Ransomfeed

L'FBI avvisa 10 milioni di dispositivi Android di non accedere a Internet
Una significativa campagna malware per Android, denominata BadBox e il suo successore BadBox 2.0, ha infettato almeno 10 milioni di dispositivi in tutto il mondo. Il malware preinstallato, presente in dispositivi IoT economici come smart TV e dispositivi per lo streaming, ha consentito agli aggressori di accedere alle reti domestiche. Google ha intentato una causa contro i responsabili e ha aggiornato Google Play Protect per bloccare le applicazioni correlate.

#BHUSA: 1000 appaltatori del Dipartimento della Difesa ora coperti dai servizi informatici gratuiti della NSA
Il programma Continuous Autonomous Penetration Testing (CAPT) ha identificato 50.000 vulnerabilità in 200 appaltatori del Dipartimento della Difesa, mitigandone il 70%. La compromissione di dominio più rapida si è verificata in 77 secondi, spesso sfruttando credenziali configurate in modo errato anziché tecniche avanzate. Le compromissioni iniziali hanno interessato il 20% degli account di amministratore di dominio, consentendo una rapida escalation dei privilegi. Un singolo pentest ha rivelato l'accesso a informazioni sensibili, inclusi dati su sottomarini nucleari e portaerei, in cinque minuti.

Ex reporter del New York Times lancia un avvertimento al Black Hat
Gli attacchi malware si sono evoluti, diventando più silenziosi, autonomi e operanti come servizi in abbonamento. I ransomware hanno paralizzato gli ospedali, gli spyware hanno intimidito i giornalisti e dati aziendali sensibili sono stati divulgati per esercitare pressione. Gli attacchi hanno preso di mira reti, dibattito pubblico, sistemi critici e democrazia. L'intelligenza artificiale sta ora automatizzando questi attacchi su larga scala, anche utilizzando chatbot nelle negoziazioni sui ransomware e creando convincenti esche di phishing. La violazione di Sony ha tentato di mettere a tacere un'azienda di media e una redazione è stata hackerata.

Microsoft rivela una falla di Exchange Server che abilita l'accesso al cloud silenzioso nelle configurazioni ibride
Una vulnerabilità di gravità elevata (CVE-2025-53786) in Exchange Server on-premise consente l'escalation dei privilegi nelle distribuzioni ibride, compromettendo potenzialmente gli ambienti cloud connessi e l'integrità dell'identità di Exchange Online. Lo sfruttamento richiede l'accesso come amministratore a un server Exchange. Gli autori di attacchi potrebbero sfruttare questa vulnerabilità per distribuire malware, come ToolShell, sfruttando le falle di SharePoint per il furto di dati e l'esecuzione di codice remoto.

Nuovo EDR killer tool utilizzato da otto diversi gruppi ransomware
Un nuovo strumento EDR killer offuscato, che sfrutta un attacco BYOVD con un driver firmato digitalmente per disabilitare i prodotti di sicurezza, è utilizzato da diversi gruppi ransomware. Lo strumento prende di mira vari fornitori di antivirus/EDR, tra cui Sophos, Microsoft Defender e Kaspersky, tra gli altri. Il malware si inietta in applicazioni legittime, carica un driver dannoso e termina i processi di sicurezza per facilitare la distribuzione e il movimento laterale del ransomware. Lo sviluppo condiviso è indicato dall'uso coerente del packing di HeartCrypt in diverse build.