Una violazione del sistema informatico sanitario espone 3,4 milioni di cartelle cliniche, gli hacker legati alla Cina implementano tre nuovi impianti contro le infrastrutture di telecomunicazioni sudamericane, Wikipedia subisce un worm JavaScript autopropagantee una campagna malware in più fasi fornisce payload RAT tripli tramite esecuzione senza file. Ecco tutto quello che devi sapere oggi.
Soluzioni per fornitori TriZetto, una società IT sanitaria di proprietà di Cognizant, ha rivelato una violazione dei dati che ha interessato 3.433.965 individui. Unauthorized access persisted for nearly a year — from novembre 2024 to ottobre 2025.
La violazione ha preso di mira un portale web utilizzato per la verifica dell’idoneità assicurativa. I dati compromessi includono:
| Data | Evento |
|---|---|
| 19 novembre 2024 | Inizia l'accesso non autorizzato |
| 2 ottobre 2025 | Rilevata attività sospetta |
| 9 dicembre 2025 | I fornitori interessati sono stati informati |
| febbraio 2026 | Iniziano le notifiche ai clienti |
| 6 marzo 2026 | La dichiarazione della Maine AG conferma che 3,4 milioni di persone sono interessate |
Il Tempo di permanenza di 11 mesi prima del rilevamento è allarmante ma purtroppo comune nelle violazioni sanitarie. TriZetto offre alle persone interessate 12 mesi di monitoraggio gratuito del credito tramite Kroll, ma l'esposizione dei SSN e degli identificatori Medicare crea un rischio di furto di identità a lungo termine. Nessun gruppo ransomware ha rivendicato la responsabilità.
Cisco Talos ha identificato un gruppo APT legato alla Cina denominato UAT-9244 compromettere sistematicamente i fornitori di telecomunicazioni in Sud America utilizzando tre famiglie di malware precedentemente non documentate.
| Impianto | Piattaforma di destinazione | Capacità |
|---|---|---|
| TernDoor | Finestre | Caricamento laterale DLL tramite wsprint.exe, manipolazione del processo tramite driver del kernel incorporato, comunicazione C2 |
| PeerTime (arrabbiato) | Linux | Accesso backdoor, operazioni sui file, ricognizione del sistema |
| BruteEntry | Dispositivi periferici della rete | Persistenza dei dispositivi edge, intercettazione del traffico di rete |
UAT-9244 è strettamente associato a FamosoPassero, che condivide sovrapposizioni tattiche con Tifone salato – il gruppo China-nexus noto per prendere di mira i fornitori di telecomunicazioni a livello globale. TernDoor è una variante di Porta del Corvo/Porta del Passero, con nuovi codici di comando e un driver Windows incorporato per il controllo del processo.
Principali dettagli tecnici:
-u interruttore per la rimozione completa degli artefattiI fornitori di telecomunicazioni sono obiettivi di spionaggio di alto valore: il controllo delle infrastrutture di comunicazione significa il potenziale accesso ai record di dati delle chiamate, ai contenuti SMS e al traffico Internet di intere popolazioni. Questa campagna dimostra il continuo interesse strategico della Cina per le infrastrutture digitali dell’America Latina.
A worm JavaScript autopropagante diffuso nel Meta-Wiki di Wikipedia, modificando gli script degli utenti e vandalizzando le pagine prima che gli ingegneri potessero contenerlo.
L'attacco ha sfruttato le funzionalità di personalizzazione JavaScript di Wikipedia, in particolare il MediaWiki:Common.js e User:<username>/common.js script che vengono eseguiti nei browser degli editor:
User:Ololoshka562/test.js) was uploaded to Russian Wikipedia, reportedly in marzo 2024common.js di ogni editor loggato con un caricatore per lo script dannosoMediaWiki:Common.js è stato modificato, interessando tutti gli editoriIngegneri di Wikimedia modifica temporaneamente limitata in tutti i progetti mentre esaminavano e annullavano le modifiche. L’incidente evidenzia come JavaScript personalizzabile dall’utente nelle piattaforme collaborative possa diventare un vettore di attacco, in particolare quando gli account privilegiati eseguono codice non attendibile.
Qualsiasi piattaforma che consenta JavaScript caricato dall'utente corre rischi simili. Le organizzazioni dovrebbero implementare Politica di sicurezza dei contenuti (CSP) intestazioni, limitare i contesti di esecuzione degli script e garantire che gli account privilegiati dispongano di protezioni aggiuntive contro l'esecuzione di codice non attendibile.
I ricercatori di Securonix hanno scoperto una sofisticata campagna malware con nome in codice VUOTO#GEIST che consegna XWorm, AsyncRAT e Xeno RAT attraverso una catena di esecuzione completamente priva di file.
| Palcoscenico | Tecnica | Scopo |
|---|---|---|
| 1 | Script batch offuscato tramite phishing | Accesso iniziale, visualizzazione PDF esca |
| 2 | Seconda distribuzione dello script batch | Livello di orchestrazione |
| 3 | Staging legittimo del runtime Python | Portabilità, abuso binario affidabile |
| 4 | Decrittazione dello shellcode crittografato | Preparazione del carico utile |
| 5 | Iniezione APC Early Bird in explorer.exe | Esecuzione RAT in memoria |
Un cittadino ghanese si è dichiarato colpevole di aver partecipato a un massiccio giro di frode che ha rubato 100 milioni di dollari da vittime in tutti gli Stati Uniti attraverso attacchi BEC (Business Email Compromise) e truffe romantiche.
Il caso evidenzia il scala industriale delle operazioni BEC e la loro continua efficacia nonostante anni di campagne di sensibilizzazione. Punti chiave:
Microsoft's di Microsoft Ricerca potenziata dall'intelligenza artificiale di Bing ha promosso falsi repository OpenClaw GitHub che istruivano gli utenti a eseguire comandi che distribuivano ladri di informazioni e malware proxy.
Questo incidente è particolarmente preoccupante perché dimostra come Riepiloghi di ricerca generati dall'intelligenza artificiale può essere manipolato per promuovere contenuti dannosi con un'aria di autorità:
Verificare sempre i repository software tramite siti web ufficiali del progetto, non i risultati della ricerca. Controlla le date di creazione del repository, il numero di stelle, la cronologia dei contributori e verifica che gli URL corrispondano alla documentazione ufficiale prima di eseguire qualsiasi comando di installazione.
| Minaccia | Attore | Gravità | Azione richiesta |
|---|---|---|---|
| Violazione sanitaria di TriZetto | Sconosciuto | 🔴 Critico | Controlla la sicurezza dei fornitori di servizi sanitari, monitora il furto di identità |
| Attacchi alle telecomunicazioni UAT-9244 | Collegato alla Cina | 🔴 Critico | Server patch, cerca TernDoor/PeerTime/BruteEntry |
| Verme JS di Wikipedia | Sconosciuto | 🟠 Alto | Implementare CSP, limitare l'esecuzione di script privilegiati |
| VOID#GEIST triplo RATTO | Criminali informatici | 🔴 Critico | Monitora gli attacchi fileless, blocca gli abusi di TryCloudflare |
| Giro di frodi BEC da 100 milioni di dollari | Criminalità organizzata | 🟠 Alto | Rafforzare la consapevolezza del BEC e la verifica dei pagamenti |
| Repo falsi tramite Bing AI | Criminali informatici | 🟠 Alto | Verificare le fonti del software, istruire gli sviluppatori |
La scansione di sicurezza automatizzata di KENSAI rileva vulnerabilità, configurazioni errate e indicatori di compromissione sull'intera superficie di attacco, prima che gli aggressori li sfruttino.
Avvia la scansione di sicurezza gratuitaRimani vigile. Rimani protetto.
🗡️KENSAI Threat Intelligence Team