La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo quattro vulnerabilità sfruttate attivamente che interessano SimpleHelp, Samsung MagicINFO 9 Server e i router D-Link della serie DIR-823X. Questa mossa rafforza le indicazioni operative per la gestione delle vulnerabilità nei sistemi esposti e richiama in particolare le agenzie federali a intervenire entro una scadenza definita.

VECT 2.0 è un ransomware che in realtà si comporta come un wiper, cioè un malware di distruzione dati. La particolarità che lo rende estremamente pericoloso è che su Windows, Linux ed ESXi finisce per rendere irrecuperabili molti file aziendali, anche nel caso in cui la vittima paghi il riscatto.

La CISA ha aggiornato il catalogo Known Exploited Vulnerabilities (KEV) inserendo due vulnerabilità attivamente sfruttate che riguardano ConnectWise ScreenConnect e Microsoft Windows. Questo elenco è un riferimento operativo per la gestione delle patch e per la riduzione del rischio, soprattutto negli ambienti dove la superficie di attacco include strumenti di accesso remoto e postazioni Windows diffuse.

Un recente attacco alla supply chain software ha colpito il pacchetto Python Lightning su PyPI, dimostrando ancora una volta quanto sia fragile la catena di distribuzione delle dipendenze open source. Sono state pubblicate due versioni malevole, Lightning 2.6.2 e 2.6.3, rilasciate il 30 aprile 2026, progettate per il furto di credenziali e l’uso improprio di token di accesso.

Il caso BlackCat ransomware torna al centro dell’attenzione per una vicenda che evidenzia un rischio spesso sottovalutato nella cybersecurity: l’abuso interno di competenze e accessi. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la condanna a quattro anni di carcere per due professionisti del settore che nel 2023 hanno facilitato attacchi ransomware BlackCat, noto anche come ALPHV, contro più vittime distribuite sul territorio statunitense.

Una nuova ondata di frodi nelle telecomunicazioni sta sfruttando falsi CAPTCHA per indurre gli utenti a inviare SMS internazionali a numeri premium, con addebiti che finiscono direttamente in bolletta. Questo schema rientra nella cosiddetta International Revenue Share Fraud (IRSF), un modello criminale basato sulla condivisione dei ricavi generati dalle tariffe di terminazione tra operatori e soggetti che controllano i numeri di destinazione.

Negli ultimi mesi stanno emergendo attacchi di estorsione estremamente rapidi che si svolgono quasi interamente dentro ambienti SaaS, rendendo più difficile per i team di sicurezza ricostruire le azioni degli attaccanti. Due gruppi criminali distinti ma con metodi molto simili sono stati collegati a campagne ad alta velocità basate su furto dati ed estorsione, attive almeno da ottobre 2025.

Negli ultimi giorni il panorama della cybersecurity ha mostrato quanto sia facile per i criminali combinare tecniche vecchie e nuove per colpire utenti e aziende. Un esempio è la crescita delle truffe via SMS attraverso dispositivi noti come SMS blaster, capaci di imitare una cella telefonica e inviare messaggi di smishing a chiunque si trovi nelle vicinanze.

Una recente indagine sulla sicurezza informatica ha acceso i riflettori su una campagna di attacchi DDoS in Brasile che per anni ha colpito quasi esclusivamente i provider Internet locali. Il punto chiave è che una società tecnologica specializzata in protezione anti DDoS e mitigazione per ISP avrebbe avuto infrastrutture utilizzate come leva operativa per alimentare un botnet, con effetti concreti su altri operatori di rete brasiliani.

Una campagna malware ad alta resilienza sta sfruttando GitHub e la blockchain di Ethereum per distribuire EtherRAT, un Remote Access Trojan pensato per colpire profili ad alto privilegio come amministratori di sistema, ingegneri DevOps e analisti di sicurezza. Il punto di forza dell’operazione è la combinazione tra SEO poisoning, una catena di distribuzione a due stadi su GitHub e un comando e controllo decentralizzato che rende difficile bloccare l’infrastruttura.