesso sfruttato dai cybercriminali per penetrare nei sistemi aziendali più strutturati.
Quali conseguenze?
Le conseguenze di un attacco informatico nel settore industriale non si limitano ai danni immediati: secondo le aziende coinvolte nello studio, le principali ripercussioni sono la compromissione della qualità del prodotto, calo dell’efficienza, interruzioni produttive, perdite finanziarie, danni reputazionali, e inadempienze normative. Il report di Kaspersky evidenzia anche una tendenza preoccupante: molte aziende si concentrano sulla reazione agli attacchi piuttosto che sulla prevenzione. Le difficoltà sono legate alla scarsa cultura della sicurezza, alla mancanza di competenze tecniche e alla difficoltà di valutare con precisione il rischio e le sue implicazioni economiche.
“La cybersecurity nel manufacturing soffre di una visione reattiva, anziché proattiva”, afferma Cesare D’Angelo, General Manager per l’Italia, Francia e Mediterraneo di Kaspersky. “È necessario un cambiamento culturale, che metta al centro prevenzione, analisi delle vulnerabilità, strumenti di protezione avanzati e formazione continua del personale”.

Cesare D’Angelo, General Manager Italy, France & Mediterranean di Kaspersky
Soluzioni adottate
Le aziende intervistate dichiarano di investire in protezione degli endpoint (23%), controllo accessi e gestione identità (22%), piani di risposta e ripristino (21%) e adeguamento normativo (24%). L’88% utilizza strumenti di threat intelligence, ma solo un terzo si ritiene in grado di interpretarne correttamente i dati. Guardando al futuro, i professionisti della sicurezza prevedono nuove sfide legate all’introduzione di tecnologie come AI, machine learning ed edge computing, che da un lato abilitano l’innovazione, ma dall’altro amplificano la superficie d’attacco. Restano inoltre criticità legate alla gestione dei sistemi obsoleti, alla complessità normativa e alla cultura della sicurezza ancora poco diffusa.
*illustrazione articolo progettata da Kaspersky
-
News4 anni fa
Hacker Journal 284
-
News8 anni fa
Abbonati ad Hacker Journal!
-
Articoli3 anni fa
Parrot Security OS: Linux all’italiana- La distro superblindata
-
Articoli4 anni fa
Guida: Come accedere al Dark Web in modo Anonimo
-
Articoli7 anni fa
Superare i firewall
-
News5 anni fa
Le migliori Hacker Girl di tutto il mondo
-
News8 anni fa
Accademia Hacker Journal
-
Articoli6 anni fa
Come Scoprire password Wi-Fi con il nuovo attacco su WPA / WPA2