Il panorama evolutivo delle minacce cyber è lineare, il che non è una buona notizia considerata la versatilità degli attaccanti.
Nel mese di agosto 2024 il panorama delle minacce cyber in Italia ha visto la conferma di alcuni dei malware più diffusi e il ritorno di altri che continuano a mettere sotto pressione aziende e organizzazioni. L'analisi è proposta dai ricercatori di Check Point Research, secondo i quali FakeUpdates ha mantenuto la posizione dominante come malware più presente in Italia, seguito da Androxgh0st. Il ritorno di Qbot (non è la prima volta) ha destato preoccupazione, anche perché l’incremento degli attacchi legati a questo malware gli hanno fatto scalare la classifica fino alla terza posizione.
Sul piano globale, il ransomware si è affermato una delle minacce più aggressive e devastanti, come confermano anche altri report. In questo settore sono da evidenziare l’ascesa di RansomHub e Meow, che hanno introdotto nuove tattiche di attacco sempre più sofisticate.
Partiamo come di consueto con la situazione nel Belpaese. Il downloader JavaScript FakeUpdates è nuovamente il malware più presente, con un impatto del 7,29% sulle organizzazioni nazionali, leggermente in calo rispetto al mese di luglio ma saldamente in testa comunque. Noto anche come SocGholish, questo malware viene sfruttato per scrivere payload dannosi su disco, dando il via a ulteriori attacchi tramite una varietà di altre minacce, come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. La sua capacità di adattarsi a diverse infrastrutture lo rende una minaccia costante.
Al secondo posto si è classificato Androxgh0st, che continua a rappresentare una delle minacce più insidiose in Italia. Ad agosto ha avuto un impatto del 6,92%, colpendo piattaforme Windows, Mac e Linux e sfruttando vulnerabilità note come quelle di PHPUnit e Laravel Framework. Gli attaccanti che lo hanno sfruttato hanno rubato informazioni sensibili - tra cui credenziali di accesso a servizi cloud come AWS. L’incremento della diffusione rispetto al mese precedente, seppur lieve, lascia intuire che si tratta di una minaccia da cui guardarsi per via della capacità di evoluzione.
Il gradino più basso del podio spetta a Qbot, una vecchia conoscenza che è stata particolarmente attiva negli ultimi anni e che in agosto ha ripreso slancio in Italia, colpendo il 3,49% delle organizzazioni. Noto anche come Qakbot, può essere utilizzato come piattaforma per distribuire altri malware, come ransomware e spyware.
A livello globale, il panorama delle minacce è dominato dal ransomware. Secondo i dati di CPR il mese di agosto ha visto il consolidamento delle attività di RansomHub, un collettivo che opera in modalità Ransomware-as-a-Service e che ha violato oltre 210 vittime in tutto il mondo. Il gruppo ha preso di mira principalmente i sistemi Windows, macOS, Linux e gli ambienti VMware ESXi, mediante tecniche di crittografia avanzate.
Parallelamente sta acquisendo quote il ransomware Meow, originariamente nato come variante del ransomware Conti. Ha cambiato strategia di attacco spostandosi dalla tradizionale crittografia dei file alla vendita dei dati rubati attraverso i siti di rivendicazione, e affermandosi come una delle minacce più insidiose in circolazione.
I dati analizzati dagli analisti lasciano intuire che la minaccia rappresentata dai ransomware non è destinata a diminuire nel prossimo futuro. RansomHub, Meow e altri gruppi stanno continuando a evolversi, modificando le proprie tecniche e tattiche per superare le difese in via di evoluzione.