← Torna al Blog
Briefing di Sicurezza 7 marzo 2026 9 min di lettura

7 marzo 2026

Una violazione del sistema informatico sanitario espone 3,4 milioni di cartelle cliniche, gli hacker legati alla Cina implementano tre nuovi impianti contro le infrastrutture di telecomunicazioni sudamericane, Wikipedia subisce un worm JavaScript autopropagantee una campagna malware in più fasi fornisce payload RAT tripli tramite esecuzione senza file. Ecco tutto quello che devi sapere oggi.


🏥 La violazione di TriZetto nel settore sanitario espone 3,4 milioni di cartelle cliniche

⚠️ Esposizione massiccia di dati sanitari

Soluzioni per fornitori TriZetto, una società IT sanitaria di proprietà di Cognizant, ha rivelato una violazione dei dati che ha interessato 3.433.965 individui. Unauthorized access persisted for nearly a year — from novembre 2024 to ottobre 2025.

Cosa è stato esposto?

La violazione ha preso di mira un portale web utilizzato per la verifica dell’idoneità assicurativa. I dati compromessi includono:

Cronologia e risposta

Data Evento
19 novembre 2024 Inizia l'accesso non autorizzato
2 ottobre 2025 Rilevata attività sospetta
9 dicembre 2025 I fornitori interessati sono stati informati
febbraio 2026 Iniziano le notifiche ai clienti
6 marzo 2026 La dichiarazione della Maine AG conferma che 3,4 milioni di persone sono interessate

💡 Preoccupazione chiave

Il Tempo di permanenza di 11 mesi prima del rilevamento è allarmante ma purtroppo comune nelle violazioni sanitarie. TriZetto offre alle persone interessate 12 mesi di monitoraggio gratuito del credito tramite Kroll, ma l'esposizione dei SSN e degli identificatori Medicare crea un rischio di furto di identità a lungo termine. Nessun gruppo ransomware ha rivendicato la responsabilità.


🇨🇳 L'UAT-9244 collegato alla Cina implementa tre nuovi impianti contro le telecomunicazioni sudamericane

⚠️ Infrastrutture critiche sotto attacco

Cisco Talos ha identificato un gruppo APT legato alla Cina denominato UAT-9244 compromettere sistematicamente i fornitori di telecomunicazioni in Sud America utilizzando tre famiglie di malware precedentemente non documentate.

L'arsenale dei tripli impianti

Impianto Piattaforma di destinazione Capacità
TernDoor Finestre Caricamento laterale DLL tramite wsprint.exe, manipolazione del processo tramite driver del kernel incorporato, comunicazione C2
PeerTime (arrabbiato) Linux Accesso backdoor, operazioni sui file, ricognizione del sistema
BruteEntry Dispositivi periferici della rete Persistenza dei dispositivi edge, intercettazione del traffico di rete

Attribuzione e connessioni

UAT-9244 è strettamente associato a FamosoPassero, che condivide sovrapposizioni tattiche con Tifone salato – il gruppo China-nexus noto per prendere di mira i fornitori di telecomunicazioni a livello globale. TernDoor è una variante di Porta del Corvo/Porta del Passero, con nuovi codici di comando e un driver Windows incorporato per il controllo del processo.

Principali dettagli tecnici:

🎯 Impatto strategico

I fornitori di telecomunicazioni sono obiettivi di spionaggio di alto valore: il controllo delle infrastrutture di comunicazione significa il potenziale accesso ai record di dati delle chiamate, ai contenuti SMS e al traffico Internet di intere popolazioni. Questa campagna dimostra il continuo interesse strategico della Cina per le infrastrutture digitali dell’America Latina.


🌐 Wikipedia colpita dal worm JavaScript autopropagante

⚠️Wikimedia Meta-Wiki vandalizzato

A worm JavaScript autopropagante diffuso nel Meta-Wiki di Wikipedia, modificando gli script degli utenti e vandalizzando le pagine prima che gli ingegneri potessero contenerlo.

Come si è diffuso il verme

L'attacco ha sfruttato le funzionalità di personalizzazione JavaScript di Wikipedia, in particolare il MediaWiki:Common.js e User:<username>/common.js script che vengono eseguiti nei browser degli editor:

  1. Origine — Uno script dannoso (User:Ololoshka562/test.js) was uploaded to Russian Wikipedia, reportedly in marzo 2024
  2. Trigger — Lo script è stato eseguito (forse accidentalmente) dall'account di un dipendente Wikimedia durante il test
  3. Propagazione a livello utente — Ha sovrascritto il common.js di ogni editor loggato con un caricatore per lo script dannoso
  4. Escalation a livello di sito — Se l'utente infetto disponeva di privilegi di amministratore, il file globale MediaWiki:Common.js è stato modificato, interessando tutti gli editori
  5. Vandalismo — Le modifiche automatizzate hanno aggiunto script nascosti e atti vandalici alle pagine Meta-Wiki

Contenimento

Ingegneri di Wikimedia modifica temporaneamente limitata in tutti i progetti mentre esaminavano e annullavano le modifiche. L’incidente evidenzia come JavaScript personalizzabile dall’utente nelle piattaforme collaborative possa diventare un vettore di attacco, in particolare quando gli account privilegiati eseguono codice non attendibile.

🛡️ Lezioni per le Organizzazioni

Qualsiasi piattaforma che consenta JavaScript caricato dall'utente corre rischi simili. Le organizzazioni dovrebbero implementare Politica di sicurezza dei contenuti (CSP) intestazioni, limitare i contesti di esecuzione degli script e garantire che gli account privilegiati dispongano di protezioni aggiuntive contro l'esecuzione di codice non attendibile.


🐛 VOID#GEIST: il malware fileless multifase offre un carico utile RAT triplo

⚠️ Catena di attacchi furtivi multifase

I ricercatori di Securonix hanno scoperto una sofisticata campagna malware con nome in codice VUOTO#GEIST che consegna XWorm, AsyncRAT e Xeno RAT attraverso una catena di esecuzione completamente priva di file.

Flusso di attacco

Palcoscenico Tecnica Scopo
1 Script batch offuscato tramite phishing Accesso iniziale, visualizzazione PDF esca
2 Seconda distribuzione dello script batch Livello di orchestrazione
3 Staging legittimo del runtime Python Portabilità, abuso binario affidabile
4 Decrittazione dello shellcode crittografato Preparazione del carico utile
5 Iniezione APC Early Bird in explorer.exe Esecuzione RAT in memoria

Perché è pericoloso


💰 La nazionale ghanese si dichiara colpevole di frode BEC da 100 milioni di dollari

🏛️ Importante rimozione delle frodi internazionali

Un cittadino ghanese si è dichiarato colpevole di aver partecipato a un massiccio giro di frode che ha rubato 100 milioni di dollari da vittime in tutti gli Stati Uniti attraverso attacchi BEC (Business Email Compromise) e truffe romantiche.

Il caso evidenzia il scala industriale delle operazioni BEC e la loro continua efficacia nonostante anni di campagne di sensibilizzazione. Punti chiave:


🔍 Bing AI promuove falsi repository GitHub di OpenClaw spingendo infostealer

⚠️ Risultati di ricerca AI armati

Microsoft's di Microsoft Ricerca potenziata dall'intelligenza artificiale di Bing ha promosso falsi repository OpenClaw GitHub che istruivano gli utenti a eseguire comandi che distribuivano ladri di informazioni e malware proxy.

Questo incidente è particolarmente preoccupante perché dimostra come Riepiloghi di ricerca generati dall'intelligenza artificiale può essere manipolato per promuovere contenuti dannosi con un'aria di autorità:

🛡️Consigli di protezione

Verificare sempre i repository software tramite siti web ufficiali del progetto, non i risultati della ricerca. Controlla le date di creazione del repository, il numero di stelle, la cronologia dei contributori e verifica che gli URL corrispondano alla documentazione ufficiale prima di eseguire qualsiasi comando di installazione.


🛡️ Le priorità di mitigazione di oggi

Per le Organizzazioni Sanitarie

  1. Controllare i controlli di accesso al portale web — Implementare l'MFA su tutti i sistemi di dati dei pazienti
  2. Monitorare le intrusioni a lunga permanenza — Distribuire analisi comportamentali per rilevare accessi non autorizzati persistenti
  3. Esaminare la sicurezza del fornitore — Valutare il livello di sicurezza dei fornitori IT sanitari terzi

Per le telecomunicazioni e le infrastrutture critiche

  1. Scambio di patch e Windows Server — UAT-9244 sfrutta sistemi obsoleti
  2. Monitorare i dispositivi periferici — Controllare gli indicatori BruteEntry sulle apparecchiature perimetrali della rete
  3. Caccia al caricamento laterale DLL — Cerca attività sospette di wsprint.exe

Per tutte le organizzazioni

  1. Implementare le intestazioni CSP — Limita l'esecuzione di JavaScript sulle piattaforme web
  2. Monitora gli attacchi fileless — Ottimizza l'EDR per i modelli di iniezione APC Early Bird
  3. Verificare le fonti del software — Non installare mai strumenti dai risultati di ricerca AI senza verifica
  4. Formazione sulla sensibilizzazione al BEC — Rafforzare le procedure di verifica delle fatture e delle modifiche dei pagamenti

📊 Riepilogo del panorama delle minacce

Minaccia Attore Gravità Azione richiesta
Violazione sanitaria di TriZetto Sconosciuto 🔴 Critico Controlla la sicurezza dei fornitori di servizi sanitari, monitora il furto di identità
Attacchi alle telecomunicazioni UAT-9244 Collegato alla Cina 🔴 Critico Server patch, cerca TernDoor/PeerTime/BruteEntry
Verme JS di Wikipedia Sconosciuto 🟠 Alto Implementare CSP, limitare l'esecuzione di script privilegiati
VOID#GEIST triplo RATTO Criminali informatici 🔴 Critico Monitora gli attacchi fileless, blocca gli abusi di TryCloudflare
Giro di frodi BEC da 100 milioni di dollari Criminalità organizzata 🟠 Alto Rafforzare la consapevolezza del BEC e la verifica dei pagamenti
Repo falsi tramite Bing AI Criminali informatici 🟠 Alto Verificare le fonti del software, istruire gli sviluppatori

Rilevamento continuo delle minacce per la tua infrastruttura

La scansione di sicurezza automatizzata di KENSAI rileva vulnerabilità, configurazioni errate e indicatori di compromissione sull'intera superficie di attacco, prima che gli aggressori li sfruttino.

Avvia la scansione di sicurezza gratuita

Rimani vigile. Rimani protetto.

🗡️KENSAI Threat Intelligence Team