← Torna al blog
Briefing sicurezza5 min read2026-05-04

Briefing sicurezza, 4 maggio 2026: ransomware su cPanel, violazione Instructure, truffe con Telegram Mini App e caos certificati in Microsoft Defender

Il brutto schema di questa mattina è la fiducia sotto pressione: pannelli di hosting, piattaforme educative, app di messaggistica e protezione endpoint sono diventati punti di leva appena il percorso familiare è stato scambiato per quello sicuro.


In breve: Patchate cPanel subito, trattate i dati legati a Instructure come potenzialmente esposti, non fidatevi delle Telegram Mini App che chiedono depositi o APK, e controllate la salute dei certificati Defender se la vostra flotta Windows ha ricevuto alert il 3 maggio.


1. cPanel è passato da bug critico a vero ransomware Linux in tempi rapidissimi

La CVE-2026-41940 in cPanel e WHM è già sfruttata su larga scala. Secondo BleepingComputer almeno 44.000 IP con cPanel sono stati compromessi in attacchi in corso, poi rapidamente convertiti in deployment del ransomware Linux "Sorry", scritto in Go, che aggiunge .sorry ai file cifrati.


2. Instructure è ormai una vera violazione nel settore education, non solo un avviso di incidente

Instructure ha confermato che dati utente sono stati rubati nell’attacco informatico divulgato venerdì. L’azienda dice che le informazioni esposte includono nomi, email, numeri identificativi studente e messaggi tra utenti presso istituzioni colpite. Finora non risultano password, date di nascita, identificativi governativi o dati finanziari, ma il blast radius può restare enorme se le affermazioni di ShinyHunters sono anche solo parzialmente corrette.


3. Telegram Mini App viene usato come UX di truffa e canale di consegna malware Android

I ricercatori di CTM360 affermano che l’operazione FEMITBOT usa bot Telegram più Mini App per imitare marchi, mostrare saldi falsi, spingere le vittime a depositare denaro e in alcuni casi distribuire APK Android travestiti da app legittime. Il trucco funziona perché il flusso di phishing resta dentro Telegram e quindi appare normale.


4. I falsi positivi di Defender hanno trasformato radici DigiCert affidabili in rischio di outage

Un aggiornamento delle firme Defender ha contrassegnato certificati root DigiCert legittimi come Trojan:Win32/Cerdigent.A!dha e, su alcuni sistemi, li ha rimossi dal trust store di Windows. Microsoft dice che il problema è corretto da Security Intelligence 1.449.430.0 in poi, ma questo tipo di errore difensivo rompe silenziosamente le trust chain mentre i team inseguono fantasmi.


Cosa dovrebbero fare oggi i team di sicurezza

  1. Patchare prima cPanel e WHM se esiste ancora un pannello di hosting esposto senza correzione.
  2. Valutare se istituzione, clienti o fornitori dipendono da Instructure o Canvas e preparare subito la comunicazione.
  3. Inviare un avviso agli utenti sulle truffe di investimento su Telegram e bloccare i percorsi APK sideload dove possibile.
  4. Auditare gli endpoint Windows per falsi positivi Defender sui certificati prima che trust chain rotte causino outage più grandi.

Fonti


Conclusione: Il fallimento comune di oggi è la fiducia mal riposta in infrastrutture familiari. Gli attaccanti l’hanno sfruttata in cPanel e Telegram, e i difensori ci sono inciampati nella gestione dei certificati. I team che verificano più in fretta le assunzioni subiranno meno danni.

Individuate i percorsi di fiducia esposti prima degli attaccanti o di tool difettosi

KENSAI aiuta i team a mappare pannelli esposti, dipendenze SaaS, superfici di phishing e punti ciechi delle trust chain prima che diventino incidenti.

Avvia scansione gratuita →

Restate affilati.

🗡️ Team Sicurezza KENSAI