Una classifica di malware e ransomware molto simile a quella del mese passato, ma una novità importante e preoccupante: gli attaccanti usano sempre di più l’AI.
Autore: Redazione SecurityOpenLab
FakeUpdates, Androxgh0st e Formbook somno i nomi dei malware più diffusi in Italia a settembre 2024. Nessuno di loro necessita di presentazione: FakeUpdates spopola da mesi, Formbook è una presenza quasi costante da anni, mentre Androxgh0st fa comparse altalenanti da tutto l’anno. Vale la pena menzionare che FakeUpdates è stato responsabile di ulteriori compromissioni tramite una varietà di minacce come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult e che, come spesso accade, il suo impatto globale è stato leggermente inferiore rispetto a quello registrato in Italia (7,29%). I dati sono pubblicati dagli esperti di Check Point Research.
Sul piano globale la classifica dei malware più diffusi non si discosta marcatamente da quella nostrana: FakeUpdates è al primo posto anche a livello internazionale, ma con un impatto del 7%. Androxgh0st ha un impatto globale del 6%, leggermente inferiore rispetto all’Italia ma comunque rilevante. Formbook si classifica in terza posizione con un impatto del 4%, confermando il suo ritorno tra le principali minacce anche fuori dai confini italiani.
A settembre 2024, una delle evoluzioni più significative osservate a livello globale è l’adozione di tecniche avanzate di Intelligenza Artificiale da parte degli attaccanti. Gli esperti di CPR hanno rilevato l’utilizzo di AI nella creazione di script complessi, come per esempio quelli impiegati per distribuire AsyncRAT (un malware che consente ai criminali informatici di controllare i dispositivi infetti da remoto), registrare i tasti e distribuire ulteriori malware.
Si tratta di una tendenza che tutti gli esperti avevano ampiamente previsto e che si è puntualmente verificata. Tale risvolto probabilmente accelererà l’adozione di soluzioni di detect and response che fanno uso dell’AI per tenere il passo degli avversari.
Gli esperti di CPR da qualche tempo stilano anche una classifica ransomware. A settembre 2024 il gruppo più attivo si è riconfermato RansomHub che nel periodo di analisi è stato ritenuto responsabile del 17% degli attacchi segnalati su siti di doxing. Ricordiamo che facciamo riferimento a uno dei maggiori esponenti del Ransomware-as-a-Service e che è nato dalla evoluzione del ransomware Knight. Colpisce prevalentemente i sistemi VMware ESXi, Windows, macOS e Linux.
Un altro gruppo di rilievo è Play Ransomware, noto anche come PlayCrypt, che ha mantenuto una posizione di rilievo nel panorama delle minacce ransomware. Il gruppo, attivo dal 2022, ha colpito aziende e infrastrutture critiche in diverse regioni del mondo mediante lo sfruttamento di vulnerabilità non corrette. Nel mese di analisi Play Ransomware è stato responsabile del 10% degli attacchi segnalati.
Chiude la mini rassegna Qilin, conosciuto anche come Agenda, a cui viene attribuito il 5% degli attacchi ransomware di settembre. Il gruppo colpisce per lo più aziende di grandi dimensioni, soprattutto dei settori sanitario e istruzione.