剣 KENSAI
← Back to archive

🛡️ KENSAI Intelligence sulla Sicurezza

Giovedì 12 marzo — Venerdì 13 marzo 2026
📡 5 fonti monitorate 📰 18+ notizie analizzate ⏰ Report generato alle 04:00 CET
3
Violazioni dati
6
CVE critici
3
Ransomware / Wiper
4
Minacce emergenti
🔓

Violazioni dati

CRITICO

Telus Digital conferma violazione — Hacker rivendica 1 petabyte rubato

Il colosso canadese del BPO Telus Digital ha confermato una violazione della sicurezza durata diversi mesi dopo che attori malevoli hanno rivendicato di aver esfiltrato quasi 1 petabyte di dati. La portata di questa violazione è straordinaria — uno dei più grandi furti volumetrici di dati mai rivendicati.

BPOEsfiltrazione datiCanada
Fonte: BleepingComputer · 12 mar
ALTO

Violazione dati Bell Ambulance — 238.000 individui coinvolti

Gli hacker hanno rubato informazioni personali tra cui nomi, numeri di previdenza sociale e numeri di patente dalla Bell Ambulance, coinvolgendo 238.000 persone. Il settore sanitario continua ad essere un obiettivo primario.

SanitàPIIEsposizione SSN
Fonte: SecurityWeek · 12 mar
MEDIO

Loblaw (il più grande rivenditore del Canada) notifica i clienti della violazione

Il colosso canadese della vendita al dettaglio Loblaw ha forzato tutti i clienti a disconnettersi dai propri account a seguito di una violazione dati. I servizi digitali dell'azienda sono stati temporaneamente interrotti come misura precauzionale.

Vendita al dettaglioDati clientiCanada
Fonte: BleepingComputer · 12 mar
🐛

Vulnerabilità critiche e patch

CRITICO

Veeam Backup & Replication — 4 vulnerabilità RCE critiche

Veeam ha corretto 4 vulnerabilità critiche di esecuzione di codice remoto nella sua soluzione Backup & Replication. Data la prevalenza di Veeam negli ambienti aziendali, queste falle sono obiettivi ad alta priorità per gli operatori ransomware. Applicare le patch immediatamente.

RCEInfrastruttura di backupPatch ora
Fonte: BleepingComputer · 12 mar
CRITICO

Microsoft Patch Tuesday — 77 vulnerabilità corrette

Microsoft ha rilasciato correzioni per 77 falle tra cui CVE-2026-21262 (escalation di privilegi SQL Server a sysadmin, CVSS 8.8), CVE-2026-26113 e CVE-2026-26110 (RCE Office tramite riquadro di anteprima — nessun clic necessario). Due bug erano stati divulgati pubblicamente prima della patch.

Patch TuesdaySQL ServerOffice RCE.NET
Fonte: KrebsOnSecurity · 12 mar
CRITICO

n8n Automazione dei flussi di lavoro — Vulnerabilità di takeover del server

Bug critici in n8n consentivano ad attaccanti non autenticati di eseguire codice arbitrario, rubare credenziali e prendere il controllo dei server. Qualsiasi organizzazione che esegue n8n deve applicare le patch immediatamente — si tratta di un RCE non autenticato.

n8nRCE non autenticatoAutomazione flussi
Fonte: SecurityWeek · 12 mar
ALTO

Cisco IOS XR — Patch ad alta severità

Cisco ha corretto vulnerabilità ad alta severità in IOS XR che potevano portare a DoS, esecuzione di comandi o takeover completo del dispositivo. Gli operatori di infrastrutture di rete dovrebbero dare priorità.

CiscoInfrastruttura di reteDoS
Fonte: SecurityWeek · 12 mar
ALTO

Splunk & Zoom — Vulnerabilità gravi corrette

Falle critiche e ad alta severità in Splunk e Zoom potevano essere sfruttate per eseguire comandi shell arbitrari o elevare i privilegi. Entrambi ampiamente diffusi in ambienti aziendali.

SplunkZoomEsecuzione shell
Fonte: SecurityWeek · 12 mar
ALTO

Apple retroporta le patch del kit di exploit Coruna su iOS legacy

Apple ha rilasciato iOS 15.8.7 e 16.7.15 per correggere CVE-2023-43010 (corruzione di memoria WebKit) utilizzato nel kit di exploit Coruna per cyberspionaggio e furto di criptovalute. Mirato a iPhone/iPad più vecchi che non possono eseguire l'ultima versione di iOS.

AppleWebKitKit di exploitSpionaggio
Fonte: THN + BleepingComputer + SecurityWeek · 12 mar
ALTO

Plugin WordPress «Ally» — SQL Injection che colpisce oltre 200.000 siti

Una falla nel plugin Ally di WordPress espone oltre 200.000 siti web ad attacchi di SQL injection, consentendo agli attaccanti di estrarre informazioni sensibili dal database.

WordPressSQLi200K siti
Fonte: SecurityWeek · 12 mar
💀

Ransomware e attacchi distruttivi

CRITICO — STATO-NAZIONE

Il colosso MedTech Stryker paralizzato da un attacco Wiper legato all'Iran

Il gruppo hacktivista sostenuto dall'Iran Handala (collegato al MOIS/Void Manticore) rivendica di aver cancellato dati da oltre 200.000 sistemi nelle operazioni globali di Stryker. Oltre 5.000 lavoratori mandati a casa in Irlanda. Uffici in 79 paesi colpiti. I dispositivi personali dei dipendenti con Outlook sono stati anch'essi cancellati. Le pagine di login deturpate con il logo Handala. Le linee telefoniche aziendali segnalano «emergenza edificio».

Questo è uno degli attacchi Wiper più impattanti contro un'azienda occidentale degli ultimi anni — un'azienda da 25 miliardi di dollari essenzialmente offline a livello globale.

Stato-nazioneIran / MOISWiperHandalaMedTech
Fonte: KrebsOnSecurity + SecurityWeek · 12–13 mar
ALTO

England Hockey colpito dal ransomware AiLock

England Hockey, l'organismo nazionale di governo dell'hockey su prato, sta indagando su una potenziale violazione dati dopo che il gruppo ransomware AiLock li ha inseriti nel loro sito di leak. Le organizzazioni sportive sono sempre più prese di mira.

AiLockSportUK
Fonte: BleepingComputer · 12 mar
ALTO

Il malware «Slopoly» generato dall'IA utilizzato in un attacco ransomware Interlock

Un nuovo ceppo di malware generato dall'IA chiamato Slopoly è stato utilizzato in un attacco ransomware Interlock, consentendo agli attori malevoli di mantenere la persistenza per oltre una settimana ed esfiltrare dati prima di distribuire il ransomware. Segnala l'uso crescente dell'IA nello sviluppo di malware.

Malware generato da IAInterlockPersistenza
Fonte: BleepingComputer · 12 mar
🔬

Minacce emergenti e ricerca

CRITICO

Trojan bancario VENON — Malware basato su Rust che prende di mira 33 banche brasiliane

Un nuovo trojan bancario basato su Rust chiamato VENON prende di mira 33 banche brasiliane usando attacchi overlay, monitoraggio delle finestre attive e hijacking di LNK. Il passaggio da Delphi a Rust segnala che gli autori di malware stanno adottando linguaggi moderni più difficili da analizzare.

Trojan bancarioRustBrasileAttacco overlay
Fonte: The Hacker News · 12 mar
ALTO

Sei nuove famiglie di malware Android prendono di mira pagamenti Pix e wallet crypto

Zimperium ha scoperto 6 nuove famiglie di malware Android: PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT e SURXRAT. PixRevolution dirotta i trasferimenti di pagamento istantaneo Pix del Brasile in tempo reale. Alcuni usano operatori IA/umani che monitorano gli schermi delle vittime in diretta.

AndroidMobile bankingPixRAT
Fonte: The Hacker News · 12 mar
ALTO

I browser IA agentici vulnerabili al phishing — Comet di Perplexity ingannato in 4 minuti

I ricercatori di Guardio hanno dimostrato che i browser agentici alimentati dall'IA (come Comet di Perplexity) possono essere ingannati da truffe di phishing sfruttando la tendenza dell'IA a ragionare e narrare le azioni. Gli attaccanti manipolano il processo di ragionamento per abbassare le protezioni di sicurezza.

Sicurezza IAIA agenticaBrowserPhishing
Fonte: The Hacker News · 11 mar
INTEL

Attacco alla supply chain Polyfill (2024) ora collegato alla Corea del Nord

L'attacco alla supply chain Polyfill.io del 2024 che ha coinvolto oltre 100.000 siti web era stato inizialmente attribuito alla Cina, ma nuove prove da un'infezione da infostealer rivelano un coinvolgimento nordcoreano. Evidenzia le continue sfide di attribuzione negli attacchi alla supply chain.

Supply ChainCorea del NordAttribuzione
Fonte: SecurityWeek · 12 mar
⚖️

Forze dell'ordine e industria

INFO

Gli USA smantellano la rete proxy SocksEscort

Le forze dell'ordine statunitensi ed europee hanno smantellato la rete proxy cybercriminale SocksEscort, che utilizzava dispositivi periferici compromessi tramite il malware Linux AVRecon. Uno smantellamento significativo di infrastruttura criminale.

SmantellamentoRete proxyIoT
Fonte: BleepingComputer · 12 mar
INFO

Meta disabilita oltre 150.000 account di centri truffa in Asia

Meta ha lanciato nuovi strumenti di protezione e disabilitato oltre 150.000 account che alimentavano centri truffa in tutta l'Asia. Proseguendo la repressione contro le operazioni di frode organizzata.

MetaCentri truffaAsia
Fonte: SecurityWeek · 12 mar
INFO

Wiz entra in Google Cloud — Acquisizione da 32 miliardi di dollari conclusa

Google ha completato la storica acquisizione da 32 miliardi di dollari della società di sicurezza cloud Wiz. Wiz manterrà il proprio brand all'interno di Google Cloud. La più grande acquisizione di cybersicurezza della storia.

M&AGoogle CloudWiz$32B
Fonte: SecurityWeek · 12 mar
INFO

Google ha pagato 17,1 milioni di dollari in premi Bug Bounty nel 2025

Il programma di ricompensa per le vulnerabilità di Google ha pagato 17,1 milioni di dollari a 747 ricercatori nel 2025, dimostrando un investimento continuo nella sicurezza crowdsourced.

Bug BountyGoogle VRP
Fonte: BleepingComputer · 12 mar
INFO

Il Senato conferma Joshua Rudd come capo della NSA e del Cyber Command

Il Senato degli Stati Uniti ha confermato Joshua Rudd alla guida sia della NSA che del US Cyber Command nell'ambito dell'accordo «dual-hat».

GovernoNSAUSCYBERCOM
Fonte: SecurityWeek · 12 mar

🎯 Analisi KENSAI — Cosa conta per i nostri clienti

  • Convergenza Veeam RCE + Ransomware: L'infrastruttura di backup è ora un obiettivo di attacco primario. Le organizzazioni che usano Veeam devono applicare le patch immediatamente — gli operatori ransomware sfruttano attivamente i sistemi di backup per impedire il recovery. La scansione infrastrutturale di KENSAI rileva le istanze Veeam esposte.
  • Il malware generato dall'IA è pronto per la produzione: Il malware «Slopoly» usato nell'attacco Interlock è stato generato dall'IA ed era abbastanza efficace per un'intrusione di una settimana. Questo abbassa la barriera per attacchi sofisticati — esattamente perché la difesa alimentata dall'IA (KENSAI) deve stare al passo con l'offensiva alimentata dall'IA.
  • I Wiper degli stati-nazione diventano commerciali: L'attacco a Stryker da parte di Handala/MOIS mostra gruppi sostenuti da stati che distribuiscono wiper devastanti contro aziende occidentali. Oltre 200.000 dispositivi cancellati in una singola operazione. I requisiti di conformità NIS2 per la risposta agli incidenti e la resilienza non sono opzionali.
  • Esposizioni dei plugin WordPress (200K siti): La SQLi del plugin Ally colpisce oltre 200.000 siti. Le capacità DAST di KENSAI possono rilevare automaticamente questi punti di iniezione prima degli attaccanti.
  • L'attribuzione della supply chain sta cambiando: L'attacco Polyfill riattribuito dalla Cina alla Corea del Nord. Le organizzazioni necessitano di un monitoraggio continuo delle dipendenze — l'analisi SBOM di KENSAI rileva i pacchetti compromessi.
  • Priorità Patch Tuesday: L'RCE del riquadro di anteprima di Microsoft Office (CVE-2026-26113/26110) non richiede alcun clic. L'escalation di SQL Server a sysadmin (CVE-2026-21262) è sfruttabile via rete. Entrambi sono ad alta priorità per qualsiasi azienda DACH con infrastruttura Microsoft.