La settimana della cybersecurity conferma un copione ormai ricorrente, fatto di integrazioni abusate, credenziali deboli, download ingannevoli e siti compromessi usati come trampolino per nuove campagne.
Tra i segnali più importanti spicca FortiBleed: un’attività su larga scala che prende di mira dispositivi Fortinet FortiGate e gateway SSL VPN esposti su Internet. Sono stati individuati oltre 80.000 obiettivi con credenziali valide già testate in modo automatizzato e continuo. Il rischio aumenta quando le organizzazioni riutilizzano password da incidenti precedenti o non adottano autenticazione a più fattori, rendendo più semplice il brute force e la compromissione iniziale.
Nel panorama delle minacce emergono anche incidenti legati alle app di terze parti e alle connessioni tra piattaforme. Un caso rilevante riguarda la disattivazione di una integrazione dopo il rilevamento di attività anomale che avrebbero potuto esporre una parte dei dati dei clienti tramite la connessione dell’app stessa. Questo tipo di evento mette in evidenza quanto la sicurezza delle integrazioni e delle credenziali legacy sia cruciale quanto quella della piattaforma principale.
Sul fronte ransomware cresce l’attenzione verso strumenti pensati per disabilitare i controlli di sicurezza prima della cifratura. Alcune operazioni ransomware-as-a-service stanno distribuendo suite in grado di terminare processi di numerosi prodotti EDR e antivirus, spesso sfruttando driver kernel vulnerabili o malevoli. La conseguenza è un aumento delle tecniche di difesa evasiva e della necessità di hardening dei sistemi endpoint.
Tra le vulnerabilità, una criticità riguarda Splunk Enterprise con segnalazioni di sfruttamento attivo di una falla che può consentire operazioni su file senza autenticazione, fino a scenari di esecuzione di codice da remoto. In parallelo continuano a emergere bug su browser come Chrome e Firefox e su estensioni con permessi eccessivi, capaci di portare a furto dati e compromissione di sessioni.
Anche il mobile resta un obiettivo primario con trojan Android distribuiti tramite siti malevoli e app camuffate che abusano dei servizi di accessibilità per overlay phishing, controllo remoto, keylogging e intercettazione di dati bancari e crypto.