▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

FakeUpdates il malware più diffuso a luglio in Italia

Il ransomware più diffuso è RansomHub, mentre il settore più soggetto ad attacchi è stato quello dell'istruzione e della ricerca.

Tecnologie/Scenari

Fra giugno e luglio 2024 il panorama delle minacce informatiche in Italia non è cambiato granché. Secondo i dati forniti da Check Point Research, il malware FakeUpdates si è mantenuto la minaccia più diffusa nel nostro Paese, seguito da Androxgh0st e Formbook. Anche sul piano globale FakeUpdates ha continuato a dominare il panorama delle minacce con un impatto del 7%, seguito da Androxgh0st al 5% e da AgentTesla al 3%.

La situazione in Italia

FakeUpdates è quindi una minaccia nota che non ha più bisogno di presentazioni. Noto anche come SocGholish, è un downloader JavaScript che continua a sfruttare il suo meccanismo di installazione per distribuire payload malevoli su vari dispositivi. Nel mese di luglio ha avuto un impatto del 7,67% sulle organizzazioni italiane, segnando una leggera crescita rispetto a giugno (+0,14%) e superando di 0,41% il dato globale. Questo malware ha aperto la strada a minacce quali GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

Androxgh0st è meno noto: è un botnet capace di colpire piattaforme Windows, Mac e Linux, noto per sfruttare vulnerabilità specifiche come quelle presenti nei framework di sviluppo web, con l’obiettivi di rubare informazioni sensibili e accessi a servizi cloud. Con un impatto del 6,8% a livello nazionale, Androxgh0st ha mostrato una leggera diminuzione rispetto a giugno, ma continua a rappresentare una minaccia superiore rispetto alla media globale (+1,39%).


In terza posizione ritroviamo un cliente noto: Formbook, ossia il noto infostealer che ha registrato un impatto del 4,41% in Italia. Formbook è stato rilevato per la prima volta nel 2016 e, sin dalla sua comparsa, è stato commercializzato come Malware-as-a-Service, consentendo anche a cybercriminali poco esperti di sferrare attacchi mirati. In Italia il suo impatto è cresciuto significativamente rispetto al mese precedente (+1,85%) e rimane superiore anche a livello globale (+1,43%).

La situazione globale

FakeUpdates domina anche il panorama globale con un impatto del 7%, seguito da Androxgh0st al 5% e da AgentTesla al 3%. Quest'ultimo è un RAT (Remote Access Trojan) avanzato che funziona come keylogger e infostealer, capace di monitorare e raccogliere input dalla tastiera della vittima, catturare screenshot ed esfiltrare credenziali da una vasta gamma di software, inclusi browser come Chrome e Firefox e client di posta elettronica come Microsoft Outlook.

Un ulteriore dettaglio rilevante a livello globale è la persistenza delle campagne di FakeUpdates. I criminali informatici dietro questa minaccia continuano a perfezionare le loro tecniche, sfruttando i siti web compromessi per diffondere falsi aggiornamenti di browser, che portano all'installazione di Trojan come AsyncRAT.

La situazione ransomware

A dispetto delle azioni delle Forze dell’Ordine contro LockBit, a luglio 2024 il panorama globale ha visto un forte ritorno di questo ransomware, che si è posizionato al secondo posto tra quelli più diffusi, a ridosso di RansomHub. Quest’ultimo è fermamente saldo al primo posto e ormai celebre per aggressività e versatilità (colpisce vari sistemi operativi, inclusi Windows, macOS e Linux e prende di mira in particolare gli ambienti VMware ESXi) ed è conosciuto per i suoi metodi di crittografia sofisticati.

In terza posizione tra i ransomware globali si è piazzato Akira, segnalato per la prima volta nel 2023. Akira attacca sia sistemi Windows che Linux e utilizza una crittografia avanzata per bloccare i file delle vittime, richiedendo successivamente un riscatto per la loro decifratura. Questo ransomware si diffonde principalmente tramite email infette e vulnerabilità nei sistemi VPN.

I settori più colpiti

I settori più colpiti a livello globale durante il mese di luglio sono stati quelli dell'istruzione e della ricerca (che spesso non dispongono delle risorse necessarie per proteggersi adeguatamente contro le minacce informatiche avanzate). Segue il comparto governativo/militare che costituisce un obiettivo di alto profilo anche nel contesto geopolitico attuale. Terza piazza per le telco, la cui vulnerabilità è da ricercare nella infrastruttura tecnologica distribuita e complessa.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter