🛡️ KENSAI Intelligence sulla Sicurezza
Vulnerabilità critiche e Zero-Days
Google corregge due zero-day di Chrome sfruttati attivamente
Google ha rilasciato aggiornamenti di emergenza per correggere due zero-day di Chrome ad alta gravità sfruttati attivamente. CVE-2026-3909 è una scrittura fuori limite nella libreria grafica Skia che può portare all'esecuzione di codice. CVE-2026-3910 è un'implementazione inappropriata nel motore JavaScript V8. Le patch sono disponibili in Chrome 146.0.7680.75 (Windows/Linux) e 146.0.7680.76 (macOS). Questi sono il 2° e 3° zero-day di Chrome corretti nel 2026.
Microsoft Patch Tuesday: 77 vulnerabilità tra cui escalation dei privilegi SQL Server
Il Patch Tuesday di marzo 2026 di Microsoft affronta 77 vulnerabilità. Notevole: CVE-2026-21262 consente a un attaccante autorizzato di scalare ai privilegi sysadmin su SQL Server 2016+ tramite rete (CVSS 8.8). Nessun zero-day questo mese, ma due bug erano stati divulgati pubblicamente prima della patch.
Apple corregge gli exploit Coruna nelle versioni legacy di iOS
Apple ha rilasciato iOS/iPadOS 16.7.15 e 15.8.7 per correggere vulnerabilità note come «exploit Coruna». SecurityWeek riporta che un appaltatore della difesa statunitense è dietro la catena di exploit. Gli utenti con dispositivi più vecchi dovrebbero aggiornare immediatamente.
Falla in plugin WordPress espone oltre 200.000 siti a SQL Injection
Una vulnerabilità nel plugin WordPress Ally consente agli attaccanti di iniettare query SQL ed estrarre informazioni sensibili dal database. Oltre 200.000 siti web sono colpiti. Gli amministratori dovrebbero aggiornare o rimuovere il plugin immediatamente.
Falla di n8n Workflow Automation sfruttata attivamente
Una vulnerabilità nella popolare piattaforma di automazione n8n viene sfruttata attivamente. I dettagli sono limitati, ma le organizzazioni che utilizzano n8n dovrebbero verificare i propri deployment e applicare le patch.
Violazioni dati
Il gruppo Handala sostenuto dall'Iran rivendica un massiccio attacco wiper contro Stryker
Il gruppo hacktivista Handala, collegato all'Iran, afferma di aver cancellato i dati da oltre 200.000 sistemi presso il gigante della tecnologia medica Stryker (NYSE: SYK, 25 miliardi di dollari di fatturato annuo). Oltre 5.000 lavoratori in Irlanda sono stati mandati a casa. Uffici in 79 paesi sarebbero stati chiusi. I dispositivi sono stati cancellati, le pagine di login deturpate con il logo di Handala, e il personale ha fatto ricorso alla comunicazione via WhatsApp. Il gruppo è collegato al MOIS iraniano tramite l'attore di minaccia Void Manticore. L'attacco è stato rivendicato come ritorsione per un attacco missilistico di febbraio.
Violazione dati di Starbucks colpisce centinaia di dipendenti
Starbucks ha rivelato una violazione dei dati dopo che attori malevoli hanno ottenuto l'accesso agli account dei dipendenti di Starbucks Partner Central tramite attacchi di phishing. Centinaia di dipendenti sono stati colpiti. L'azienda sta indagando sulla portata dei dati esposti.
Il colosso canadese della distribuzione Loblaw notifica i clienti di una violazione dati
Loblaw, il più grande rivenditore del Canada, ha disconnesso automaticamente tutti i clienti e forzato il reset delle password dopo aver scoperto una violazione. La portata completa dei dati dei clienti compromessi è ancora sotto indagine.
Segnalata violazione dati presso Telus Digital
L'azienda tecnologica canadese Telus Digital ha subito una violazione dei dati. I dettagli restano limitati poiché l'indagine è in corso.
Ransomware
England Hockey colpito dal ransomware AiLock — 129 GB rubati
La gang ransomware AiLock afferma di aver rubato 129 GB di dati da England Hockey, che governa l'hockey su prato in oltre 800 club e 150.000 giocatori registrati. AiLock è un gruppo relativamente nuovo che usa le violazioni delle leggi sulla privacy come leva nelle negoziazioni. L'organizzazione sta collaborando con le forze dell'ordine e specialisti esterni.
Campagne di minacce attive
APT cinese prende di mira le forze armate del sud-est asiatico con malware personalizzato
Palo Alto Unit 42 ha scoperto una campagna di spionaggio legata alla Cina (CL-STA-1087) che prende di mira le organizzazioni militari del sud-est asiatico dal 2020. Gli attaccanti hanno usato le famiglie di malware personalizzato AppleChris e MemFun per raccogliere documenti sulle capacità militari, strutture organizzative e intelligence sulle collaborazioni militari occidentali. La campagna dimostra «pazienza operativa strategica» e raccolta altamente mirata.
Storm-2561: Falsi siti VPN aziendali rubano credenziali corporative
Microsoft traccia l'attore di minaccia Storm-2561 che distribuisce falsi client VPN che imitano Ivanti, Cisco, Fortinet, Sophos, SonicWall, Check Point e WatchGuard. Usa SEO poisoning per posizionare falsi siti di download, installa l'infostealer Hyrax insieme a una falsa schermata di login VPN convincente. Dopo aver rubato le credenziali, reindirizza le vittime al sito reale del fornitore — rendendo la compromissione quasi invisibile. Firmato con un certificato legittimo revocato.
Il malware bancario VENON basato su Rust prende di mira 33 banche brasiliane
Un nuovo trojan bancario basato su Rust chiamato VENON prende di mira gli utenti brasiliani con overlay per il furto di credenziali per 33 banche. Rappresenta un cambiamento rispetto al tradizionale malware bancario latinoamericano basato su Delphi. Usa il dirottamento LNK, il monitoraggio delle finestre attive e una logica di overlay bancario simile alle famiglie Grandoreiro e Mekotio.
L'FBI indaga su malware distribuito tramite giochi Steam
L'FBI cerca vittime di otto giochi Steam malevoli utilizzati per diffondere malware. L'agenzia sta raccogliendo informazioni nell'ambito di un'indagine in corso. I giocatori che hanno installato i titoli interessati dovrebbero scansionare i propri sistemi.
Hacker legati all'Iran espandono gli obiettivi alle infrastrutture statunitensi
Gruppi hacker pro-iraniani prendono di mira siti in Medio Oriente e iniziano a sondare obiettivi statunitensi tra cui appaltatori della difesa, centrali elettriche e impianti di trattamento acque. L'escalation segue le tensioni geopolitiche in corso e aumenta il rischio di attacchi alle infrastrutture critiche.
Preso di mira il Centro nazionale di ricerca nucleare della Polonia
Il NCBJ (Centro nazionale di ricerca nucleare) della Polonia ha rilevato e bloccato un attacco informatico contro la propria infrastruttura IT prima di qualsiasi impatto. L'attacco sottolinea il continuo targeting delle organizzazioni del settore nucleare ed energetico in Europa.
Azioni delle forze dell'ordine
Operazione Synergia III: INTERPOL neutralizza 45.000 IP, 94 arresti
L'«Operazione Synergia III» di INTERPOL — attraverso 72 paesi da luglio 2025 a gennaio 2026 — ha reindirizzato 45.000 IP malevoli verso sinkhole, sequestrato 212 dispositivi/server, arrestato 94 sospetti, con altri 110 sotto indagine. A Macao, gli investigatori hanno identificato oltre 33.000 siti di phishing che imitavano banche e casinò. Principali arresti in Bangladesh (40) e Togo (10).
Botnet proxy SocksEscort smantellato — 369.000 IP in 163 paesi
Le forze dell'ordine statunitensi ed europee hanno smantellato SocksEscort, un servizio proxy criminale che aveva asservito router residenziali in un botnet dal 2020. Il servizio offriva accesso a ~369.000 indirizzi IP in 163 paesi, con quasi 8.000 router infetti ancora attivi a febbraio 2026. Il servizio pubblicizzava «IP residenziali statici con banda illimitata» per aggirare le blocklist anti-spam.
Meta disabilita oltre 150.000 account che alimentavano centri di truffa asiatici
Meta ha lanciato nuovi strumenti di protezione e disabilitato più di 150.000 account che alimentavano centri di truffa in Asia. Lo sforzo mira a interrompere le operazioni di frode organizzata su larga scala.
Industria e strumenti
Bold Security e Onyx Security emergono ciascuna con 40 milioni di dollari di finanziamento
Bold Security usa l'IA per trasformare i dispositivi in agenti di protezione attivi che comprendono le azioni degli utenti in tempo reale. Onyx Security sta costruendo un pannello di controllo per aiutare le organizzazioni a supervisionare gli agenti IA autonomi e adottarli rapidamente. Entrambe sono emerse dallo stealth con 40 milioni di dollari ciascuna — segnalando un forte appetito degli investitori per piattaforme di sicurezza native IA.
Google ha pagato 17 milioni di dollari in premi bug bounty nel 2025
Il programma di ricompense per le vulnerabilità di Google ha pagato 17 milioni di dollari a 747 ricercatori di sicurezza nel 2025. Le vulnerabilità di Chrome hanno fruttato 3,7 milioni ai ricercatori, mentre i difetti di sicurezza cloud hanno generato 3,5 milioni.
🔮 Analisi KENSAI — Cosa significa per te
- Aggiorna Chrome ORA: Due zero-day sfruttati attivamente (CVE-2026-3909, CVE-2026-3910) — aggiorna a 146.0.7680.75+ immediatamente su tutti gli endpoint.
- L'escalation della minaccia iraniana è reale: L'attacco wiper a Stryker (200.000+ dispositivi) è la più grande operazione distruttiva legata all'Iran fino ad oggi. Combinata con le sonde contro l'infrastruttura statunitense, le organizzazioni con esposizione geopolitica necessitano di piani di risposta agli incidenti aggiornati.
- Furto credenziali VPN tramite SEO poisoning: Storm-2561 sta imitando tutti i principali fornitori VPN. Imposizione del MFA su tutti gli accessi VPN e formazione dei dipendenti per scaricare i client solo da fonti interne verificate — mai dai risultati di ricerca.
- Amministratori WordPress: La falla SQLi del plugin Ally colpisce oltre 200.000 siti. Verificate i vostri plugin WordPress e aggiornate o rimuovete Ally immediatamente.
- Rilevanza NIS2: Il targeting del centro nucleare polacco e gli attacchi iraniani alle infrastrutture critiche rafforzano il mandato NIS2 per la segnalazione degli incidenti e la sicurezza della catena di approvvigionamento nei servizi essenziali dell'UE.
- Ondata di finanziamenti nella sicurezza nativa IA: 80 milioni di dollari su due lanci stealth segnalano che il mercato si sta spostando verso la supervisione degli agenti IA — direttamente rilevante per il posizionamento di KENSAI nella valutazione autonoma della sicurezza.