Il panorama delle minacce è in continua evoluzione, con una crescente sofisticazione degli attacchi e una maggiore diffusione di infostealer. La situazione in Italia rispecchia questa tendenza, con FakeUpdates e Androxgh0st che si riconfermano come minacce principali, mentre incalza Lumma Stealer. È questo il responso dell’Indice delle Minacce Globali di Check Point Research per il mese di ottobre 2024.

Ampliando il panorama sul piano globale, ritroviamo un aumento significativo degli infostealer e l'utilizzo di vettori di attacco innovativi. Sul piano dei ransomware, invece, dominano RansomHub, Play e Meow, che si distinguono per aggressività e per l'utilizzo di sofisticati metodi di cifratura.

Italia: poche novità rispetto al mese precedente

In Italia la classifica dei malware vede confermate le prime due posizioni rispetto a settembre. Ricordiamo che FakeUpdates è un downloader JavaScript capace di scrivere i payload su disco prima di eseguirli: il suo impatto è pari all’8,36%, in crescita rispetto al mese precedente (+1,07%) e rispetto alla media globale (+2,5%). FakeUpdates è spesso utilizzato come trampolino di lancio per attacchi successivi, tramite malware come GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.

La seconda piazza spetta a Androxgh0st, una botnet attiva su piattaforme Windows, Mac e Linux che sfrutta diverse vulnerabilità, in particolare quelle di PHPUnit, Laravel Framework e Apache Web Server, per rubare informazioni sensibili come dati dell'account Twilio, credenziali SMTP e accessi AWS.

Più interessante è la novità del mese: Lumma Stealer, che si inserisce al terzo posto con un impatto del 3,75% (+1,19% rispetto all'impatto globale). Si tratta di un malware legato alla Russia, operativo come piattaforma Malware-as-a-Service (MaaS) dal 2022, specializzato nel furto di informazioni. La sua ascesa è legata all'utilizzo di false pagine CAPTCHA per la sua distribuzione, tramite URL di download di giochi craccati ed e-mail di phishing indirizzate agli utenti di GitHub.

Lo scenario internazionale

A livello globale, la classifica dei malware più diffusi a ottobre 2024 ripropone FakeUpdates al primo posto (con un impatto del 6%) e Androxgh0st al secondo. Terzo classificato è AgentTesla con un impatto del 4%. Quest’ultimo è il ben noto RAT avanzato che funziona come keylogger. Può monitorare e raccogliere gli input dalla tastiera, acquisire screenshot ed esfiltrare le credenziali da diversi software installati sul computer, tra cui Google Chrome, Mozilla Firefox e Microsoft Outlook.

I ransomware

Riguardo ai ransomware, i dati raccolti da Check Point Research basati sui siti di rivendicazione dei gruppi ransomware indicano che nel periodo in esame RansomHub è stato il gruppo più attivo, responsabile del 17% degli attacchi pubblicati. Seguono Play con il 10% e Meow con il 5%.

RansomHub è una versione ribrandizzata del ransomware Knight, si distingue per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare gli ambienti VMware ESXi. È noto per l'utilizzo di sofisticati metodi di crittografia.

Play Ransomware, noto anche come PlayCrypt, ha colpito un ampio spettro di aziende e infrastrutture critiche in Nord America, Sud America ed Europa, raggiungendo circa 300 entità fino a ottobre 2023. Accede alle reti sfruttando account compromessi o vulnerabilità senza patch e una volta all'interno dell’infrastruttura utilizza tecniche come l'uso di binari living-off-the-land (LOLBins) per attività quali l'esfiltrazione di dati e il furto di credenziali.

Meow Ransomware, una variante basata sul ransomware Conti, è noto per crittografare un'ampia gamma di file sui sistemi compromessi, aggiungendo l'estensione ".MEOW". Si diffonde tramite vari vettori, tra cui configurazioni RDP non protette, email di phishing e download dannosi. Meow utilizza l'algoritmo di crittografia ChaCha20 per bloccare i file, escludendo i file con estensione .exe e quelli di testo.