Il ransomware più diffuso è RansomHub, mentre il settore più soggetto ad attacchi è stato quello dell'istruzione e della ricerca.
Autore: Redazione SecurityOpenLab
Fra giugno e luglio 2024 il panorama delle minacce informatiche in Italia non è cambiato granché. Secondo i dati forniti da Check Point Research, il malware FakeUpdates si è mantenuto la minaccia più diffusa nel nostro Paese, seguito da Androxgh0st e Formbook. Anche sul piano globale FakeUpdates ha continuato a dominare il panorama delle minacce con un impatto del 7%, seguito da Androxgh0st al 5% e da AgentTesla al 3%.
FakeUpdates è quindi una minaccia nota che non ha più bisogno di presentazioni. Noto anche come SocGholish, è un downloader JavaScript che continua a sfruttare il suo meccanismo di installazione per distribuire payload malevoli su vari dispositivi. Nel mese di luglio ha avuto un impatto del 7,67% sulle organizzazioni italiane, segnando una leggera crescita rispetto a giugno (+0,14%) e superando di 0,41% il dato globale. Questo malware ha aperto la strada a minacce quali GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
Androxgh0st è meno noto: è un botnet capace di colpire piattaforme Windows, Mac e Linux, noto per sfruttare vulnerabilità specifiche come quelle presenti nei framework di sviluppo web, con l’obiettivi di rubare informazioni sensibili e accessi a servizi cloud. Con un impatto del 6,8% a livello nazionale, Androxgh0st ha mostrato una leggera diminuzione rispetto a giugno, ma continua a rappresentare una minaccia superiore rispetto alla media globale (+1,39%).
In terza posizione ritroviamo un cliente noto: Formbook, ossia il noto infostealer che ha registrato un impatto del 4,41% in Italia. Formbook è stato rilevato per la prima volta nel 2016 e, sin dalla sua comparsa, è stato commercializzato come Malware-as-a-Service, consentendo anche a cybercriminali poco esperti di sferrare attacchi mirati. In Italia il suo impatto è cresciuto significativamente rispetto al mese precedente (+1,85%) e rimane superiore anche a livello globale (+1,43%).
FakeUpdates domina anche il panorama globale con un impatto del 7%, seguito da Androxgh0st al 5% e da AgentTesla al 3%. Quest'ultimo è un RAT (Remote Access Trojan) avanzato che funziona come keylogger e infostealer, capace di monitorare e raccogliere input dalla tastiera della vittima, catturare screenshot ed esfiltrare credenziali da una vasta gamma di software, inclusi browser come Chrome e Firefox e client di posta elettronica come Microsoft Outlook.
Un ulteriore dettaglio rilevante a livello globale è la persistenza delle campagne di FakeUpdates. I criminali informatici dietro questa minaccia continuano a perfezionare le loro tecniche, sfruttando i siti web compromessi per diffondere falsi aggiornamenti di browser, che portano all'installazione di Trojan come AsyncRAT.
A dispetto delle azioni delle Forze dell’Ordine contro LockBit, a luglio 2024 il panorama globale ha visto un forte ritorno di questo ransomware, che si è posizionato al secondo posto tra quelli più diffusi, a ridosso di RansomHub. Quest’ultimo è fermamente saldo al primo posto e ormai celebre per aggressività e versatilità (colpisce vari sistemi operativi, inclusi Windows, macOS e Linux e prende di mira in particolare gli ambienti VMware ESXi) ed è conosciuto per i suoi metodi di crittografia sofisticati.
In terza posizione tra i ransomware globali si è piazzato Akira, segnalato per la prima volta nel 2023. Akira attacca sia sistemi Windows che Linux e utilizza una crittografia avanzata per bloccare i file delle vittime, richiedendo successivamente un riscatto per la loro decifratura. Questo ransomware si diffonde principalmente tramite email infette e vulnerabilità nei sistemi VPN.
I settori più colpiti a livello globale durante il mese di luglio sono stati quelli dell'istruzione e della ricerca (che spesso non dispongono delle risorse necessarie per proteggersi adeguatamente contro le minacce informatiche avanzate). Segue il comparto governativo/militare che costituisce un obiettivo di alto profilo anche nel contesto geopolitico attuale. Terza piazza per le telco, la cui vulnerabilità è da ricercare nella infrastruttura tecnologica distribuita e complessa.