Sommario
Il settore della sicurezza informatica ha registrato una serie di eventi che hanno avuto un impatto significativo su aziende, infrastrutture critiche, ambienti cloud e servizi digitali di uso quotidiano. In particolare, si sono verificati attacchi ransomware, attività di phishing sofisticate indirizzate ai dipendenti di grandi imprese, vulnerabilità attivamente sfruttate, e nuove minacce emerse nel contesto dei sistemi di controllo industriale (ICS). La combinazione di questi fattori evidenzia quanto sia diventato pervasivo e strutturato il rischio cibernetico, anche per realtà con infrastrutture considerate resilienti.
Ransomware su MathWorks: MATLAB e Simulink offline per giorni
Una delle notizie più rilevanti riguarda il caso di MathWorks, azienda sviluppatrice dei software MATLAB e Simulink, strumenti fondamentali per milioni di utenti in ambito scientifico, ingegneristico e accademico. L’azienda ha confermato di essere stata colpita da un attacco ransomware che ha compromesso vari servizi interni ed esterni. L’attacco ha avuto inizio domenica 18 maggio, causando un blackout progressivo del centro cloud, del file exchange, della MathWorks Store e dell’interfaccia per la gestione delle licenze. Molti utenti hanno segnalato difficoltà di accesso, blocchi dell’autenticazione multifattoriale e impossibilità nel creare nuovi account. I problemi hanno interessato soprattutto coloro che non accedevano ai propri profili dal mese di ottobre 2024, suggerendo che la compromissione dei token di sessione potrebbe aver avuto una valenza tecnica nel processo d’infezione.
Nonostante l’azienda abbia progressivamente ripristinato alcuni servizi, non ha reso noti dettagli sul gruppo responsabile né se sia stato pagato un riscatto. La mancata rivendicazione pubblica da parte delle principali gang ransomware solleva l’ipotesi che MathWorks possa essere ancora in trattativa con gli attaccanti, o che l’operazione sia stata condotta da un attore silenzioso a scopo di estorsione privata. Resta inoltre incerto se dati di clienti siano stati esfiltrati. Il silenzio su questo punto è un chiaro segnale dell’elevata criticità legale e reputazionale dell’evento.
Frodi sugli stipendi tramite SEO poisoning: quando la minaccia arriva da Google
Un’altra campagna ha attirato l’attenzione dei threat hunter: si tratta di un attacco che sfrutta le abitudini quotidiane dei dipendenti per sottrarre stipendi tramite phishing mirato. Quando i lavoratori cercano su Google il portale aziendale per accedere al proprio sistema di busta paga, vengono dirottati verso siti fraudolenti posizionati artificialmente in cima ai risultati grazie a tecniche di SEO poisoning. Le pagine, sviluppate in WordPress, imitano perfettamente le interfacce di login delle aziende e, se visitate da dispositivi mobili, reindirizzano verso un falso portale Microsoft. Una volta inserite le credenziali, queste vengono immediatamente inviate a server remoti gestiti dagli aggressori, attivando un WebSocket in tempo reale per notificarli e consentire l’accesso al sistema HR prima che le credenziali vengano cambiate.
Gli attaccanti modificano quindi i dati di pagamento all’interno del portale, reindirizzando gli stipendi verso conti controllati. Il successo della truffa si basa su due fattori fondamentali: da un lato, l’utilizzo di dispositivi mobili personali, che non sono protetti da soluzioni EDR o DLP aziendali; dall’altro, il traffico generato da IP domestici e mobile rende più difficile rilevare comportamenti sospetti. I criminali sfruttano anche router compromessi per mascherare ulteriormente il traffico, rendendo inefficaci i filtri basati su reputazione degli IP. Il fenomeno è solo un tassello di un ecosistema più ampio, che comprende anche toolkit cinesi come CoGUI e Panda Shop, già attivi da mesi per raccogliere dati sensibili e monetizzarli tramite attività di carding.
Microsoft pubblica aggiornamento d’emergenza per VM Hyper-V su Windows Server
Sul fronte delle vulnerabilità infrastrutturali, Microsoft ha pubblicato un aggiornamento d’emergenza fuori banda (KB5061906) destinato a Windows Server 2022, per risolvere un bug che causava il blocco o riavvio anomalo delle macchine virtuali Hyper-V, in particolare su istanze confidenziali di Azure. Il problema è stato tracciato nella gestione del path di invio diretto per le GPA (Guest Physical Address), che causava instabilità nei processi di protezione dei dati in memoria durante l’elaborazione. Nonostante il fix sia disponibile, non viene installato automaticamente, ma va scaricato dal Microsoft Update Catalog e installato manualmente.
Microsoft ha specificato che il bug non impatta le configurazioni standard di Hyper-V in produzione, ma solo quelle attive in modalità di test, sviluppo avanzato o in ambienti cloud ad alta sensibilità. Tuttavia, si tratta del terzo aggiornamento straordinario in meno di un anno per problematiche legate a Hyper-V, a conferma delle difficoltà del colosso di Redmond nel garantire stabilità su una tecnologia che resta centrale per moltissime aziende e pubbliche amministrazioni.
CVE-2025-4632: vulnerabilità critica in Samsung MagicINFO usata in attacchi reali
Nel catalogo delle vulnerabilità sfruttate attivamente è stata aggiunta, da parte della CISA, una nuova CVE che colpisce il Samsung MagicINFO 9 Server. Si tratta di una vulnerabilità di path traversal identificata come CVE-2025-4632, che consente ad attori malevoli di accedere a file riservati situati al di fuori della directory di destinazione, tramite richieste HTTP modificate. Il rischio è significativo per tutte le aziende che utilizzano questa soluzione per la gestione remota dei contenuti su schermi digitali e sistemi informativi aziendali. La CISA ha raccomandato a tutte le organizzazioni, non solo a quelle federali, di intervenire tempestivamente, aggiornando i sistemi ed eseguendo audit sulle configurazioni esposte.
CVE-2025-4632 Samsung MagicINFO 9 Server Path Traversal Vulnerability
L’inclusione nel catalogo delle vulnerabilità note implica che il bug è stato già osservato in attacchi concreti, probabilmente in fasi iniziali di compromissione per attività APT o ransomware. La semplicità con cui può essere sfruttato, unita alla diffusione della piattaforma nel settore retail, educativo e pubblico, lo rende una minaccia da non sottovalutare.
Commvault Metallic nel mirino: backup Microsoft 365 a rischio di compromissione
Un’altra segnalazione ad alto impatto riguarda la piattaforma Commvault Metallic, soluzione SaaS per il backup dei dati in ambienti Microsoft 365, ospitata nel cloud Azure. Secondo quanto indicato da Commvault stessa, attori malevoli avrebbero avuto accesso a segreti applicativi (client secrets), sfruttando configurazioni predefinite e permessi eccessivi assegnati alle applicazioni. L’accesso avrebbe permesso la manipolazione di service principal su Microsoft Entra, con potenziale impatto su email, file, SharePoint e OneDrive.
CISA ha suggerito di applicare contromisure immediate, tra cui la rotazione dei segreti, la verifica dei log di accesso Entra e l’adozione di policy di accesso condizionato basate su IP. Il rischio è esteso a tutte le realtà che non hanno personalizzato le impostazioni di sicurezza ereditate dal vendor, pratica purtroppo ancora comune nel mondo SaaS. Si teme che questo episodio sia parte di una campagna più ampia rivolta contro provider cloud e servizi gestiti, basata sull’esplorazione sistematica di configurazioni di default, account privilegiati non protetti e interfacce API esposte.
Sistemi industriali OT nel mirino: CISA pubblica due nuove advisories ICS
In contemporanea con le minacce al software cloud, CISA ha rilasciato due nuovi avvisi relativi alla sicurezza dei sistemi di controllo industriale (ICS). Anche se i dettagli non sono stati divulgati completamente per ragioni di sicurezza, si sa che gli alert riguardano vulnerabilità attive in componenti critici delle architetture OT. L’agenzia invita le aziende coinvolte nella produzione, energia, trasporti e manifattura a consultare le linee guida tecniche, applicare le patch disponibili e segmentare le reti operative per limitare gli effetti di eventuali compromissioni.
- ICSA-25-142-01 Lantronix Device Installer
- ICSA-25-142-02 Rockwell Automation FactoryTalk Historian ThingWorx
Questo contesto dimostra come la superficie d’attacco industriale non sia più un fronte marginale, ma uno spazio attivamente sorvegliato da attori statali e criminali. Le campagne ICS odierne non cercano più soltanto il danno fisico, ma anche l’accesso persistente a dati strategici e la possibilità di interrompere la produzione o condizionare i processi decisionali in settori critici.
Gli eventi segnalati nel mese di maggio 2025 confermano l’elevato dinamismo e la diversificazione delle tecniche utilizzate dagli attaccanti. L’attacco a MathWorks ha mostrato come il ransomware possa colpire aziende dotate di infrastrutture avanzate e con un bacino globale di utenza, causando disservizi prolungati e ripercussioni reputazionali non trascurabili. Le campagne di phishing SEO-oriented dimostrano che non basta proteggere il perimetro tecnico: è necessario considerare anche il comportamento umano, gli strumenti di uso quotidiano e le abitudini più banali come una semplice ricerca su Google.
I problemi registrati su Hyper-V mettono in evidenza quanto l’affidabilità delle piattaforme di virtualizzazione sia fondamentale per la continuità operativa, mentre gli attacchi a Commvault Metallic sollevano domande inquietanti sull’affidabilità delle soluzioni SaaS in ambienti regolamentati. L’inserimento di una nuova CVE legata a Samsung e gli avvisi ICS rinnovano l’attenzione sulla sicurezza dei sistemi embedded e OT, spesso lasciati ai margini della strategia difensiva.
Serve un approccio integrato e multidisciplinare: l’adozione di architetture Zero Trust, il monitoraggio attivo delle configurazioni SaaS, il patching continuo, la formazione degli utenti e un’intelligence condivisa. Ogni asset — che sia un’interfaccia di backup, un router domestico, un’applicazione in cloud o un portale HR — rappresenta un potenziale ingresso per l’attacco. La sicurezza oggi non può più permettersi alcuna disattenzione.
