Nel mese di giugno 2024 la minaccia più importante in Italia si è riconfermata FakeUpdates, con un impatto del 7,67%. Al terzo posto i ricercatori di Check Point Research inseriscono Formbook, che ha scalzato un Blindingcan ormai retrocesso fuori dalla Top 10. A livello globale è da sottolineare un cambiamento significativo nel panorama dei Ransomware-as-a-Service: RansomHub ha superato LockBit3, affermandosi come il gruppo di ransomware più diffuso. È stata inoltre identificata una backdoor per Windows, denominata BadSpace, che coinvolge siti web WordPress infetti e falsi aggiornamenti del browser.

Partiamo dallo scenario italiano, dove il podio non è molto differente da quello che avevamo presentato per aprile: dietro a FakeUpdates ritroviamo al secondo posto Androxgh0st, una botnet che colpisce le piattaforme Windows, Mac e Linux e che ruba informazioni sensibili. Ha un impatto in crescita sia in Italia che a livello globale. Al terzo posto torna una vecchia conoscenza: l’infostealer Formbook, rilevato per la prima volta nel 2016 e commercializzato come Malware as a Service.

Il successo di FakeUpdates

A tenere FakeUpdates sulla cresta dell’onda sono una recente campagna, l’offerta di nuova backdoor chiamata BadSpace e una rete di affiliazione di terze parti che reindirizza il traffico dai siti web compromessi alle pagine controllate da FakeUpdates, che invitano gli utenti a scaricare quello che sembra essere un aggiornamento del browser. In realtà si trattad i un loader basato su JavaScript che a sua volta scarica ed esegue la backdoor BadSpace. BadSpace impiega sofisticate tecniche di offuscamento e anti-sandbox per evitare di essere rilevato e mantiene la persistenza attraverso attività pianificate. Le sue comunicazioni di comando e controllo sono criptate, rendendo difficile l'intercettazione.

Il cambiamento nello scenario ransomoware

I ricercatori di CPR fanno anche il punto su una importante novità sul piano globale: dopo l'azione delle Forze dell'Ordine contro LockBit3 a inizio anno, RansomHub è diventato il gruppo RaaS più diffuso. In giugno LockBit3 ha registrato il minimo storico di vittime colpite: solo 20, che un chiaro segnale di declino.

RansomHub, emerso per la prima volta nel febbraio 2024 e ritenuto una reincarnazione del ransomware Knight, all’opposto ha registrato un aumento significativo delle vittime a giugno. Sono quasi 80 le aziende colpite, di cui solo il 25% situate negli Stati Uniti; le altre provengono in Italia, Brasile, Spagna e Regno Unito.

Il secondo ransomware più diffuso risulta Play Ransomware (AKA PlayCrypt), che utilizza tecniche come l'uso di binari “living-off-the-land” per l'esfiltrazione di dati e il furto di credenziali. Terza piazza per Akira, segnalato per la prima volta all'inizio del 2023. È una minaccia che colpisce sia i sistemi Windows che Linux, utilizza la crittografia simmetrica e viene distribuito attraverso vari mezzi, tra cui allegati email infetti ed exploit negli endpoint VPN. Al momento dell'infezione, cifra i dati e aggiunge un'estensione ".akira" ai nomi dei file, quindi presenta una nota di riscatto.