🛡️ KENSAI Security Intelligence
💥 Violazioni & Attacchi Principali
CRITICAL Stryker ($25B MedTech) paralizzata da attacco wiper collegato all'Iran
Il gruppo hacktivista iraniano Handala (collegato a MOIS/Void Manticore) afferma di aver cancellato oltre 200.000 dispositivi negli uffici Stryker in 79 paesi. Oltre 5.000 lavoratori in Irlanda mandati a casa. I telefoni personali dei dipendenti con Outlook sono stati cancellati, le schermate di login deturpate con il logo Handala. L'attacco è stato rivendicato come ritorsione per un attacco missilistico del 28 febbraio contro una scuola iraniana.
HIGH Michelin conferma violazione di oltre 300GB tramite attacco a Oracle EBS
Il colosso degli pneumatici Michelin ha confermato una violazione dei dati collegata a un attacco alla propria infrastruttura Oracle E-Business Suite. I criminali informatici hanno diffuso oltre 300GB di file rubati.
HIGH Violazione di Bell Ambulance: coinvolte 238.000 persone
Gli hacker hanno rubato informazioni personali tra cui nomi, numeri di previdenza sociale e numeri di patente di guida di 238.000 persone da Bell Ambulance.
MEDIUM Meta disabilita 150K account truffa, 21 arresti in Thailandia
Meta ha rimosso oltre 150.000 account collegati a centri truffa nel Sud-est asiatico in un'operazione coordinata con le autorità di 12 paesi. La Polizia Reale Thailandese ha effettuato 21 arresti. L'operazione fa seguito a un programma pilota di dicembre 2025 che aveva rimosso 59.000 account.
🐛 Vulnerabilità Critiche & Patch
CRITICAL Microsoft Patch Tuesday di marzo — 84 falle, 2 zero-day pubblici
8 critiche, 76 importanti. Zero-day principali:
• CVE-2026-21262 (CVSS 8.8) — Elevazione di privilegi SQL Server a sysadmin via rete
• CVE-2026-26127 (CVSS 7.5) — Denial-of-service in .NET
• Corrette 46 falle di escalation di privilegi, 18 RCE, 10 divulgazione di informazioni
CRITICAL Falla RCE in n8n attivamente sfruttata — Direttiva d'emergenza CISA
CISA ha ordinato a tutte le agenzie federali di applicare la patch per una vulnerabilità RCE in n8n attivamente sfruttata (popolare piattaforma di automazione dei flussi di lavoro). Gli attaccanti la stanno sfruttando attivamente.
HIGH SQLi nel plugin Elementor Ally — Oltre 400K siti WordPress a rischio
Vulnerabilità di SQL injection non autenticata in Ally, un plugin di accessibilità per Elementor con oltre 400.000 installazioni. Gli attaccanti possono sottrarre dati sensibili senza autenticazione.
HIGH Fortinet, Ivanti, Intel correggono bug ad alta severità
Patch per esecuzione arbitraria di codice, escalation di privilegi e bypass dell'autenticazione su prodotti FortiGate, Ivanti e Intel. Gli appliance FortiGate NGFW vengono attivamente sfruttati per violare reti e rubare credenziali degli account di servizio (AD/LDAP).
MEDIUM ICS Patch Tuesday — Siemens, Schneider, Moxa, Mitsubishi Electric
I vendor di sistemi di controllo industriale hanno rilasciato nuovi avvisi di sicurezza. Gli operatori di infrastrutture critiche devono verificare e applicare le patch immediatamente.
🦠 Nuovo Malware & Campagne di Minaccia
CRITICAL BlackSanta — Nuovo EDR/AV Killer che prende di mira i dipartimenti HR
Un attore di minaccia russofono prende di mira i dipartimenti HR da oltre un anno con un nuovo EDR killer chiamato BlackSanta. Disabilita le protezioni antivirus e EDR a livello kernel, consentendo il furto di credenziali e l'esfiltrazione dei dati.
HIGH Botnet KadNap — Oltre 14.000 dispositivi edge infettati
Il nuovo malware KadNap prende di mira i router ASUS, costruendo una botnet proxy stealth tramite protocollo Kademlia DHT personalizzato. Oltre 14.000 dispositivi infettati, il 60% negli USA. Rilevato da Lumen's Black Lotus Labs.
HIGH PhantomRaven — 88 pacchetti NPM malevoli rubano dati degli sviluppatori
La campagna di attacco alla supply chain PhantomRaven continua a colpire npm con 88 pacchetti malevoli che esfiltrano dati sensibili dagli sviluppatori JavaScript.
HIGH Malware Android BeatBanker — Falsa app Starlink
Il nuovo trojan bancario Android BeatBanker si camuffa da app Starlink su siti web falsi del Google Play Store per dirottare i dispositivi.
MEDIUM "Zombie ZIP" — Nuova tecnica di evasione aggira EDR/AV
Una nuova tecnica chiamata Zombie ZIP nasconde i payload in file compressi appositamente creati per eludere il rilevamento di antivirus e EDR.
🔧 Movimenti del Settore & Strumenti di Sicurezza
INFO Google completa l'acquisizione di Wiz per $32B
Wiz entra ufficialmente in Google Cloud nella più grande acquisizione nella storia della cybersecurity. Wiz manterrà il proprio brand all'interno di Google Cloud.
INFO OpenAI acquisisce Promptfoo (startup di sicurezza AI)
OpenAI sta acquisendo Promptfoo (oltre $23M raccolti), una piattaforma per la sicurezza di LLM e agenti AI. Un segnale che la sicurezza dell'AI sta diventando una competenza fondamentale.
INFO Scanner raccoglie $22M per il threat hunting basato su AI
Scanner connette agenti AI ai data lake di sicurezza per investigazioni interattive, detection engineering e risposta autonoma.
INFO Quantro Security esce dallo stealth ($2,5M)
La nuova startup si integra con gli stack di cybersecurity esistenti, acquisisce e normalizza i dati, e fornisce intelligence per ridurre il rischio.
INFO Il Senato conferma Joshua Rudd alla guida di NSA e US Cyber Command
La struttura di comando congiunto prosegue con Rudd alla supervisione sia di NSA che di USCYBERCOM.
📡 Pattern Emergenti delle Minacce
HIGH Browser agent AI vulnerabili al phishing tramite "Agentic Blabbering"
I ricercatori hanno ingannato il Comet AI Browser di Perplexity in una truffa di phishing in meno di 4 minuti. La tendenza dei browser AI a narrare il proprio ragionamento ("Agentic Blabbering") può essere sfruttata per abbassare le difese di sicurezza. Scoperto da Guardio.
Tendenze chiave osservate
1. Escalation dell'hacktivismo di stato: Handala, collegata all'Iran, ha cancellato oltre 200K dispositivi di un'azienda da $25B, dimostrando una crescente capacità distruttiva.
2. Accelerazione degli attacchi alla supply chain: PhantomRaven (npm), furto di credenziali FortiGate e sfruttamento di Oracle EBS prendono tutti di mira la catena di fornitura.
3. Maturazione dell'evasione EDR/AV: BlackSanta (EDR killer a livello kernel) + tecnica di evasione Zombie ZIP — gli attaccanti sono specificamente progettati per sconfiggere gli strumenti difensivi.
4. La sicurezza AI diventa un hotspot M&A: Google/Wiz ($32B), OpenAI/Promptfoo, Scanner ($22M) — enormi capitali confluiscono nella sicurezza AI.
5. Gli agenti AI come superficie d'attacco: Browser agentici vittime di phishing in pochi minuti — una nuova superficie d'attacco che la maggior parte delle organizzazioni non ha ancora affrontato.
🎯 Rilevanza KENSAI & Opportunità di Contenuto
- RCE n8n (direttiva CISA) — KENSAI può rilevarlo negli ambienti dei clienti. Opportunità di blog post sulla sicurezza dell'automazione dei flussi di lavoro.
- Campagna di sfruttamento FortiGate — Angolo NIS2 perfetto: "Il tuo firewall viene usato contro di te." Le scansioni KENSAI rilevano configurazioni FortiGate deboli/esposte.
- SQLi WordPress (plugin Ally) — 400K siti a rischio. Le funzionalità DAST di KENSAI possono identificarli. Opportunità di contenuto per scansioni di massa.
- Sicurezza degli agenti AI — L'acquisizione di Promptfoo da parte di OpenAI valida il mercato della sicurezza AI in cui opera KENSAI. Opportunità di thought leadership.
- Attacco wiper a Stryker — Angolo di conformità NIS2 per aziende healthcare/medtech nella regione DACH.
- ICS Patch Tuesday — Contenuti sulla conformità DORA/NIS2 per operatori industriali che utilizzano Siemens/Schneider.