🛡️ KENSAI Intelligence sulla Sicurezza
Violazioni dati
Telus Digital conferma violazione — Hacker rivendica 1 petabyte rubato
Il colosso canadese del BPO Telus Digital ha confermato una violazione della sicurezza durata diversi mesi dopo che attori malevoli hanno rivendicato di aver esfiltrato quasi 1 petabyte di dati. La portata di questa violazione è straordinaria — uno dei più grandi furti volumetrici di dati mai rivendicati.
BPOEsfiltrazione datiCanadaViolazione dati Bell Ambulance — 238.000 individui coinvolti
Gli hacker hanno rubato informazioni personali tra cui nomi, numeri di previdenza sociale e numeri di patente dalla Bell Ambulance, coinvolgendo 238.000 persone. Il settore sanitario continua ad essere un obiettivo primario.
SanitàPIIEsposizione SSNLoblaw (il più grande rivenditore del Canada) notifica i clienti della violazione
Il colosso canadese della vendita al dettaglio Loblaw ha forzato tutti i clienti a disconnettersi dai propri account a seguito di una violazione dati. I servizi digitali dell'azienda sono stati temporaneamente interrotti come misura precauzionale.
Vendita al dettaglioDati clientiCanadaVulnerabilità critiche e patch
Veeam Backup & Replication — 4 vulnerabilità RCE critiche
Veeam ha corretto 4 vulnerabilità critiche di esecuzione di codice remoto nella sua soluzione Backup & Replication. Data la prevalenza di Veeam negli ambienti aziendali, queste falle sono obiettivi ad alta priorità per gli operatori ransomware. Applicare le patch immediatamente.
RCEInfrastruttura di backupPatch oraMicrosoft Patch Tuesday — 77 vulnerabilità corrette
Microsoft ha rilasciato correzioni per 77 falle tra cui CVE-2026-21262 (escalation di privilegi SQL Server a sysadmin, CVSS 8.8), CVE-2026-26113 e CVE-2026-26110 (RCE Office tramite riquadro di anteprima — nessun clic necessario). Due bug erano stati divulgati pubblicamente prima della patch.
Patch TuesdaySQL ServerOffice RCE.NETn8n Automazione dei flussi di lavoro — Vulnerabilità di takeover del server
Bug critici in n8n consentivano ad attaccanti non autenticati di eseguire codice arbitrario, rubare credenziali e prendere il controllo dei server. Qualsiasi organizzazione che esegue n8n deve applicare le patch immediatamente — si tratta di un RCE non autenticato.
n8nRCE non autenticatoAutomazione flussiCisco IOS XR — Patch ad alta severità
Cisco ha corretto vulnerabilità ad alta severità in IOS XR che potevano portare a DoS, esecuzione di comandi o takeover completo del dispositivo. Gli operatori di infrastrutture di rete dovrebbero dare priorità.
CiscoInfrastruttura di reteDoSSplunk & Zoom — Vulnerabilità gravi corrette
Falle critiche e ad alta severità in Splunk e Zoom potevano essere sfruttate per eseguire comandi shell arbitrari o elevare i privilegi. Entrambi ampiamente diffusi in ambienti aziendali.
SplunkZoomEsecuzione shellApple retroporta le patch del kit di exploit Coruna su iOS legacy
Apple ha rilasciato iOS 15.8.7 e 16.7.15 per correggere CVE-2023-43010 (corruzione di memoria WebKit) utilizzato nel kit di exploit Coruna per cyberspionaggio e furto di criptovalute. Mirato a iPhone/iPad più vecchi che non possono eseguire l'ultima versione di iOS.
AppleWebKitKit di exploitSpionaggioPlugin WordPress «Ally» — SQL Injection che colpisce oltre 200.000 siti
Una falla nel plugin Ally di WordPress espone oltre 200.000 siti web ad attacchi di SQL injection, consentendo agli attaccanti di estrarre informazioni sensibili dal database.
WordPressSQLi200K sitiRansomware e attacchi distruttivi
Il colosso MedTech Stryker paralizzato da un attacco Wiper legato all'Iran
Il gruppo hacktivista sostenuto dall'Iran Handala (collegato al MOIS/Void Manticore) rivendica di aver cancellato dati da oltre 200.000 sistemi nelle operazioni globali di Stryker. Oltre 5.000 lavoratori mandati a casa in Irlanda. Uffici in 79 paesi colpiti. I dispositivi personali dei dipendenti con Outlook sono stati anch'essi cancellati. Le pagine di login deturpate con il logo Handala. Le linee telefoniche aziendali segnalano «emergenza edificio».
Questo è uno degli attacchi Wiper più impattanti contro un'azienda occidentale degli ultimi anni — un'azienda da 25 miliardi di dollari essenzialmente offline a livello globale.
Stato-nazioneIran / MOISWiperHandalaMedTechEngland Hockey colpito dal ransomware AiLock
England Hockey, l'organismo nazionale di governo dell'hockey su prato, sta indagando su una potenziale violazione dati dopo che il gruppo ransomware AiLock li ha inseriti nel loro sito di leak. Le organizzazioni sportive sono sempre più prese di mira.
AiLockSportUKIl malware «Slopoly» generato dall'IA utilizzato in un attacco ransomware Interlock
Un nuovo ceppo di malware generato dall'IA chiamato Slopoly è stato utilizzato in un attacco ransomware Interlock, consentendo agli attori malevoli di mantenere la persistenza per oltre una settimana ed esfiltrare dati prima di distribuire il ransomware. Segnala l'uso crescente dell'IA nello sviluppo di malware.
Malware generato da IAInterlockPersistenzaMinacce emergenti e ricerca
Trojan bancario VENON — Malware basato su Rust che prende di mira 33 banche brasiliane
Un nuovo trojan bancario basato su Rust chiamato VENON prende di mira 33 banche brasiliane usando attacchi overlay, monitoraggio delle finestre attive e hijacking di LNK. Il passaggio da Delphi a Rust segnala che gli autori di malware stanno adottando linguaggi moderni più difficili da analizzare.
Trojan bancarioRustBrasileAttacco overlaySei nuove famiglie di malware Android prendono di mira pagamenti Pix e wallet crypto
Zimperium ha scoperto 6 nuove famiglie di malware Android: PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT e SURXRAT. PixRevolution dirotta i trasferimenti di pagamento istantaneo Pix del Brasile in tempo reale. Alcuni usano operatori IA/umani che monitorano gli schermi delle vittime in diretta.
AndroidMobile bankingPixRATI browser IA agentici vulnerabili al phishing — Comet di Perplexity ingannato in 4 minuti
I ricercatori di Guardio hanno dimostrato che i browser agentici alimentati dall'IA (come Comet di Perplexity) possono essere ingannati da truffe di phishing sfruttando la tendenza dell'IA a ragionare e narrare le azioni. Gli attaccanti manipolano il processo di ragionamento per abbassare le protezioni di sicurezza.
Sicurezza IAIA agenticaBrowserPhishingAttacco alla supply chain Polyfill (2024) ora collegato alla Corea del Nord
L'attacco alla supply chain Polyfill.io del 2024 che ha coinvolto oltre 100.000 siti web era stato inizialmente attribuito alla Cina, ma nuove prove da un'infezione da infostealer rivelano un coinvolgimento nordcoreano. Evidenzia le continue sfide di attribuzione negli attacchi alla supply chain.
Supply ChainCorea del NordAttribuzioneForze dell'ordine e industria
Gli USA smantellano la rete proxy SocksEscort
Le forze dell'ordine statunitensi ed europee hanno smantellato la rete proxy cybercriminale SocksEscort, che utilizzava dispositivi periferici compromessi tramite il malware Linux AVRecon. Uno smantellamento significativo di infrastruttura criminale.
SmantellamentoRete proxyIoTMeta disabilita oltre 150.000 account di centri truffa in Asia
Meta ha lanciato nuovi strumenti di protezione e disabilitato oltre 150.000 account che alimentavano centri truffa in tutta l'Asia. Proseguendo la repressione contro le operazioni di frode organizzata.
MetaCentri truffaAsiaWiz entra in Google Cloud — Acquisizione da 32 miliardi di dollari conclusa
Google ha completato la storica acquisizione da 32 miliardi di dollari della società di sicurezza cloud Wiz. Wiz manterrà il proprio brand all'interno di Google Cloud. La più grande acquisizione di cybersicurezza della storia.
M&AGoogle CloudWiz$32BGoogle ha pagato 17,1 milioni di dollari in premi Bug Bounty nel 2025
Il programma di ricompensa per le vulnerabilità di Google ha pagato 17,1 milioni di dollari a 747 ricercatori nel 2025, dimostrando un investimento continuo nella sicurezza crowdsourced.
Bug BountyGoogle VRPIl Senato conferma Joshua Rudd come capo della NSA e del Cyber Command
Il Senato degli Stati Uniti ha confermato Joshua Rudd alla guida sia della NSA che del US Cyber Command nell'ambito dell'accordo «dual-hat».
GovernoNSAUSCYBERCOM🎯 Analisi KENSAI — Cosa conta per i nostri clienti
- Convergenza Veeam RCE + Ransomware: L'infrastruttura di backup è ora un obiettivo di attacco primario. Le organizzazioni che usano Veeam devono applicare le patch immediatamente — gli operatori ransomware sfruttano attivamente i sistemi di backup per impedire il recovery. La scansione infrastrutturale di KENSAI rileva le istanze Veeam esposte.
- Il malware generato dall'IA è pronto per la produzione: Il malware «Slopoly» usato nell'attacco Interlock è stato generato dall'IA ed era abbastanza efficace per un'intrusione di una settimana. Questo abbassa la barriera per attacchi sofisticati — esattamente perché la difesa alimentata dall'IA (KENSAI) deve stare al passo con l'offensiva alimentata dall'IA.
- I Wiper degli stati-nazione diventano commerciali: L'attacco a Stryker da parte di Handala/MOIS mostra gruppi sostenuti da stati che distribuiscono wiper devastanti contro aziende occidentali. Oltre 200.000 dispositivi cancellati in una singola operazione. I requisiti di conformità NIS2 per la risposta agli incidenti e la resilienza non sono opzionali.
- Esposizioni dei plugin WordPress (200K siti): La SQLi del plugin Ally colpisce oltre 200.000 siti. Le capacità DAST di KENSAI possono rilevare automaticamente questi punti di iniezione prima degli attaccanti.
- L'attribuzione della supply chain sta cambiando: L'attacco Polyfill riattribuito dalla Cina alla Corea del Nord. Le organizzazioni necessitano di un monitoraggio continuo delle dipendenze — l'analisi SBOM di KENSAI rileva i pacchetti compromessi.
- Priorità Patch Tuesday: L'RCE del riquadro di anteprima di Microsoft Office (CVE-2026-26113/26110) non richiede alcun clic. L'escalation di SQL Server a sysadmin (CVE-2026-21262) è sfruttabile via rete. Entrambi sono ad alta priorità per qualsiasi azienda DACH con infrastruttura Microsoft.