CYBERBRIEFING — Sabato 9 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Salt Typhoon colpisce IBM Italia: spionaggio cinese nel cuore della PA
Un attacco informatico sofisticato ha preso di mira Sistemi Informativi, società del gruppo IBM che gestisce infrastrutture IT per la Pubblica Amministrazione italiana. L’operazione, durata circa due settimane, è attribuita a Salt Typhoon, uno dei principali gruppi di spionaggio cyber legati all’intelligence cinese. L’attacco non ha comportato cifratura ransomware né furto di dati PA, ma ha aperto un fascicolo presso la Procura Antiterrorismo di Roma: il fenomeno non viene più trattato come semplice criminalità informatica, bensì come minaccia alla sicurezza nazionale. Le indagini sono ancora in corso.
🔗 Il Fatto Quotidiano | Infosec.news
📰 LE NOTIZIE DI OGGI
1. Patch Tuesday Microsoft del 12 maggio: attenzione a CVE-2026-32202
Il Patch Tuesday di maggio 2026 è atteso per martedì 12 maggio e porterà correzioni critiche, inclusa la CVE-2026-32202, una vulnerabilità zero-click in Windows Shell già sfruttata attivamente. La falla consente a un attaccante di rubare credenziali di rete senza alcuna interazione da parte dell’utente. La CISA ha imposto alle agenzie federali USA di correggere il sistema entro la stessa data. Si consiglia di pianificare l’aggiornamento al più presto.
2. APT27 usa app fidate come armi: ransomware nel settore sanitario
Il gruppo APT27, legato alla Cina, sta conducendo una campagna in cui compromette applicazioni legittime e fidate per distribuire ransomware, con particolare attenzione al settore sanitario. La tecnica — nota come “living off trusted apps” — rende il rilevamento molto difficile poiché non vengono introdotti file malevoli noti. Gli ospedali e le strutture sanitarie sono invitati a rivedere urgentemente le policy di accesso e monitoring delle applicazioni interne.
3. ShinyHunters colpisce Canvas/Instructure: breach su milioni di studenti
Il gruppo criminale ShinyHunters ha rivendicato una violazione massiva ai danni di Instructure, la società dietro la piattaforma e-learning Canvas usata da università in tutto il mondo — incluse Harvard, MIT e Berkeley. L’attacco ha causato disservizi durante gli esami finali in centinaia di atenei. Secondo le prime analisi, i dati esposti includono nomi e indirizzi email degli utenti. Le università italiane che usano Canvas dovrebbero verificare eventuali comunicazioni ufficiali da Instructure.
4. Infrastrutture idriche europee sotto attacco: colpita anche la Polonia
Una nuova ondata di attacchi informatici sta prendendo di mira i sistemi di controllo industriale (ICS/OT) degli impianti idrici europei. L’ultimo episodio documentato riguarda la Polonia, dove gli attaccanti hanno sfruttato vulnerabilità di base in sistemi di gestione obsoleti. Il pattern rispecchia attacchi analoghi già osservati in altri paesi UE. In Italia, dopo gli attacchi alle infrastrutture critiche degli scorsi mesi, le autorità stanno monitorando la situazione.
5. 30 milioni di record Telegram in vendita sul dark web
Un attore malevolo ha pubblicato su forum underground un database con 30 milioni di record di utenti Telegram, inclusi numeri di telefono e ID. Telegram non ha ancora confermato ufficialmente la violazione; i ricercatori ipotizzano che i dati provengano da un’esfiltrazione precedente combinata con scraping. Chi usa Telegram — specialmente con il numero di telefono visibile — è invitato a verificare la propria privacy nelle impostazioni dell’app e ad abilitare l’autenticazione a due fattori.
6. “Dirty Frag”: vulnerabilità Linux consente di ottenere i privilegi di root
È stata scoperta una nuova vulnerabilità critica nel kernel Linux, soprannominata “Dirty Frag”, che consente a un utente locale di scalare i privilegi fino a root in modo affidabile su sistemi enterprise. La falla è correlata alla gestione della memoria frammentata. Le distribuzioni principali (Ubuntu, Red Hat, Debian) stanno rilasciando patch. Chi gestisce server Linux — in cloud o on-premise — dovrebbe aggiornare il kernel al più presto.
7. Italia: +51% attacchi informatici nel 2025, ransomware +580%
Il rapporto Yarix 2025 certifica che gli attacchi informatici sono cresciuti del 51% a livello globale, ma in Italia la situazione è ancora più critica: il numero di attacchi supera il triplo della media UE, e gli attacchi ransomware hanno registrato un aumento del +580%. Il settore manifatturiero è il più colpito (17,9% degli attacchi), seguito da sanità e PA. Il costo medio di un incidente ransomware in Italia ha raggiunto 8,29 milioni di euro.
🛡️ CONSIGLIO DEL GIORNO
Aggiorna Windows prima del 12 maggio. Con il Patch Tuesday in arrivo e la CVE-2026-32202 già sfruttata attivamente, verifica che Windows Update sia abilitato e pianifica il riavvio per applicare le patch. Su sistemi aziendali, coordina il deployment con il tuo team IT. Non aspettare: questa vulnerabilità non richiede alcuna azione da parte dell’utente per essere sfruttata.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani