CYBERBRIEFING — Giovedì 21 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Patch Tuesday maggio 2026: 137 vulnerabilità corrette, una a CVSS 10.0
Microsoft ha rilasciato gli aggiornamenti mensili di sicurezza correggendo 137 vulnerabilità, di cui 30 classificate come Critiche e 14 con punteggio CVSS pari o superiore a 9.0 — incluse due a 9.9 e una a 10.0. La più pericolosa è CVE-2026-41096, un heap-based buffer overflow nel Windows DNS Client (CVSS 9.8): un server DNS malevolo può inviare una risposta appositamente costruita a qualsiasi sistema Windows e ottenere esecuzione di codice remoto senza autenticazione e senza interazione dell’utente. Nessuna delle vulnerabilità risulta ancora sfruttata attivamente in the wild, ma gli esperti avvertono che la finestra tra il rilascio della patch e lo sviluppo di un exploit è ormai dell’ordine di poche ore. Aggiornare subito.
🔗 Cybersecurity360 — Patch Tuesday maggio 2026
📰 LE NOTIZIE DI OGGI
1. ShinyHunters: 275 milioni di record di studenti rubati nel più grande breach del settore education
Il gruppo ransomware ShinyHunters rivendica il furto di circa 275 milioni di record appartenenti a studenti, insegnanti e personale di quasi 9.000 scuole, per un totale di oltre 3,65 TB di dati. La violazione ha colpito la piattaforma Canvas/Instructure, ampiamente usata negli istituti scolastici. Tra i dati sottratti figurano informazioni personali sensibili di minori. Le autorità stanno indagando sull’entità della compromissione.
🔗 Malwarebytes — Major Education Breach
2. Attacco hacker alla PA italiana: colpita IBM/Sistemi Informativi
A inizio maggio 2026 è emerso un attacco informatico ai danni di Sistemi Informativi, società del gruppo IBM che progetta e gestisce soluzioni IT per la Pubblica Amministrazione italiana. La notizia preoccupa perché la compromissione di un fornitore di servizi IT per la PA può avere effetti a cascata su enti governativi, municipalità e dati dei cittadini. Le indagini sono in corso.
🔗 Cybermondo — Attacco hacker PA italiana
3. MuddyWater usa Microsoft Teams per rubare credenziali in falsi attacchi ransomware
Il gruppo APT MuddyWater, affiliato all’intelligence iraniana, è stato osservato mentre sfruttava Microsoft Teams per condurre attacchi di social engineering e sottrarre credenziali aziendali, camuffando l’operazione da attacco ransomware per depistare le indagini. La tecnica, definita “false flag”, mira a far ricadere la colpa su altri attori. Le organizzazioni sono invitate a verificare le policy di accesso esterno su Teams.
🔗 The Hacker News — MuddyWater Teams Attack
4. Attacco supply chain npm: compromessi Grafana, OpenAI e Mistral AI
Un attacco alla catena di fornitura software tramite il pacchetto npm TanStack, orchestrato dal gruppo TeamPCP, ha colpito Grafana Labs, OpenAI e Mistral AI, esponendo codice sorgente ospitato su GitHub. Grafana ha confermato che nessun sistema di produzione dei clienti risulta compromesso, ma l’episodio evidenzia quanto gli attacchi supply chain siano ormai una minaccia concreta anche per i big tech. Verificare le dipendenze npm nei propri progetti è ora più urgente che mai.
🔗 The Hacker News — Grafana GitHub Breach
5. EvilTokens: la nuova piattaforma phishing-as-a-service ha già colpito 340 organizzazioni
La piattaforma EvilTokens (PhaaS — Phishing as a Service), attiva da febbraio 2026, ha già compromesso oltre 340 organizzazioni che usano Microsoft 365 in cinque paesi, in soli cinque settimane. Il servizio permette ad attori con scarse competenze tecniche di lanciare campagne di phishing sofisticate acquistando l’infrastruttura criminale “a noleggio”. Il target principale sono le credenziali aziendali Microsoft 365, con accesso successivo alle mail e ai dati interni.
🔗 The Hacker News — EvilTokens PhaaS
6. Italia: +42% di attacchi informatici nel 2025, l’AI potenzia gli aggressori
Secondo il rapporto Yarix, nel 2025 l’Italia ha registrato un aumento del 42% degli incidenti informatici rispetto all’anno precedente, con 507 casi documentati (erano 357 nel 2024). Il 54% degli incidenti è attribuito all’hacktivismo, con presa di mira di strutture governative e militari. Le PMI restano il bersaglio più vulnerabile, e le regioni più esposte sono Lombardia, Emilia-Romagna e Lazio. L’intelligenza artificiale sta diventando sia un’arma nelle mani degli attaccanti sia un bersaglio strategico.
🔗 Leggo — Cybersecurity 2025, allarme Italia
7. Cyber-estorsioni 2026: il pericolo è il furto dei dati, non il blocco dei PC
Un’analisi pubblicata questa settimana evidenzia come il modello delle estorsioni informatiche si sia evoluto: non è più il blocco dei sistemi a spaventare le aziende, ma la minaccia di pubblicare i dati rubati. La doppia estorsione — prima esfiltrazione, poi cifratura — è ormai la norma. Le organizzazioni che credono di essere al sicuro perché hanno i backup scoprono spesso tardi che i dati dei clienti sono già online sul dark web.
🔗 Today.it — Cyber-estorsioni 2026
🛡️ CONSIGLIO DEL GIORNO
Aggiorna subito Windows. Il Patch Tuesday di maggio 2026 include una vulnerabilità critica nel client DNS di Windows (CVSS 9.8) che consente esecuzione di codice remoto senza interazione dell’utente. Verifica che Windows Update sia attivo su tutti i dispositivi, sia in ambito domestico che aziendale. Non aspettare: gli attori malevoli iniziano a sviluppare exploit nelle ore successive al rilascio delle patch.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani