▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

FakeUpdates è il malware più diffuso in Italia e nel mondo a giugno 2024

La classifica dei malware più diffusi a giugno vede la riconferma di FakeUpdates e novità interessanti sul fronte ransomware.

Tecnologie/Scenari

Nel mese di giugno 2024 la minaccia più importante in Italia si è riconfermata FakeUpdates, con un impatto del 7,67%. Al terzo posto i ricercatori di Check Point Research inseriscono Formbook, che ha scalzato un Blindingcan ormai retrocesso fuori dalla Top 10. A livello globale è da sottolineare un cambiamento significativo nel panorama dei Ransomware-as-a-Service: RansomHub ha superato LockBit3, affermandosi come il gruppo di ransomware più diffuso. È stata inoltre identificata una backdoor per Windows, denominata BadSpace, che coinvolge siti web WordPress infetti e falsi aggiornamenti del browser.

Partiamo dallo scenario italiano, dove il podio non è molto differente da quello che avevamo presentato per aprile: dietro a FakeUpdates ritroviamo al secondo posto Androxgh0st, una botnet che colpisce le piattaforme Windows, Mac e Linux e che ruba informazioni sensibili. Ha un impatto in crescita sia in Italia che a livello globale. Al terzo posto torna una vecchia conoscenza: l’infostealer Formbook, rilevato per la prima volta nel 2016 e commercializzato come Malware as a Service.

Il successo di FakeUpdates

A tenere FakeUpdates sulla cresta dell’onda sono una recente campagna, l’offerta di nuova backdoor chiamata BadSpace e una rete di affiliazione di terze parti che reindirizza il traffico dai siti web compromessi alle pagine controllate da FakeUpdates, che invitano gli utenti a scaricare quello che sembra essere un aggiornamento del browser. In realtà si trattad i un loader basato su JavaScript che a sua volta scarica ed esegue la backdoor BadSpace. BadSpace impiega sofisticate tecniche di offuscamento e anti-sandbox per evitare di essere rilevato e mantiene la persistenza attraverso attività pianificate. Le sue comunicazioni di comando e controllo sono criptate, rendendo difficile l'intercettazione.


Il cambiamento nello scenario ransomoware

I ricercatori di CPR fanno anche il punto su una importante novità sul piano globale: dopo l'azione delle Forze dell'Ordine contro LockBit3 a inizio anno, RansomHub è diventato il gruppo RaaS più diffuso. In giugno LockBit3 ha registrato il minimo storico di vittime colpite: solo 20, che un chiaro segnale di declino.

RansomHub, emerso per la prima volta nel febbraio 2024 e ritenuto una reincarnazione del ransomware Knight, all’opposto ha registrato un aumento significativo delle vittime a giugno. Sono quasi 80 le aziende colpite, di cui solo il 25% situate negli Stati Uniti; le altre provengono in Italia, Brasile, Spagna e Regno Unito.

Il secondo ransomware più diffuso risulta Play Ransomware (AKA PlayCrypt), che utilizza tecniche come l'uso di binari “living-off-the-land” per l'esfiltrazione di dati e il furto di credenziali. Terza piazza per Akira, segnalato per la prima volta all'inizio del 2023. È una minaccia che colpisce sia i sistemi Windows che Linux, utilizza la crittografia simmetrica e viene distribuito attraverso vari mezzi, tra cui allegati email infetti ed exploit negli endpoint VPN. Al momento dell'infezione, cifra i dati e aggiunge un'estensione ".akira" ai nomi dei file, quindi presenta una nota di riscatto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter