A gennaio 2025 il panorama delle minacce informatiche in Italia non ha registrato variazioni significative rispetto al mese precedente: FakeUpdates si riconferma per l’ennesima volta come il malware più diffuso nel Belpaese, facilitando gli attacchi ransomware e le compromissioni su larga scala. Al secondo posto rimane stabile il Remote Access Trojan Remcos, mentre in terza posizione si conferma la botnet multipiattaforma Androxgh0st.

Ricordiamo che FakeUpdates, conosciuto anche come SocGholish, è un downloader scritto in JavaScript che ha favorito la diffusione di numerosi malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. A gennaio 2025 questa minaccia ha registrato un impatto del 6,43%, in leggera flessione rispetto a dicembre 2024 (-0,36%), ma ancora significativamente più elevato rispetto al dato globale (+2,83%).

Remcos è un’altra vecchia conoscenza; si tratta di un RAT che è in scena dal 2016 e che si diffonde tramite documenti dannosi allegati a email di spam. Viene utilizzato per aggirare le protezioni UAC di Microsoft Windows, garantendo ai criminali informatici il pieno controllo dei dispositivi infettati. Il suo impatto è cresciuto del 4,24%, con un incremento dello 0,63% rispetto al mese precedente.

Androxgh0st, in terza posizione, è invece una botnet progettata per rubare informazioni sensibili da vari sistemi operativi, inclusi Windows, Mac e Linux. A gennaio 2025 ha avuto un impatto del 3,62%, in crescita dello 0,31% rispetto a dicembre 2024. La sua persistenza tra le principali minacce evidenzia l'efficacia delle tecniche impiegate per compromettere sistemi e rubare credenziali.

Il contesto globale

Nel periodo in analisi, FakeUpdates è anche il malware più diffuso a livello globale, dove cambiano però le altre posizioni del podio: Formbook torna in seconda posizione, seguito da Remcos, che sale al terzo posto. Formbook è un Infostealer venduto come Malware-as-a-Service (MaaS) nei forum underground, noto per rubare credenziali dai browser, acquisire screenshot, registrare sequenze di tasti e scaricare file dannosi su comando dei suoi operatori.

Remcos, in crescita anche a livello globale, mantiene la sua pericolosità grazie alla diffusione tramite documenti Office infetti. La sua ascesa nelle classifiche internazionali evidenzia la continua efficacia delle campagne di phishing e delle tattiche di ingegneria sociale utilizzate per la sua distribuzione.

La classifica ransomware

Il 2025 ha visto anche l’ascesa di nuove minacce ransomware, con Clop che si impone come il gruppo più attivo, seguito da FunkSec e RansomHub. Come la maggior parte dei ransomware attuali, Clop utilizza la tecnica della doppia estorsione, è attivo dal 2019 e continua a colpire aziende di ogni settore a livello globale.

FunkSec è invece una minaccia in circolazione solo da dicembre 2024, ma si è già fatto conoscere: combina attacchi ransomware e violazioni di dati, pubblicando le informazioni sottratte su un sito di rivendicazione per aumentare la pressione sulle vittime affinché paghino il riscatto. Chiude il podio RansomHub, un’operazione di Ransomware-as-a-Service (RaaS) emersa all'inizio del 2024 come evoluzione del precedente Knight. È particolarmente insidioso perché prende di mira un'ampia varietà di sistemi, inclusi Windows, macOS, Linux e ambienti VMware ESXi, e impiega tecniche di cifratura avanzate per bloccare l’accesso ai file delle vittime.