Il panorama della sicurezza informatica è in continua evoluzione e questa settimana ha visto una serie di eventi e minacce che confermano quanto sia importante una difesa proattiva. Al centro dell’attenzione troviamo lo smantellamento da parte delle autorità statunitensi di una sofisticata rete nordcoreana, in cui falsi lavoratori IT, usando identità rubate, sono riusciti a penetrare in oltre 100 aziende americane, rubando dati sensibili e criptovalute per un valore superiore a 900000 dollari. L’operazione ha portato a numerosi sequestri e arresti, dimostrando come la manipolazione delle identità sia una tecnica sempre più utilizzata dai cybercriminali.

Nuove vulnerabilità e aggiornamenti critici

La settimana è stata segnata anche da nuove vulnerabilità critiche. Google ha rilasciato aggiornamenti per Chrome per risolvere una falla zero-day già sfruttata attivamente, mentre tre vulnerabilità zero-day in Ivanti Cloud Services Appliance sono state sfruttate da gruppi legati alla Cina per attacchi mirati a enti pubblici e privati francesi. Anche il plugin Forminator per WordPress, Sudo, Cisco Unified CM, D-Link, e altri software popolari sono stati colpiti da vulnerabilità che i criminali informatici hanno sfruttato rapidamente, sottolineando quanto sia fondamentale applicare le patch senza ritardi.

Malware e nuove tecniche di attacco

Tra i malware in circolazione, si segnala la campagna di BlueNoroff, gruppo nordcoreano che prende di mira aziende del settore crypto tramite malware Nim per MacOS, capace di rubare dati da browser, Telegram e keychain Apple. Nel frattempo, il gruppo Scattered Spider ha adottato nuove tecniche di persistenza sfruttando strumenti amministrativi legittimi come Teleport, mentre gli attacchi di cryptomining contro server Linux mal configurati continuano a crescere, spesso sfruttando credenziali SSH deboli.

Criminalità organizzata e sanzioni

Sul fronte della criminalità organizzata, gli Stati Uniti hanno sanzionato Aeza Group, provider russo di hosting bulletproof, per il supporto a campagne ransomware e la gestione di marketplace di droga sul dark web. In Europa, la Spagna ha arrestato 21 persone coinvolte in una maxi truffa sugli investimenti, mentre nel Regno Unito uno studente cinese è stato condannato per una campagna smishing su larga scala.

Tendenze, best practice e raccomandazioni

Le tendenze mostrano un aumento dell’abuso di file LNK di Windows e domini .es per campagne phishing, mentre vengono segnalati nuovi stealer come Amatera e Odyssey e l’uso di marketplace open come Open VSX per diffondere estensioni malevole di Visual Studio Code. Tra le best practice consigliate, emerge l’importanza di ridurre la superficie di attacco disabilitando funzionalità Windows non essenziali, applicando politiche di restrizione software e utilizzando strumenti come Hardentools e Attack Surface Analyzer.

La settimana evidenzia che il confine tra minacce interne ed esterne è ormai labile: la gestione delle identità digitali e la tempestività nell’applicare aggiornamenti restano pilastri fondamentali per la sicurezza.