Dicembre ti sta friggendo il cervello? La soluzione è la disintossicazione digitale! E’ arrivato! E’ dicembre che arriva sempre con quel carico di bilanci che pesano sulla schiena. Ma ormai il bilancio non si fa più solo tra sé e sé. C’è questo strano fenomeno del sovraccarico, una specie di rumore di fondo che diventa insopportabile proprio quando dovremmo rallentare. I social ad esempio, si riempiono di gente che urla i propri successi dell’anno e le chat di lavoro esplodono perché bisogna chiudere tutto, subito, prima che scatti il primo gennaio, come se poi il mondo finisse davvero. In mezzo a questo caos, gli algoritmi dei negozi non ti lasciano respirare. Ti inseguono con sconti che sembrano occasioni imperdibili, che rasentano lo scam di massa, e intanto senti la pressione di dover scattare la foto perfetta per Instagram. E poi intorno al 24, si finisce a passare le ore a fare copia e incolla di un unico messaggio di auguri (con tanto di immagine) da inviare a tutti gli “amici” su WhatsApp, perdendo di vista quello che sta succedendo davvero nella nostra stanza. Il bisogno di staccare la spina “Stacca, Stacca, Staccami la spina” cantava Jovanotti (Lorenzo Cherubini) moltissimi anni fa. Ma molti (e non nascondetelo) se ne accorgono così, quasi per caso, di quanto sono diventati schiavi di quel rettangolo luminoso. Uno tira fuori il telefono per guardare che tempo fa o se sono già le otto, e trenta minuti dopo è ancora lì che scorre notizie o reals a caso, senza un motivo preciso. Capita pure durante le cene: il cibo arriva in tavola e invece di mangiarlo lo si fotografa da ogni angolazione, interrompendo tutto il ritmo della serata. Le famiglie si ritrovano sedute allo stesso tavolo ma vivono vite parallele. Ognuno fissa il suo schermo, immerso in una bolla digitale che rende la presenza fisica una specie di accessorio opzionale. È un modo di stare insieme che non è stare insieme, ed è in questo momento di massima frizione che la voglia di una disintossicazione digitale inizia a farsi strada nella testa della gente. La fatica di elaborare troppi dati I ricercatori hanno pure dato un nome a questa sensazione di pesantezza:burnout digitale. È una stanchezza cronica che viene dal mangiare troppe informazioni, un’indigestione di dati che il cervello umano non è proprio fatto per gestire. Siamo bombardati. Ogni notifica che arriva attiva il sistema dello stress e ci tiene in uno stato di allerta perenne, manco fossimo nella giungla a scappare dai predatori, e invece stiamo solo leggendo una mail. Il problema grosso è che la nostra capacità di concentrarci profondamente sta andando a farsi benedire. Passiamo da un’app all’altra, da una scheda del browser a un’altra, e il cervello poveretto non riesce a starti dietro. Esiste questa cosa chiamata attenzione residua: un pezzo di te resta incastrato nel compito di prima, così quello che stai facendo adesso lo fai peggio. È un’efficienza che cola a picco, un po’ come cercare di correre nel fango. Chimica del sonno e giornate corte A dicembre questa stanchezza accumulata per dodici mesi arriva a un punto di rottura. La gente diventa irritabile (e ci credo), fa fatica a prendere sonno e non combina più niente di buono al lavoro. C’è anche una questione tecnica, legata alla luce blu degli schermi che blocca la melatonina. In inverno, con le giornate che durano un attimo e la luce naturale che scarseggia, questa interferenza con l’ormone del sonno è una mazzata per l’organismo. Il fatto è che dicembre non è un mese come gli altri, ha questo peso simbolico di chiusura del cerchio. È il momento in cui ci si guarda indietro e si pensa che forse si potrebbe vivere diversamente, anche se questa “consapevolezza”, capita molte poche volte all’anno. Se per tutto l’anno hai rimandato il pensiero di cambiare abitudini, l’arrivo dell’anno nuovo ti dà quella spinta di “ultima occasione” per rimetterti in sesto. Preparare il terreno per il nuovo anno Fare un detox digitale prima di Capodanno viene visto un po’ come un rito di purificazione. Come quando si fanno le pulizie di primavera in casa, solo che qui si pulisce lo spazio mentale. È l’opportunità per smettere di agire come robot, di rendersi conto di quanto tempo si butta via a guardare il nulla e provare a riprendersi le redini della propria attenzione. Non è che bisogna buttare il telefono nel cassonetto, eh. Si tratta di ritrovare un equilibrio che abbia un senso. Qualcuno stabilisce dei coprifuoco digitali, tipo che un’ora prima di dormire o durante i pasti i telefoni spariscono dalla vista. Altri cancellano le app che creano più dipendenza o decidono che un giorno a settimana i social non esistono proprio. Piccole strategie di sopravvivenza C’è chi prova a tornare all’analogico, che sembra quasi un concetto vintage. Un libro di carta invece dell’e-book, o un gioco da tavolo invece di rincitrullirsi davanti ai videogiochi. Una cosa che aiuta molto, dicono, è farsi una domanda banale prima di sbloccare lo schermo: “Perché sto prendendo in mano il telefono?”. Spesso la risposta è “per noia”, e già rendersene conto è un passo avanti. Alla fine, il punto non è odiare la tecnologia, ma smettere di farsi usare da lei. Il vero vantaggio di tutto questo staccare è che si torna a essere presenti, a stare nel momento mentre le cose succedono. Dicembre è pieno di momenti che meriterebbero di essere vissuti davvero, tra cene e parenti, e riscoprire la gioia di parlarsi dal vivo senza notifiche che vibrano in tasca non è poi così male. Io questo anno stacco veramente la spina per riaccenderla ad inizio gennaio. E voi? L'articolo Dicembre ti sta friggendo il cervello? La soluzione è la disintossicazione digitale! proviene da Red Hot Cyber.

Sorpresa: pure i Servizi francesi si affidano a Palantir @npub1vje7...y8ga L’intelligence interna francese (DGSI) ha rinnovato il suo contratto pluriennale con Palantir, mostrando la dipendenza della sicurezza nazionale della République dalle capacità tecnologiche statunitensi. Altro che macronate anti Usa... L'analisi di Alessandro Aresu L'articolo proviene dalla

Google abbandona il Dark Web: Stop allo strumento di monitoraggio nel 2026 Basta avvisi inutili. Basta monitoraggi passivi. Meno di due anni dopo il suo lancio, Google ha deciso di chiudere uno degli strumenti più chiacchierati per la sicurezza digitale: il Dark Web Report. La funzione, pensata per aiutare gli utenti a scoprire se i propri dati personali fossero finiti sul dark web, cesserà di esistere il 16 febbraio 2026, mentre le scansioni per nuove violazioni si fermeranno già il 15 gennaio 2026. Secondo il gigante tecnologico, il report “offriva informazioni generali, ma il feedback degli utenti ha mostrato che non forniva indicazioni concrete su cosa fare”. Google promette ora di concentrarsi su strumenti che offrano passi chiari e immediatamente azionabili per proteggere le proprie informazioni online. Per chi lo desidera, è possibile eliminare anticipatamente il proprio profilo di monitoraggio: basta accedere al Dark Web Report, cliccare su “Edit monitoring profile” e infine selezionare “Delete monitoring profile”. Tutti i dati verranno cancellati automaticamente con la disattivazione della funzione. Lanciato a marzo 2023, il Dark Web Report era stato concepito come una difesa contro le frodi d’identità online, controllando il darknet per dati personali come nome, indirizzo, email, numero di telefono e Social Security Number. Nel luglio 2024, Google aveva esteso il servizio da Google One a tutti gli account, ampliando così la portata del monitoraggio. Ora Google invita gli utenti a prendere in mano la propria sicurezza digitale. La prima mossa consigliata è attivare le passkey, strumenti di autenticazione multifattore resistenti al phishing, che rendono più difficile per i criminali rubare le credenziali. Non basta più avere una password complessa: serve una protezione che non si limiti a segnalare i rischi, ma li neutralizzi davvero. In parallelo, Google suggerisce di utilizzare la funzione “Results about you” per rimuovere i propri dati personali dai risultati di ricerca. Questo non è solo un passo di privacy, ma un vero scudo contro l’esposizione non voluta dei propri dati online. Ogni informazione lasciata pubblica può essere raccolta, combinata e rivenduta sul dark web: proteggerla significa ridurre drasticamente il rischio di furti d’identità. La decisione segna un cambio di rotta netto: da un approccio di monitoraggio passivo a una strategia basata su azioni concrete e protezione attiva, lasciando dietro di sé uno strumento che, seppur utile per scovare i dati nel dark web, non forniva la guida necessaria per difendersi davvero. L'articolo Google abbandona il Dark Web: Stop allo strumento di monitoraggio nel 2026 proviene da Red Hot Cyber.

Continuità Operativa e Resilienza @npub1vje7...y8ga Uno degli aspetti più discussi legato ai data breach e alla conformità normativa è certamente quello della continuità operativa; cerchiamo di saperne di più e di inquadrare bene il problema. […] L'articolo Continuità Operativa e Resilienza proviene da Edoardo Limone. L'articolo proviene dal blog dell'esperto di #Cybersecurity

Di Corinto a Pillole di Eta Beta Cybersicurezza, senza cultura digitale l’Italia preda dei pirati” Rubrica Pillole di Eta Beta andata in onda su Rai Radio 1 alle 11.45, con ospite Arturo Di Corinto, consigliere dell’Agenzia per la cybersicurezza nazionale Mercoledì 17 dicembre 2025 raiplaysound.it/programmi/pill… dicorinto.it/tipologia/intervi…

The Lethal Danger of Combining Welding and Brake Cleaner With the availability of increasingly cheaper equipment, welding has become far more accessible these days. While this is definitely a plus, it also comes with the elephant-sized asterisk that as with any tool you absolutely must take into account basic safety precautions for yourself and others. This extends to the way you prepare metal for welding, with [Dr. Bernard], AKA [ChubbyEmu] recently joining forces with [styropyro] to highlight the risks of cleaning metal with brake cleaner prior to welding. Much like with common household chemicals used for cleaning, such as bleach and ammonia, improper use of these can produce e.g. chlorine gas, which while harmful is generally not lethal. Things get much more serious with brake cleaner, containing tetrachloroethylene. As explained in the video, getting brake cleaner on a rusty part to clean it and then exposing it to the intensive energies of the welding process suffices to create phosgene. Phosgene strongly interacts with fats, proteins and DNA in the body. (Credit: Chubbyemu, YouTube) Used as a devastating chemical weapon during World War I, phosgene does not dissolve or otherwise noticeably reduce in potency after it enters the lungs. Instead it clings to surfaces where it attacks and destroys proteins and DNA until the affected person typically dies from disruption of the lung’s blood-air barrier and subsequent pulmonary edema. Effectively your lungs fill with liquid, your blood oxygen saturation drops and at some point your body calls it quits. The video is based on a real case study, where in 1982 a previously healthy 23-year old man accidentally inhaled phosgene, was admitted to the ER before being rushed to the ICU. Over the course of six days he deteriorated, developed a fever and passed away after his heart stopped pumping properly due to ventricular fibrillation. Basically, if you are off minding your own business and suddenly smell something like musty hay or freshly cut grass when nobody is mowing the lawn, there’s a chance you just inhaled phosgene. Unlike in the video, where the victim keeps welding and waits a long time before going to the ER, immediate treatment can at least give you a shot at recovery if the exposure was mild enough. As with laser safety, prevention is the best way to stay healthy. In the case of welding it’s essential to fully cover up your skin as there is intense UV radiation from the work area, protect your eyes with a quality welding mask and ideally wear a respirator especially when welding indoors. Show your eyes, lungs and skin how much you love them by taking good care of them — and please don’t use brake cleaner to prep parts for welding. youtube.com/embed/rp6JyEdfjAQ?… hackaday.com/2025/12/17/the-le…

Trend cyber 2026: attacchi AI-driven, progresso quantistico e pressione normativa @npub1vje7...y8ga Si prevede che l'anno prossimo accelererà lo sviluppo di agenti AI sempre più autonomi e del calcolo quantistico, mentre le normative entrano nel vivo, anche per aumentare la resilienza. Ecco i consigli degli esperti per non farsi cogliere

Ransomware VolkLocker: Gli hacker sbagliano e lasciano la chiave master nel malware Non è l’a prima colta che i criminal hacker commettono degli errori e non sdarà l’ultima. Il gruppo di hacktivisti filorusso CyberVolk ha lanciato il servizio RaaS VolkLocker (noto anche come CyberVolk 2.x). Tuttavia, i ricercatori di sicurezza hanno scoperto che gli sviluppatori del malware hanno commesso diversi errori che consentono alle vittime di recuperare gratuitamente i propri file. I ricercatori di SentinelOne riferiscono che gli aggressori hanno incorporato la chiave di crittografia master direttamente nel binario del malware e l’hanno salvata come file di testo normale nella cartella %TEMP%. Il file si chiama system_backup.key e tutto il necessario per decrittografare i dati può essere facilmente estratto da esso. I ricercatori ipotizzano che si tratti di una sorta di artefatto di debug che non è stato “pulito” prima del rilascio. Gli operatori RaaS apparentemente non sono a conoscenza del fatto che i loro clienti distribuiscono build con la funzione backupMasterKey(). Si ritiene che CyberVolk sia un gruppo filo-russo con sede in India che opera in modo indipendente. Mentre altri hacktivisti si limitano in genere ad attacchi DDoS, CyberVolk ha deciso di accettare la sfida di creare un proprio ransomware. Gli aggressori lo hanno annunciato per la prima volta l’anno scorso e, sebbene siano stati successivamente banditi da Telegram diverse volte, nell’agosto di quest’anno il gruppo ha presentato il malware VolkLocker (CyberVolk 2.x) e la sua piattaforma RaaS (Ransomware-as-a-Service). VolkLocker è scritto in Go e funziona sia su Linux (incluso VMware ESXi) che su Windows. L’accesso a RaaS per un singolo sistema operativo costa tra gli 800 e i 1.100 dollari, le versioni Linux e Windows costano tra i 1.600 e i 2.200 dollari, mentre un RAT o un keylogger autonomo costa 500 dollari. Gli acquirenti del malware ottengono l’accesso a un generatore di bot per Telegram, dove possono configurare il ransomware e ricevere il payload generato. Per creare il tuo ransomware, devi specificare un indirizzo Bitcoin, un token bot di Telegram, un ID chat, una scadenza per il pagamento del riscatto, un’estensione per i file crittografati e impostare le opzioni di autodistruzione. Una volta avviato sul sistema della vittima, VolkLocker aumenta i privilegi aggirando il Controllo dell’account utente di Windows, seleziona i file da crittografare da un elenco di esclusioni preconfigurato e crittografa i dati utilizzando AES-256 in modalità GCM. I ricercatori hanno inoltre notato che il codice contiene un timer che attiva un wiper che distrugge le cartelle dell’utente (Documenti, Download, Immagini, Desktop) dopo la scadenza del ransomware o quando viene inserita una chiave errata nella finestra HTML del riscatto. Secondo gli esperti, la principale debolezza del malware risiede nella crittografia. VolkLocker non genera chiavi dinamicamente, ma utilizza la stessa chiave master hardcoded per tutti i file presenti sul sistema infetto. Come accennato in precedenza, questa chiave viene scritta nel file eseguibile come stringa esadecimale e duplicata in un file di testo in formato %TEMP%. Gli esperti ritengono che tali errori indichino problemi di controllo qualità: il gruppo sta cercando di espandersi in modo aggressivo attraendo nuovi “partner” inesperti, ma non riesce a portare a termine nemmeno i compiti più basilari. In genere, si ritiene opportuno non divulgare dettagli sulle vulnerabilità dei ransomware mentre gli aggressori sono ancora attivi. Gli esperti, invece, in genere avvisano le forze dell’ordine e le aziende specializzate in trattative per il ransomware, che possono quindi assistere le vittime in privato. Poiché CyberVolk rimane attivo, SentinelOne spiega che è improbabile che la divulgazione di informazioni sulle vulnerabilità di VolkLocker ostacoli gli sforzi dei colleghi e delle forze dell’ordine per combattere il gruppo. L'articolo Ransomware VolkLocker: Gli hacker sbagliano e lasciano la chiave master nel malware proviene da Red Hot Cyber.

Truffe man in the middle, evitare il peggio è possibile: il caso dell’attacco a Opera Santa Maria del Fiore @npub1vje7...y8ga La truffa da 1,7 milioni di euro di cui è stata vittima l’onlus Opera di Santa Maria del Fiore si sarebbe potuta evitare con una procedura interna analogica. Cosa è successo, come è successo e cosa fare in casi simili L'articolo Truffe man in the middle, evitare il peggio è

Operation ForumTroll continues: Russian political scientists targeted using plagiarism reportsIntroduction In March 2025, we discovered Operation ForumTroll, a series of sophisticated cyberattacks exploiting the CVE-2025-2783 vulnerability in Google Chrome. We previously detailed the malicious implants used in the operation: the LeetAgent backdoor and the complex spyware Dante, developed by Memento Labs (formerly Hacking Team). However, the attackers behind this operation didn’t stop at their spring campaign and have continued to infect targets within the Russian Federation. Emails posing as a scientific library In October 2025, just days before we presented our report detailing the ForumTroll APT group’s attack at the Security Analyst Summit, we detected a new targeted phishing campaign by the same group. However, while the spring cyberattacks focused on organizations, the fall campaign honed in on specific individuals: scholars in the field of political science, international relations, and global economics, working at major Russian universities and research institutions. The emails received by the victims were sent from the address support@e-library[.]wiki. The campaign purported to be from the scientific electronic library, eLibrary, whose legitimate website is elibrary.ru. The phishing emails contained a malicious link in the format: https://e-library[.]wiki/elib/wiki.php?id=<8 pseudorandom letters and digits>. Recipients were prompted to click the link to download a plagiarism report. Clicking that link triggered the download of an archive file. The filename was personalized, using the victim’s own name in the format: <LastName>_<FirstName>_<Patronymic>.zip. A well-prepared attack The attackers did their homework before sending out the phishing emails. The malicious domain, e-library[.]wiki, was registered back in March 2025, over six months before the email campaign started. This was likely done to build the domain’s reputation, as sending emails from a suspicious, newly registered domain is a major red flag for spam filters. Furthermore, the attackers placed a copy of the legitimate eLibrary homepage on https://e-library[.]wiki. According to the information on the page, they accessed the legitimate website from the IP address 193.65.18[.]14 back in December 2024. A screenshot of the malicious site elements showing the IP address and initial session date The attackers also carefully personalized the phishing emails for their targets, specific professionals in the field. As mentioned above, the downloaded archive was named with the victim’s last name, first name, and patronymic. Another noteworthy technique was the attacker’s effort to hinder security analysis by restricting repeat downloads. When we attempted to download the archive from the malicious site, we received a message in Russian, indicating the download link was likely for one-time use only: The message that was displayed when we attempted to download the archive Our investigation found that the malicious site displayed a different message if the download was attempted from a non-Windows device. In that case, it prompted the user to try again from a Windows computer. The message that was displayed when we attempted to download the archive from a non-Windows OSThe malicious archive The malicious archives downloaded via the email links contained the following: A malicious shortcut file named after the victim: <LastName>_<FirstName>_<Patronymic>.lnk; A .Thumbs directory containing approximately 100 image files with names in Russian. These images were not used during the infection process and were likely added to make the archives appear less suspicious to security solutions. A portion of the .Thumbs directory contents When the user clicked the shortcut, it ran a PowerShell script. The script’s primary purpose was to download and execute a PowerShell-based payload from a malicious server. The script that was launched by opening the shortcut The downloaded payload then performed the following actions: Contacted a URL in the format: https://e-library[.]wiki/elib/query.php?id=<8 pseudorandom letters and digits>&key=<32 hexadecimal characters> to retrieve the final payload, a DLL file. Saved the downloaded file to %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 pseudorandom digits>.dll. Established persistence for the payload using COM Hijacking. This involved writing the path to the DLL file into the registry key HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Notably, the attackers had used that same technique in their spring attacks. Downloaded a decoy PDF from a URL in the format: https://e-library[.]wiki/pdf/<8 pseudorandom letters and digits>.pdf. This PDF was saved to the user’s Downloads folder with a filename in the format: <LastName>_<FirstName>_<Patronymic>.pdf and then opened automatically. The decoy PDF contained no valuable information. It was merely a blurred report generated by a Russian plagiarism-checking system. A screenshot of a page from the downloaded report At the time of our investigation, the links for downloading the final payloads didn’t work. Attempting to access them returned error messages in English: “You are already blocked…” or “You have been bad ended” (sic). This likely indicates the use of a protective mechanism to prevent payloads from being downloaded more than once. Despite this, we managed to obtain and analyze the final payload. The final payload: the Tuoni framework The DLL file deployed to infected devices proved to be an OLLVM-obfuscated loader, which we described in our previous report on Operation ForumTroll. However, while this loader previously delivered rare implants like LeetAgent and Dante, this time the attackers opted for a better-known commercial red teaming framework: Tuoni. Portions of the Tuoni code are publicly available on GitHub. By deploying this tool, the attackers gained remote access to the victim’s device along with other capabilities for further system compromise. As in the previous campaign, the attackers used fastly.net as C2 servers. Conclusion The cyberattacks carried out by the ForumTroll APT group in the spring and fall of 2025 share significant similarities. In both campaigns, infection began with targeted phishing emails, and persistence for the malicious implants was achieved with the COM Hijacking technique. The same loader was used to deploy the implants both in the spring and the fall. Despite these similarities, the fall series of attacks cannot be considered as technically sophisticated as the spring campaign. In the spring, the ForumTroll APT group exploited zero-day vulnerabilities to infect systems. By contrast, the autumn attacks relied entirely on social engineering, counting on victims not only clicking the malicious link but also downloading the archive and launching the shortcut file. Furthermore, the malware used in the fall campaign, the Tuoni framework, is less rare. ForumTroll has been targeting organizations and individuals in Russia and Belarus since at least 2022. Given this lengthy timeline, it is likely this APT group will continue to target entities and individuals of interest within these two countries. We believe that investigating ForumTroll’s potential future campaigns will allow us to shed light on shadowy malicious implants created by commercial developers – much as we did with the discovery of the Dante spyware. Indicators of compromise e-library[.]wiki perf-service-clients2.global.ssl.fastly[.]net bus-pod-tenant.global.ssl.fastly[.]net status-portal-api.global.ssl.fastly[.]net securelist.com/operation-forum…