585.496 malware bloccati in Italia a gennaio, di cui il 56 percento era di tipo zero day. È questo il bilancio del Threat Lab di WatchGuard, che utilizza i dati del Firebox Feed, e le informazioni sulle minacce provenienti dai partner sia dalla sua rete di honeypot.

Spesso i dati sulle minacce informatiche sono globali o europei. In questo caso invece è il dettaglio riguarda solo il Belpaese, che nei primi 31 giorni del 2021 ha registrato 19.517 attacchi a giorno, uno ogni 14 minuti. Responsabile del maggior numero di attacchi è Win32/Heim.D (43,4%), un software malevolo che ha la capacità di replicarsi e infettare altri file e programmi.

In genere viene ricevuto come allegato email o tramite messaggi istantanei. Può corrompere o eliminare dati, rubare informazioni personali, dirottare lo schermo e diffondersi ad altri utenti attingendo dai contatti della vittima.



Al secondo posto, con un'incidenza del 15,83%, troviamo un trojan che viene distribuito in file compressi come allegati di posta elettronica. Spesso è impiegato dai cyber criminali come downloader per altre minacce informatiche ben più gravi.

Un altro trojan, VB.Heur.EmoDldr.32.76E23587.Gen, è in terza piazza con il 9,77%. Può contattare un sito remoto ed eseguire script sul lato server o scaricare altro malware. La classifica prosegue con altri file malevoli, per lo più trojan.

A questi sono da aggiungere 37.441 attacchi di rete, ossia 52 ogni ora del mese di gennaio 2021, fra cui cross-site script, SQL Injection, brute force login, shell command execution e altro.

Che cosa ci insegna

Il dettaglio che fornisce Watchguard con questa pagina, che peraltro è pubblicamente consultabile definendo Paese, periodo di analisi e tipi di attacco, è interessante sotto molti punti di vista. Il primo è che nessuno può sentirsi al sicuro: 865 attacchi ogni ora equivale a un assedio in piena regola, quindi è imperativo difendersi.

Il secondo dettaglio è che oltre la metà dei cyber attacchi è di tipo zero day. Significa che un software di difesa tradizionale, che usa le firme per identificare i tentativi di intrusione, è del tutto inutile. Serve un EDR di ultima generazione, che sfrutti l'Intelligenza Artificiale e il machine learning.


Al terzo posto c'è il phishing: l'analisi dei malware più diffusi fa capire chiaramente che la stragrande maggioranza delle minacce viene recapitata via email. Non è una novità, ma resta il fatto che senza un'attività di formazione continua e mirata a tutti i dipendenti gli attacchi continueranno ad avere buone chance di andare a segno.

Ultima considerazione riguarda la criminalità online, sempre più organizzata. Analizzando gli attacchi emerge chiaramente che molti malware sono usati come loader. È bene ricordare che non possiamo più vedere ogni attacco come fine a sé stesso: ogni azione criminale ha uno scopo, e quasi sempre è parte di una catena ben più ampia. Il trojan recapitato via email è spesso il primo tassello di un'attività che porta a un attacco ransomware, oppure a un furto di credenziali che dà il via ad attacchi BEC, e via discorrendo. Il malware iniziale quindi non dev'essere sottovalutato, perché anche se è una minaccia di per sé di basso livello, può dare il via a un'escalation pericolosa di eventi.