Like, amplificatori e zero-day: tra politica digitale e guerra cibernetica
OSINT e cyber: Meloni domina su X con amplificatori esteri; zero-day Samsung e spyware iOS; HybridPetya, EggStreme e LunaLock/EvilAI.
Caro lettore,
agosto ha messo il turbo all’attenzione digitale: tra diplomazia in diretta, reti di amplificatori che spostano il baricentro del dibattito e vulnerabilità che ricordano quanto sia fragile la nostra superficie d’esposizione, la timeline ha raccontato una politica che si gioca tra Washington e Roma e una sicurezza informatica che non concede tregua tra minacce russe, AI malevola e spionaggio cinese. In questa newsletter ti portiamo dentro i dati ESCLUSIVI di Antares e le letture di Aldebaran, e mostriamo perché agosto non è stato affatto “vacanziero” e lasciandoti, alla fine di ogni notizia, la porta d’ingresso per approfondire tutto sul sito: quello che Google non mostra.
Meloni catalizza like e frame, l’opposizione vive di menzioni e la rete pro-Trump amplifica
L’ecosistema politico italiano su X, tra il 1 e il 31 agosto, ha generato 373.488 contenuti capaci di produrre 5.847.176 like, 1.020.629 retweet, 785.381 risposte e 72.213 citazioni. Numeri che smentiscono l’idea di un mese statico e mostrano invece polarizzazione alta su pochi frame e poche figure magnetiche. Dentro questa dinamica, l’output nativo dei leader racconta un paradosso che è ormai regola: pubblicare di più non significa performare meglio. Per volume, Carlo Calenda guida con 110 post; seguono Matteo Salvini (61), Antonio Tajani (39), Giuseppe Conte (35), Matteo Renzi (34) e Giorgia Meloni (30). In coda Nicola Fratoianni (22), Riccardo Magi (21), Angelo Bonelli (15) e Maurizio Lupi (5). Emma Bonino ed Elly Schlein, assenti o quasi in pubblicazione nativa, esistono in timeline grazie alle menzioni e alle citazioni: la loro visibilità è eterodiretta, dipende cioè dalla programmazione altrui. La resa per post capovolge la classifica: Giorgia Meloni, con quei soli 30 contenuti, concentra 335.548 like, oltre 11 mila a pubblicazione. Salvini oscilla tra 1.200–1.300, Conte intorno a 1.100, Calenda attorno a 770, Renzi poco sotto i 900. In altre parole, la qualità dell’innesco batte la quantità di pubblicazione. E il segnale si rafforza guardando le altre metriche: 43.654 retweet, 4.127 citazioni, 47.025 risposte per la premier, a fronte di un output numericamente inferiore rispetto agli account più prolifici. È la firma dei contenuti-evento, quelli che aprono e chiudono un ciclo informativo in poche ore e lo tengono agganciato a un lessico riconoscibile: istituzionale-identitario, con punte su leadership, ordine, sicurezza, posizionamento atlantico.
Gli indici proprietari di Aldebaran leggono la stessa musica su tre piste. Gradimento (like) premia i post identitari/istituzionali della premier, con alto consenso esplicito e basso scarto negativo. Viralità beneficia della rete estera che rilancia in inglese, e dei media USA che trasformano l’“italianità” di certi messaggi in asset narrativo conservatore. Dibattito si polarizza su immigrazione e ordine pubblico, UE/PNRR/giustizia, politica estera (Washington, Kiev, Gaza). In questo schema Salvini presidia immigrazione e infrastrutture con un repertorio a forte attrito; Calenda capitalizza su policy e accountability; Conte converte welfare e giustizia in thread conflittuali; Tajani consolida la postura atlantico-europea, con coerenza di ruolo e toni meno pirotecnici. Il risultato? Chi aggancia un frame internazionale e sa trasformarlo in contenuto-evento domina gradimento e viralità, chi presidia temi domestici spacca il dibattito e paga più costo reputazionale, chi non pubblica subisce il sentiment imposto dalla rete.
→ Leggi l’analisi ESCLUSIVA e completa su Matrice Digitale.
Premier su X: agosto di negoziati, polarizzazione e “amplificatori” esterni
Allargando lo sguardo all’Europa, il campione osservato da Antares e letto da Aldebaran copre 1.007.408 contenuti complessivi con 28.527.085 like, 5.995.995 retweet, 383.128 citazioni e 3.276.611 reply. Dentro questo mare, i tweet nativi dei leader – appena 286 – da soli raccolgono 2.220.739 like, 391.044 retweet, 45.716 citazioni e 486.855 reply. Pochi post, molta resa: è lo scarto che distingue agenda da eco, leadership da rumore. Qui il gradimento si addensa dove la diplomazia incontra la drammatizzazione credibile: Volodymyr Zelenskyy vale il 22,6% dei like generati dai post dei leader, Emmanuel Macron il 21,8%, Donald Tusk il 16,9%. Giorgia Meloni pesa 14,6%, Pedro Sánchez 8,8%, con Viktor Orbán al 7,2% e Friedrich Merz al 5,9%. La mappa è chiara: quanto più il messaggio si intreccia con negoziati e momenti simbolici del conflitto, tanto più l’attenzione si concentra e premia. La viralità (retweet) incorona ancora Zelenskyy (99.174), mentre il primato delle citazioni è di Macron (13.037): non è solo rilancio, è riframing e discussione che esplode in thread. Sul fronte del dibattito (reply) Macron segna 129.006, Tusk 90.660, Merz 80.552. Tre stili diversi, un tratto comune: temi divisivi, tempi caldi, pubblici organizzati.
L’apice narrativo arriva il 18 agosto. Zelenskyy annuncia l’arrivo a Washington e una “pace rapida e duratura”: 60.880 like e un frame emotivo che ri-colorerà il resto della giornata. Nei medesimi giri orari, Meloni carica l’intervento alla Casa Bianca (51.033) e un punto stampa a quota 35.835; nel frattempo Orbán rilancia la sovranità nazionale contro Bruxelles (50.333) e Macron, con un messaggio in hindi del 21 agosto su garanzie di sicurezza e partenariato con l’India, supera 44.000 like. È l’arte del codice locale per platee globali: chi parla agli altri senza perdere il proprio centro vince su entrambe le tavole. Anche i riti domestici fanno presa: Ferragosto di Meloni oltre 43.000 like ricorda che la familiarità è una leva potentissima persino quando il palco è internazionale. Keir Starmer, a scanso di riga, mostra efficienza: 6.900 like medi a post, poco rumore, messaggi netti. Orbán spicca per retweet medi: l’identitarismo mobilita reti militanti che rilanciano con disciplina.
Poi c’è il fuori campo: la galassia degli amplificatori. In agosto il primo per like è Inevitable West (414.976), che costruisce l’architettura anti-Starmer a suon di petizioni e frame di resa dei conti. Dietro Basil the Great (310.996), poi Julian Reichelt, Eric Daugherty, Tommy Robinson, Lee Harris, RadioGenoa. È un reticolo che mescola destra anglosfera, media-activist continentali e nodi italiani capaci di trasformare micro-eventi in oggetti virali. La sproporzione tra i 2,22 milioni di like dei post nativi e i 28,5 milioni dell’ecosistema racconta il vero cuore della questione: gran parte dell’attenzione nasce nei cerchi concentrici attorno ai leader. E questi cerchi sono polarizzanti per disegno: hub anti-establishment, narratori partigiani, piattaforme alt che portano lingua e conflitto su binari binari. È qui che gli hashtag “inusuali” diventano totem: #merz (9.207) scoperchia una Germania nervosa con spahn, klingbeil, merzkannnichtkanzler; #meloni (8.043) stratifica supporto/opposizione accanto a #governomeloni, #fratelliditalia; l’asse Ucraina–Gaza pulsa su #ukraine (1.417), #gaza (1.258), #israel (1.043) con la coda semantica #freepalestine, #hamas, #poutine/putin. Le etichette non sono neutre: attivano comunità, fissano avversari, memetizzano accuse. Più un’etichetta diventa totem, più il thread si addensa, più il conflitto si solidifica.
→ Leggi l’analisi ESCLUSIVA completa su Matrice Digitale
Allarmi sicurezza: zero-day Samsung, banner anti-phishing su Teams e ondate di spyware iOS
Settembre si apre con una lezione operativa che taglia trasversalmente device, cloud e persona. La vulnerabilità CVE-2025-21043 in libimagecodec.quram.so abilita esecuzione di codice remoto via immagini sui Galaxy con Android 13+, soprattutto su piattaforma Exynos. La catena è subdola perché zero-click: basta ricevere un’immagine via MMS o messaggistica per attivare il payload; lo SMR Sep-2025 Release 1 corregge il percorso di parsing e neutralizza il bug. Qui la prima regola è banale ma decisiva: patch immediata, riavvio, verifica dello “Security Patch Level”, EDR che scansiona i media, filtri MMS abilitati, telemetria che intercetta anomalie di decoding. Nelle aziende, MDM con baseline di compliance e blocco d’accesso per device non allineati sono l’unico modo per non trasformare la messaggistica in una porta sul retro. La supply chain mobile è fatta di librerie chiuse: quando una falla si apre a monte, l’effetto domino è sistemico.
Teams introduce banner di allerta per i link malevoli, portando il paradigma dei Safe Links dentro la chat. È un filo interrotto proprio dove più spesso parte l’errore umano: prima del click. Click evitati e dwell time ridotto si traducono in kit di credential harvesting e redirect multi-fase che non decollano. La coerenza con la formazione anti-phishing abbassa falsi allarmi, il SOC può concentrare l’attenzione su casi che passano il filtro. Ma il valore cresce solo se policy, domini consentiti, messaggistica di awareness e playbook sono allineati: serve una grammatica comune tra IT e utenti. Il rollout in preview a settembre con GA a novembre aiuta chi prepara la rete in anticipo.
Infine, spyware mercenario su iPhone. Apple invia notifiche di minaccia a profili ad alto rischio (giornalisti, avvocati, attivisti), invita ad attivare Lockdown Mode, a contattare i canali dedicati, a preservare le evidenze. Il CERTFR pubblica bulletin che spiegano catena di allerta, riduzione del movimento laterale, catena di custodia. La persistenza delle notifiche nel tempo suggerisce campagne a lungo raggio di attori statali o mercenari con tool di alto livello. La risposta minima per il singolo è update OS, reset controllato, rotazione delle credenziali, revisione dei privilegi iCloud e delle app con token persistenti; per l’organizzazione, canali sicuri per le segnalazioni, niente stigma su chi alza la mano, ruoli chiari tra IR, legale, PR.
→ Leggi il focus completo su Matrice Digitale.
HybridPetya: perché un ransomware “pre-OS” cambia le regole del gioco
Il nome può trarre in inganno, ma solo in parte: HybridPetya “somiglia” a Petya e NotPetya come estetica e ritmo d’attacco, tuttavia ne rovescia l’intento con un obiettivo di estorsione reale (non un wiper mascherato) e, soprattutto, sposta la battaglia fuori dal sistema operativo. La sua arma distintiva non è la velocità di cifratura, né la capacità worm; è la manipolazione della catena di avvio UEFI, resa possibile da un bypass di Secure Boot legato a CVE-2024-7344 e – dettaglio cruciale – a liste di revoca (dbx) non aggiornate. Quando l’anello di fiducia del pre-OS si spezza, tutto ciò che accade “dopo” è già tardi: l’EDR parte in ritardo, le policy dell’OS arrivano quando il controllo è già scivolato sotto il cofano, i log si fanno intermittenti. È questo che rende HybridPetya un caso didattico e insieme operativo: ci ricorda che firmware, bootloader, dbx non sono manutenzione di serie B, ma perimetro critico al pari di identità e rete.
Partiamo dalla coreografia tecnica: i campioni osservati depositano componenti nella EFI System Partition (ESP), rimuovono i bootloader di fallback, preparano un reloader EFI capace di caricare codice non firmato su host con dbx obsoleta e forzano un riavvio (BSOD indotto) per consegnare il timone all’avvio malevolo. All’accensione successiva, il codice EFI intercetta la sequenza standard, legge flag di stato in \EFI\Microsoft\Boot, e avvia la fase distruttiva prima che Windows possa anche solo affacciarsi. Qui entra la seconda peculiarità: la cifratura colpisce la Master File Table (MFT) dei volumi NTFS con un cifrario a flusso (Salsa20 nelle varianti osservate). Non serve toccare l’intero contenuto dei file: è sufficiente rendere il catalogo illeggibile per bloccare immediatamente workstation e server. Il tutto avviene dietro la storica schermata CHKDSK fasulla che tranquillizza l’utente mentre la lama scorre.
A differenza di NotPetya – che di fatto era un wiper – HybridPetya mantiene una via di ritorno condizionata: una nota di riscatto con chiave a 32 caratteri, stati di esecuzione programmati (flag 0 cifratura, 1 attesa della chiave, 2 decrittazione e ripristino) e backup dei bootloader legittimi pronti a rientrare in scena se la vittima paga. È, per così dire, un pre-OS a estorsione controllata: l’attaccante orchestra l’intero ciclo e decide quando restituire il controllo. Questo spiega perché le difese post-boot (policy dell’OS, agent EDR, controlli applicativi) non bastano: se il modello di fiducia prima del kernel è compromesso, l’ordine si inverte e l’OS diventa ospite.
→ Leggi l’approfondimento completo “HybridPetya: ransomware UEFI con bypass Secure Boot” su Matrice Digitale
Spionaggio cyber sul commercio USA: impersonificazione, cloud legittimi e il tallone d’Achille di Microsoft 365
Quando la Commissione USA che vigila sulle attività della Cina comunista pubblica, l’8 settembre 2025, un comunicato che denuncia campagne di spionaggio in corso contro lo spazio del commercio, il punto non è solo “chi attacca” ma “come attacca”: niente malware appariscente, impersonificazione di John Moolenaar (presidente del Comitato), servizi cloud legittimi come copertura del traffico, furto credenziali e abuso di Microsoft 365 per infiltrare email e documenti. È spionaggio di ingegneria istituzionale: messaggi che suonano giusti, workflow che sembrano familiari, portali di condivisione credibili che conducono esattamente dove le difese fanno meno rumore. È anche il segno di un’evoluzione tattica coerente con il 2025: riduzione della firma tecnica, massimizzazione della leva d’accesso (identità), movimenti lenti sotto HTTPS che imitano il normale lavoro d’ufficio.
Il precedente di gennaio 2025 illumina i contorni: quattro membri dello staff impegnati nell’inchiesta su ZPMC (colosso cinese delle attrezzature portuali) cadono in un inganno di condivisione file; il risultato è un furto di credenziali M365 senza codice malevolo installato. L’accesso permette lettura di email, documenti, thread negoziali; i segnali che un SIEM tradizionale può cogliere – login da IP insoliti, impronte device non mappate, download frammentati – vengono diluiti nel rumore di flussi legittimi. È la forza della mimetizzazione: quando le porte sono giuste (Microsoft, servizi cloud autorizzati), l’allarme non suona o suona troppo tardi.
Il perimetro di targeting va oltre il Congresso: agenzie federali, associazioni di categoria, studi legali di Washington, think tank, almeno un governo straniero. L’obiettivo è accedere a strategie negoziali, bozze di accordo, piani tariffari, analisi riservate: materiale che sposta l’ago della diplomazia economica e genera vantaggi informativi senza confronto diretto. L’attribuzione alla Cina si regge su un trittico ricorrente: tempistica (sincrona con incontri e tavoli USA-Cina), metodi (impersonificazione, cloud legittimi, dev-tools per offuscare), infrastrutture (IP e domini con tracce asiatiche, registrar opachi). Le smentite sono di rito, ma per la Commissione la coerenza operativa pesa più del marchio sull’APT.
Tattiche, tecniche, procedure: lo scheletro è spear-phishing mirato, impersonificazione fin nel tono e nel registro delle email, link verso portali clone o workflow che imitano condivisioni legittime, raccolta delle credenziali, session hijacking o abuso OAuth, quindi accesso a M365 con movimenti lenti (esfiltrazione a pacchetti, orari di bassa osservabilità, documenti selezionati). Quando serve, gli attori innestano strumenti per sviluppatori per costruire canali nascosti e ridurre la rumorosità. Gli IOC condivisi – IP, domini, hash – sono boccate d’aria per chi monitora, ma il contrattacco vero si gioca su policy e rilevazioni di contesto.
→ Leggi “Spionaggio cyber cinese sul commercio: l’allarme della Commissione USA” su Matrice Digitale
EggStreme: l’APT fileless che usa la RAM come tana (e perché l’APAC è solo l’inizio)
Il nome potrebbe sembrare ironico, ma non c’è nulla di leggero nella campagna EggStreme emersa a inizio settembre: un framework fileless attribuito a un APT cinese, disegnato per vivere in memoria, camuffarsi in processi legittimi e muoversi a piccoli passi tra endpoint e segmenti di rete fino a mettere le mani su credenziali, documenti e mappe dell’infrastruttura. Il caso di studio parte da un’organizzazione militare filippina e si allarga lungo l’asse Thailandia–Indonesia, cioè dentro un perimetro che coincide con le tensioni del Mar Cinese Meridionale: proprio dove la leva informativa vale posizioni negoziali, piani logistici, posture navali. L’attribuzione aiuta a capire i perché, ma per chi difende contano soprattutto i come: EggStremeAgent come backdoor core con 58 comandi (ricognizione, esecuzione remota, cattura schermo, keylogging), gRPC su HTTPS per il C2 (firma di rete simile al traffico “normale”), moduli loader a strati (EggStremeFuel, EggStremeLoader, ReflectiveLoader) che depositano pezzi di catena in RAM, una fallback backdoor (EggStremeWizard) che abusa del sideloading in xwizard.exe, e un keylogger che si ancóra a explorer.exe salvando i dati con RC4 in un file dall’aria innocua. La campagna integra living-off-the-land (PowerShell, WMIC, Certutil), persistence a basso rumore (servizi manipolati, chiavi Run, talvolta WMI subscription), iniezioni riflessive in processi fidati (winlogon.exe, explorer.exe, MsMpEng.exe) e proxy per il pivot come Stowaway per allungare il passo dentro la rete. A cornice, un’infrastruttura C2 con fronti su cloud noti, domini registrati presso registrar asiatici, TTL brevi, fast-flux, rotazioni a 72 ore: in pratica, una superficie viva che non concede appigli alle blacklist per più di qualche giorno.
Perché EggStreme è difficile da fermare? Primo, perché non lascia molte briciole su disco: i moduli vengono decrittati in memoria (spesso con RC4 o AES) e iniettati dentro processi che la tua allowlist considera amici. Secondo, perché imita il traffico consentito: il C2 su gRPC/HTTPS abbassa la signal/noise ratio e scivola in mezzo alle policy che autorizzano TLS verso provider cloud e CDN. Terzo, perché è modulare: se tagli il sentiero principale, c’è un Wizard di sideloading pronto a riaprire la porta; se individui un loader, un ReflectiveLoader lo rimpiazza. Quarto, perché usa i tuoi strumenti contro di te: msdt.exe → cmd.exe, Certutil per il download, schtasks e sc.exe per la persistenza, whoami /all, query AD e BloodHound-like per orientarsi nel dominio. Quinto, perché sceglie il tempo: orari a bassa osservabilità, esfiltrazioni in pacchetti, lente abbastanza da sfuggire alle soglie di anomalia di SIEM tarati solo per spike evidenti.
Gentlemen ransomware: anatomia di un RaaS che ricicla codice (e massimizza la leva della doppia estorsione)
Tra la fine del 2024 e tutto il 2025 il marchio Gentlemen si è ritagliato uno spazio scomodo: campagne chirurgiche, dwell time medio di 14 giorni, doppia estorsione metodica, riuso di codice e workflow che ricordano Hive e BlackCat, fino ad analogie nelle note e nelle routine di enumerazione/esfiltrazione. Il cluster operativo espone segnali che puntano a infrastrutture cinesi (registrar, blocchi IP, orari), ma al di là dell’attribuzione, ciò che interessa è il modello: un RaaS capace di abbassare la barriera d’ingresso per affiliati con maturità diversa, mantenendo standard elevati su opsec, cifratura e canali di ricatto. Sul piano tecnico, la catena è pulita: spear-phishing e exposed services (RDP, VPN, middleware non patchati) per l’accesso, Mimikatz per dump credenziali, Cobalt Strike per beacon camuffato su 443/TCP, BloodHound (o equivalenti) per leggere il grafo AD, kill dell’AV e telemetria di base, PsExec o GPO per distribuire i carichi nella fase finale. La cifratura usa AES-256 con ottimizzazioni per velocità, marchia i file con .gentleman, evita cartelle di sistema fino all’ultimo per non rompere la macchina prima del tempo, e arriva dopo esfiltrazione sistematica con Rclone verso Mega o endpoint dedicati. La ransom note in HTML inserisce countdown, canali Tor, istruzioni e talvolta minacce di wipe MBR a scadenza; i pagamenti prediligono Monero. La leak site su Tor fa il resto: sgocciola dati per alzare la pressione su PR e compliance.
Il perché del successo sta in una catena razionale che massimizza la leva economica: ingresso (phishing / servizi esposti) → privilege escalation → telemetria-kill → discovery/lateral movement → exfiltration → encryption. A ogni passo, tool comuni (LOLBas) e pattern riconoscibili, ma sequenziati per ridurre gli indicatori di allarme prematuro. Per i settori colpiti, il costo è concreto: in sanità, i fermi e la privacy dei pazienti generano pagamenti per accelerare il ripristino; nella finanza, l’account takeover post-esfiltrazione apre a frodi; nella manifattura, l’impatto su OT/IT combinati porta a fermi linea e supply chain inceppate, con downtime medi attorno a una settimana e recovery nell’ordine dei milioni per le realtà grandi. Il timing degli attacchi – weekend, festivi – sfrutta presìdi ridotti e massimizza la finestra utile.
→ Leggi l’analisi completa “Gentlemen ransomware: minaccia legata alla Cina contro le imprese” su Matrice Digitale
Criminali e IA: LunaLock ed EvilAI spiegano il “salto di specie” (e come si difende chi produce valore creativo)
Se c’era bisogno di una prova che l’IA generativa non è solo una leva per i difensori, LunaLock ed EvilAI la forniscono in stereo. Il primo evolve la doppia estorsione in minaccia AI: se non paghi, i dati rubati – archivi creativi, progetti, portfoli – verranno usati per addestrare modelli che allagheranno il mercato con derivati del tuo IP. Non è solo ricatto: è contaminazione del dataset come arma reputazionale ed economica. Il secondo, EvilAI, industrializza la generazione di codice e interfacce: trojan camuffati da app legittime, descrizioni localizzate e UI credibili che chiedono permessi, registrano tasti, rubano token e cookie, aprono C2 AES su HTTPS e mutano di giorno in giorno per spezzare firme statiche. Sono due facce della stessa spinta: automazione dell’offesa, velocità di iterazione, ipercorrelazione tra social engineering e tooling tecnico.
Perché questo è diverso da ieri? Perché l’IA accelera tutte le fasi: scrive loader polimorfici, cucisce anti-VM/sandbox che aspettano “segni di vita” (movimenti mouse naturali, aperture documenti, login a SaaS) prima di attivarsi, genera phishing kit con branding perfetto, localizza lingue e toni; e sul fronte ricognizione, setaccia profilazioni pubbliche per produrre esche iper-personalizzate. Per chi difende, cambia il tempo: meno minuti tra contatto e compromissione, più mutazioni per aggirare i controlli statici.
LunaLock, nel dettaglio, innesta una leva nuova sul valore creativo: minaccia di allenare modelli con le tue opere (immagini, video, asset 3D, codici sorgente), sapendo che per creator e studi il danno non è solo la fuga: è la svalutazione della unicità e la perdita di royalties future. Mette nel mirino piattaforme creative, repository di asset, integrazioni API: l’esfiltrazione usa canali cifrati, C2 real-time, stealth (rate bassi, orari “normali”), token OAuth rubati per accessi API “legittimi”. Qui la difesa cresce di livello: non basta “fare il backup”. Serve classificare i dati per sensibilità, imporre controlli d’accesso coerenti, applicare tokenization e cifratura at-rest con HSM per la gestione chiavi. Serve watermark invisibile e fingerprinting per poter dimostrare la paternità e rintracciare l’uso improprio. Servono clausole contrattuali anti–training non autorizzato, con audit trail che registri chi ha visto cosa, quando e da dove. Nei flussi GDPR, una notifica entro 72 ore, minimizzazione e accountability non sono formalismi: sono leva reputazionale contro la narrativa dell’attaccante.
EvilAI, invece, è il manuale di sopravvivenza del malware moderno: installer che imitano software popolari (o crack “miracolosi”), backdoor che interpreta payload JSON inviati dal C2, esfiltrazione di credenziali dei browser, cookie e token SSO, screenshot on-demand, keylogging parco e mirato; il tutto su infrastrutture cloud rotanti (DGA, fast-flux), con anti-analisi che si ispirano al comportamento umano e si attivano solo quando “sentono” un utente vero. La firma statica serve poco, a meno che tu non rigeneri il parco firme ogni giorno. Funzionano meglio EDR e sandbox con analisi comportamentale e protocolli di detonazione che simulano interazione umana; funziona un SIEM che mette insieme process tree, registry, socket, DNS e proxy, e un NDR che sa guardare JA3/JA4 e pattern di beacon lenti. Funziona, soprattutto, vietare per policy approvazioni OAuth al telefono, allowlist di software firmato e blocco di installazioni non firmate sui client.
→ Leggi il focus “Criminali e IA: i casi ransomware LunaLock e malware EvilAI” su Matrice Digitale
Saluti dal DarkWeb dell’informazione: quello che Google non mostra.
Hai notato qualcosa di diverso su Matrice Digitale?
La grafica è la stessa, ma i contenuti sono stati ordinati in più categorie su una piattaforma ancora più veloce e consultabile in modo tale da leggere e comprendere meglio l’attività editoriale del sito.
Cosa hai perso questa settimana?
Vulnerabilità informatiche: qui per restare aggiornato
Guerra Cibernetica: gli unici ad aggiornarvi H24
Malware: tutte le minacce emergenti e quelle persistenti
Intelligenza Artificiale: le news in tempo reale
Robotica: scopri come saranno gli umani del futuro
Glossario cibernetico: studia e impara la cybersecurity
Smartphone: tutti i confronti realizzati dalla Redazione
Iscriviti al canale Google News di Matrice Digitale