Black Basta lancia nuovo strumento di brute-forcing per attaccare dispositivi perimetrali

I ricercatori di cybersicurezza hanno scoperto un framework di brute-forcing precedentemente sconosciuto utilizzato dal gruppo ransomware Black Basta per compromettere VPN, firewall e altri dispositivi edge. Chiamato "BRUTED", lo strumento è stato rivelato da log di chat privati trapelati e analizzati da EclecticIQ. Attivo dal 2023, BRUTED automatizza attacchi di credential-stuffing contro prodotti popolari di Cisco, Fortinet, Palo Alto, SonicWall, WatchGuard, Citrix e Microsoft RDWeb.
Il framework esegue scansioni di rete, estrae dati SSL e genera ipotesi di password sfruttando credenziali deboli o riutilizzate. Nonostante gli avvertimenti del settore, molte organizzazioni utilizzano ancora password insicure per le infrastrutture esposte online. Ironia della sorte, una brute-force su una banca russa potrebbe aver portato alla fuga dei log interni del gruppo.
Black Basta ha già colpito 12 settori infrastrutturali critici, prendendo di mira vittime ad alto valore come sanità e industria manifatturiera, meno in grado di tollerare interruzioni operative.

Grave vulnerabilità di Windows sfruttata da 11 gruppi hacker statali dal 2017

Una nuova vulnerabilità zero-day di Windows, identificata come ZDI-CAN-25373, è stata sfruttata attivamente da almeno 11 gruppi hacker sponsorizzati da stati (tra cui Corea del Nord, Iran, Russia e Cina) dal 2017.
Trend Micro ha scoperto che la falla riguarda la visualizzazione dei file .LNK (collegamenti), permettendo l'esecuzione di codice malevolo nascosto senza che l'utente se ne accorga. Nonostante l’ampio abuso, Microsoft ha rifiutato di correggerla.
Sono stati trovati quasi 1.000 campioni di exploit. I gruppi APT43, Mustang Panda ed Evil Corp l’hanno usata per distribuire malware come Ursnif, Gh0st RAT e Trickbot.
Il difetto sfrutta spazi bianchi per nascondere comandi nei file .LNK. Trend Micro invita alla massima cautela contro shortcut sospetti, vista l’assenza di patch ufficiali.

Oltre 300 app Android malevoli scaricate 60 milioni di volte

Una vasta campagna malware per Android, chiamata “Vapor”, ha infettato oltre 60 milioni di dispositivi tramite 331 app dannose sul Google Play Store. Secondo IAS Threat Lab e Bitdefender, le app erano mascherate da strumenti legittimi come scanner QR, app fitness o blocchi note.
Una volta installate, attivavano funzioni nascoste per mostrare pubblicità intrusive, rubare credenziali e dati delle carte di credito. Le app disattivavano la propria icona e si spacciavano per app affidabili, come Google Voice.
Bitdefender avverte che il malware sfruttava vulnerabilità di sicurezza anche su Android 13+, con componenti nascosti e overlay a schermo intero.
Nonostante siano state rimosse da Google Play, gli esperti avvertono che la campagna potrebbe riemergere. Gli utenti devono controllare le autorizzazioni delle app e scaricare solo da sviluppatori affidabili.

Il settore dell’istruzione impreparato di fronte all’aumento degli attacchi informatici

Secondo un nuovo rapporto di KnowBe4, scuole e università sono tra i bersagli più colpiti dai cyber attacchi nel 2024. La dipendenza da fornitori esterni, i sistemi obsoleti e le risorse limitate rendono queste istituzioni vulnerabili.
Nel 2024, ci sono stati 1.780 incidenti informatici nel settore educativo e 352 attacchi ransomware tracciati da Trustwave. Il phishing è risultato il metodo di accesso iniziale più comune.
Il rapporto evidenzia tuttavia che la formazione sulla consapevolezza della sicurezza funziona: dopo un anno di simulazioni, il tasso di vulnerabilità al phishing è sceso dal 33,4% al 3,9% nelle piccole istituzioni.

Violazione di dati in Francia: milioni a rischio

Una massiccia violazione dei dati in Francia ha esposto informazioni personali di milioni di persone, ora vendute nel dark web per 10.000 € in criptovaluta. I dati includono nomi, indirizzi, email, numeri di telefono e stato civile. Il cyber criminale – noto come “Angel Batista” – ha divulgato gratuitamente i dati di 100.000 individui per dimostrarne l’autenticità.
La fonte del breach è ignota, ma si sospetta un’organizzazione pubblica o una compagnia assicurativa. Le vittime sono ora ad alto rischio di furto d’identità e truffe via phishing.
Gli esperti raccomandano l’autenticazione a due fattori, l’uso di password uniche e il monitoraggio regolare dei conti bancari. Non fornire mai dati personali tramite link o chiamate sospette. In caso di dubbio, contattare direttamente la propria banca da un altro dispositivo.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.