Nuovi attacchi in Italia, notificati data breach, AI e cybersecurity

Il ruolo delle certificazioni ISO nella qualifica cloud ACN: sicurezza e qualità per la PA

 Vedi tutte
Threat Intelligence, News

ToxicPanda si diffonde in Italia, nuove attività cybercrime sul Paese, offensive contro colossi tecnologici e SEAE

ToxicPanda: un inedito trojan bancario prende di mira l’Italia

È stato individuato un nuovo trojan bancario per Android, soprannominato ToxicPanda, che prende di mira utenti in Europa e America Latina, con un impatto particolarmente significativo su target localizzati in Italia. L’obiettivo principale della minaccia è quello di avviare trasferimenti di denaro da dispositivi compromessi tramite Account Takeover (ATO), utilizzando una tecnica ben nota chiamata On-Device Fraud (ODF). Quest’ultima permette agli operatori, tramite l’accesso remoto, di effettuare transazioni fraudolente direttamente dal dispositivo certificato della vittima. Durante le indagini sono state identificate diverse icone usate come esca, tra cui alcune inerenti a Google Chrome, VISA e ad app di incontri. La minaccia sembrerebbe essere diffusa principalmente attraverso Side-Loading e tecniche di Social Engineering. La visibilità del pannello di controllo del malware ha confermato che la campagna è stata orchestrata da un gruppo di lingua cinese. Gli analisti sono riusciti a identificare una botnet di oltre 1.500 device infetti in Italia, Portogallo, Spagna e America Latina, che ha preso di mira 16 istituti bancari. In particolare, l’Italia è l’hotspot principale, con il 56,8% dei dispositivi compromessi. Questa concentrazione suggerisce che il nostro Paese è un punto strategico per l’operatore dietro la campagna.

Phishing e ransomware: nuovi attacchi sulla penisola

Nuove attività di phishing hanno colpito il Bel Paese. In particolare, due operazioni a tema false convocazioni giudiziarie hanno sfruttato il nome del Capo della Polizia Vittorio Pisani e dell’Agenzia per la Cybersicurezza Nazionale (ACN). Inoltre, è stata rilevata una campagna di distribuzione via PEC del noto infostealer Nocturnal Stealer. Quest’ultima invita il destinatario a cliccare su un link presente nel testo al fine di visionare una presunta fattura da pagare, minacciando azioni legali in caso di inadempienza. Se dato seguito al collegamento, viene effettuato il download di un file VBS malevolo che avvia la catena di infezione. Infine, un’ulteriore operazione è stata registrata contro gli utenti dell’Università di Pisa, dove una falsa pagina di login dell’ateneo ha puntato a esfiltrare le credenziali degli utenti. Passando al panorama ransomware DragonForce Team ha reclamato sul proprio sito dei leak la compromissione di Scolari S.r.l., mentre l’operatore RA Group di Bullonerie Galvit S.R.L. In aggiunta, un gruppo noto come Alpha ha rivendicato su un forum underground un attacco contro l’azienda Brevi, uno dei principali distributori italiani nel mondo dell’Information Technology. In ultimo, stando a quanto riportato da fonti giornalistiche, un’offensiva ha compromesso l’infrastruttura del Centro Elaborazione Dati (CED) dell’Avis di Torino e messo fuori uso l’applicazione AVISNet. La violazione ha reso inconsultabili le liste di prenotazione per le donazioni di sangue già concordate, spingendo Avis a chiedere ai donatori di confermare via e-mail o via WhatsApp a specifici numeri dedicati gli appuntamenti già fissati.

Breach: nel mirino giganti tecnologici e servizi diplomatici

Tra il 31 ottobre e il 1° novembre 2024, un utente malintenzionato rintracciato con lo pseudonimo mommy ha pubblicato su un noto forum underground diversi annunci di vendita inerenti accessi non autorizzati a varie società, quali la sudcoreana Samsung, la taiwanese CyberLink, la statunitense Pinger e le cinesi Sangfor Technologies e Tencent. Inoltre, un avversario conosciuto come KryptonZambie ha dichiarato di aver avuto accesso al database di ORBCOMM, leader mondiale nelle soluzioni IoT e M2M, e sottratto oltre 70 TB di file SQL. Parallelamente, la multinazionale francese Schneider Electric ha confermato che una piattaforma per sviluppatori è stata violata dopo che un attaccante ha rivendicato il furto di 40 GB di dati dal server Jira dell’azienda. Nello specifico, la società starebbe indagando su un incidente di cybersecurity che coinvolge un accesso non autorizzato a una delle piattaforme interne ospitata in un ambiente isolato. L’avversario sembrerebbe far parte di un nuovo gruppo ransomware chiamato Hellcat Team. Quest’ultimo ha reclamato la violazione sul proprio sito dei leak, indicando che sarebbero stati esfiltrati progetti e plugin, nonché 400.000 righe di dati utente, che includerebbero 75.000 indirizzi e-mail e nomi completi di dipendenti e clienti di Schneider Electric, per un totale di oltre 40 GB. Infine, Hunters International Team ha rivendicato sul proprio portale la compromissione del Servizio europeo per l’azione esterna (SEAE) – in inglese European External Action Service (EEAS) – ovvero il servizio diplomatico dell’UE, istituito per rendere più coerente ed efficace la politica estera dell’Unione e rafforzare così l’influenza dell’Europa sulla scena mondiale.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence