Oracle nega la violazione mentre un hacker avrebbe divulgato le aziende colpite

Questa settimana, un attaccante ha dichiarato di aver violato un componente del servizio cloud di Oracle. Oracle ha rilasciato una smentita pubblica, affermando che nessun servizio è stato compromesso. Tuttavia, un attore della minaccia noto come ‘rose87168’ ha condiviso campioni di dati presumibilmente rubati dai server Oracle Cloud—e diverse aziende hanno successivamente confermato in forma anonima l’autenticità dei dati, secondo ricercatori di sicurezza e fonti mediatiche. L’hacker ha affermato di avere avuto accesso a dati di autenticazione e password criptate per 6 milioni di utenti, citando una vulnerabilità in Oracle Fusion Middleware 11g (CVE-2021-35587) come vettore di attacco.
Prove raccolte tramite la Wayback Machine suggeriscono che l’attore della minaccia sia stato in grado, in un certo momento, di creare file sul server "login.us2.oraclecloud.com" di Oracle, inserendo il proprio indirizzo email in un file pubblicamente accessibile.
Nonostante la ferma smentita di Oracle riguardo a una compromissione dei suoi sistemi Cloud, i dati trapelati includono dettagli LDAP accurati, indirizzi email e domini associati a numerose agenzie governative e aziende. Il server in questione è ora offline. Le indagini sono ancora in corso.

Il ransomware VanHelsing emerge come nuova minaccia multipiattaforma

Una nuova operazione ransomware-as-a-service (RaaS) chiamata VanHelsing prende di mira sistemi Windows, Linux, BSD, ARM ed ESXi. Promosso sui forum cybercriminali dal 7 marzo, offre accesso gratuito agli affiliati esperti e richiede un deposito di 5.000 dollari per i meno esperti.
Secondo Check Point e CYFIRMA, è gestito da criminali informatici russi e vieta attacchi nei paesi CIS. Gli affiliati mantengono l’80% dei riscatti, gestiti via escrow su blockchain. I file rubati sono archiviati sui server del gruppo. Scritto in C++, VanHelsing utilizza la crittografia ChaCha20 e dispone di funzioni stealth. Il sito sul dark web elenca attualmente tre vittime, tra cui una città texana e due aziende tech.
Sebbene in evoluzione, presenta ancora bug logici e comandi incompleti. Tuttavia, la sua rapida crescita e l’ampio targeting lo rendono una minaccia emergente da monitorare.

Attacco informatico blocca la vendita di biglietti ferroviari in Ucraina

Un attacco informatico su larga scala ha reso indisponibile il sistema online di vendita biglietti delle ferrovie ucraine Ukrzaliznytsia. Annunciato il 24 marzo su Telegram, l’attacco è stato definito “sistematico, complesso e multilivello”, costringendo la sospensione del servizio almeno fino al 25 marzo.
Nonostante il blocco, i treni continuano a circolare grazie a protocolli di backup. I passeggeri sono invitati ad acquistare biglietti presso le biglietterie o a bordo. La compagnia collabora con il Dipartimento Cyber della SBU e il CERT-UA per il ripristino.
Con gli aeroporti chiusi a causa della guerra, le ferrovie restano vitali per il Paese. Pochi giorni prima, infrastrutture ferroviarie erano state colpite da attacchi russi. Il servizio, tuttavia, continua nonostante le aggressioni fisiche e digitali.

Hacker filorussi colpiscono siti governativi belgi con attacco DDoS

Il collettivo filorusso NoName057 ha preso di mira diversi siti istituzionali del Belgio, compreso MyGov.be e il Parlamento vallone. L’attacco, avvenuto giovedì scorso, ha reso inaccessibili alcuni portali pubblici per parte della giornata.
Il Centro per la Cybersecurity del Belgio è intervenuto prontamente, allertando le autorità. Il gruppo aveva già colpito il Belgio per cinque giorni consecutivi nell’ottobre scorso.
Questa nuova offensiva sarebbe una reazione al pacchetto di aiuti da 1 miliardo di euro promesso dall’ex Ministro della Difesa Theo Francken all’Ucraina.
Il DDoS ha provocato interruzioni temporanee ma nessun furto di dati. La maggior parte dei siti è ora tornata online, ma le autorità non escludono nuovi attacchi.

Attacco informatico colpisce Astral Foods, maggiore produttore di pollame del Sudafrica

Il 16 marzo, un attacco informatico ha causato gravi disagi ad Astral Foods, il più grande produttore di pollame sudafricano, con perdite superiori a 1 milione di dollari.
La società ha attivato i protocolli di emergenza e conferma il ripristino delle operazioni in tutte le divisioni. L’attacco ha generato ritardi nelle consegne e nella lavorazione, con una perdita stimata di circa 20 milioni di rand.
Nessun dato sensibile risulta compromesso. La natura dell’attacco non è ancora chiara, e nessun gruppo ransomware ha rivendicato l’azione.
Il settore agricolo è frequentemente preso di mira da cybercriminali per l’importanza delle catene di approvvigionamento. Secondo il Food and Ag-ISAC, nel 2023 si sono registrati almeno 167 attacchi ransomware nel settore agroalimentare.

Google corregge vulnerabilità zero-day di Chrome usata in attacchi mirati APT

Google ha rilasciato una patch d’emergenza per una grave vulnerabilità di Chrome (CVE-2025-2783), sfruttata in attacchi mirati contro organizzazioni russe. Il difetto riguarda la libreria Mojo di Chrome per Windows ed è stato classificato con un punteggio CVSS di 8.3.
Kaspersky ha attribuito l’attacco a un gruppo APT, tracciato come “Operazione ForumTroll”. Le vittime venivano infettate semplicemente cliccando un link in un’email di phishing.
Obiettivo: spionaggio. I bersagli includevano media, università e istituzioni statali. Il bug permetteva di bypassare le protezioni sandbox del browser. Si sospetta l’uso di un secondo exploit per eseguire codice da remoto.
Gli utenti di Chrome e browser basati su Chromium (come Edge e Brave) sono invitati ad aggiornare subito alla versione 134.0.6998.177/.178.

Fornitore software NHS multato per 3 milioni di sterline dopo attacco ransomware

Il Garante britannico per la protezione dei dati (ICO) ha multato per 3 milioni di sterline la Advanced Computer Software Group per carenze di sicurezza che hanno portato a un attacco ransomware nel 2022.
Il breach ha esposto i dati sensibili di oltre 79.000 persone, inclusi numeri di telefono, cartelle cliniche e informazioni per accedere alle abitazioni di pazienti vulnerabili.
Il gruppo criminale ha sfruttato un account cliente privo di autenticazione a più fattori (MFA). Il mancato uso diffuso di MFA è stato considerato una grave negligenza.
L’attacco ha interrotto servizi cruciali dell’NHS, tra cui NHS 111. Il Garante John Edwards ha definito la sanzione un “duro promemoria” per migliorare la sicurezza informatica.
La multa iniziale prevista era di 6 milioni, ma è stata dimezzata grazie alla collaborazione dell’azienda con le autorità.

INTERPOL arresta 306 sospetti in operazione anti-cybercrime in Africa

INTERPOL ha annunciato l’arresto di 306 persone in sette paesi africani (novembre 2024 – febbraio 2025) nell’ambito dell’Operazione Red Card contro le frodi online. Sono stati sequestrati 1.842 dispositivi.
In Nigeria, sono stati arrestati 130 individui, tra cui 113 stranieri coinvolti in truffe digitali. Alcuni di loro potrebbero essere stati vittime di tratta. Sequestrati anche 26 veicoli, 16 case e 39 appezzamenti di terreno.
In Sudafrica, smantellata una rete di SIM box fraudolente con 40 arresti. In Zambia, 14 sospetti hanno distribuito malware via messaggi per sottrarre accessi bancari. In Rwanda, 45 arresti per truffe telefoniche e social engineering, con un bottino di oltre 300.000 dollari.
L’operazione, supportata dal Regno Unito tramite l’FCDO, evidenzia la crescente cooperazione internazionale contro il cybercrimine.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.