La classifica dei peggiori Ramsonware e delle minacce informatiche secondo Check Point® Software

L’analisi delle minacce informatiche: un panorama in continua evoluzione

Nel contesto della sicurezza informatica, il mese di luglio 2024 ha visto una conferma delle tendenze già osservate nei mesi precedenti, con alcuni cambiamenti significativi nel panorama globale. Check Point® Software Technologies Ltd., leader nel settore della cyber security, ha pubblicato il suo Indice delle minacce globali, mettendo in luce il predominio di alcune famiglie di malware e l’emergere di nuove tattiche da parte dei cyber criminali.

In Italia, FakeUpdates continua a dominare la scena, mentre Remcos e RansomHub guadagnano terreno. A livello globale, la situazione riflette un crescente utilizzo di ransomware e altre minacce avanzate, richiedendo alle organizzazioni un rafforzamento delle loro strategie di difesa.

FakeUpdates: il malware più diffuso in Italia e nel mondo

FakeUpdates, noto anche come SocGholish, ha mantenuto il primo posto nella classifica dei malware più diffusi sia in Italia che a livello mondiale.

Questo malware, un downloader scritto in JavaScript, è particolarmente pericoloso in quanto è in grado di scrivere i payload su disco prima di eseguirli, facilitando ulteriori compromissioni del sistema tramite numerosi altri malware tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult. L’impatto di FakeUpdates sulle organizzazioni italiane è aumentato lievemente, passando al 7,67% con una crescita rispetto al mese precedente, e resta significativamente più elevato rispetto alla media globale.

Le nuove tattiche utilizzate da FakeUpdates includono la compromissione di siti web, dove gli utenti vengono indotti a scaricare falsi aggiornamenti del browser che portano all’installazione di Trojan ad accesso remoto come AsyncRAT. Queste tecniche sofisticate evidenziano l’evoluzione continua dei cyber criminali nel perfezionare le loro operazioni per massimizzare i danni.

La crescita di Remcos: un ritorno opportunistico

Remcos, un malware per Windows noto per le sue capacità di accesso remoto, ha guadagnato attenzione a luglio 2024 a seguito dello sfruttamento di una vulnerabilità in un aggiornamento del software di sicurezza CrowdStrike.

Questo tipo di attacco dimostra l’approccio opportunistico dei cyber criminali che sfruttano le falle nei software di protezione per infiltrarsi nei sistemi target. Remcos consente agli attaccanti di monitorare l’attività del sistema, raccogliere dati sensibili e mantenere un controllo persistente sui dispositivi infetti, rappresentando una minaccia significativa per le organizzazioni.

LokBit3 e RansomHub: i ransomware più pericolosi del momento

A livello globale, i ransomware continuano a rappresentare una delle minacce più gravi, con RansomHub che mantiene il primo posto tra le operazioni di Ransomware-as-a-Service (RaaS).

Questo gruppo, noto per la sua aggressività e capacità di colpire ambienti Windows, macOS, Linux e VMware ESXi, ha visto una crescita rapida sin dalla sua comparsa nei forum clandestini all’inizio del 2024. La sofisticazione delle sue campagne ha portato RansomHub a diventare una delle minacce ransomware più prevalenti, responsabile dell’11% degli attacchi pubblicati sui “siti della vergogna”.

LokBit3, un altro gruppo di ransomware operante in modalità RaaS, ha registrato una ripresa notevole a luglio, posizionandosi al secondo posto a livello mondiale. Questo malware ha un focus specifico su grandi aziende ed enti governativi, e utilizza metodi avanzati di crittografia per bloccare l’accesso ai dati delle vittime, richiedendo pagamenti per la decriptazione.

Androxgh0st e Formbook: minacce persistenti sul podio italiano

In Italia, oltre a FakeUpdates, altre due minacce continuano a destare preoccupazione. Androxgh0st, una botnet che colpisce le piattaforme Windows, Mac e Linux, rimane al secondo posto.

Questo malware è noto per sfruttare vulnerabilità di sistemi come PHPUnit, Laravel Framework e Apache Web Server, e ha una capacità avanzata di rubare informazioni sensibili come credenziali di accesso e dati aziendali critici.

Formbook, un Infostealer per Windows rilevato per la prima volta nel 2016, completa il podio italiano al terzo posto. Questo malware, commercializzato come Malware-as-a-Service, è particolarmente pericoloso per la sua capacità di esfiltrare informazioni sensibili da numerosi software installati sui sistemi infetti. La sua persistenza e l’aumento della diffusione indicano una continua domanda per questi strumenti tra i cyber criminali.

Le vulnerabilità più sfruttate dai cyber criminali

Il report evidenzia anche alcune delle vulnerabilità più sfruttate dai cyber criminali a luglio 2024. Tra queste, spicca la vulnerabilità di Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), che permette agli attaccanti di eseguire codice arbitrario sui sistemi target inviando richieste appositamente create.

Altre vulnerabilità rilevanti includono il Command Injection in Zyxel ZyWALL (CVE-2023-28771) e le Remote Code Execution tramite header HTTP (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).

Queste vulnerabilità, se non adeguatamente mitigate, forniscono ai cyber criminali punti di ingresso efficaci per compromettere le reti delle organizzazioni, sottolineando l’importanza di una gestione proattiva delle patch di sicurezza.

Le minacce mobili: Joker, Anubis e AhMyth in testa

Il panorama delle minacce mobili rimane dominato da Joker, Anubis e AhMyth. Joker, uno spyware per Android presente su Google Play, è progettato per rubare SMS, contatti e informazioni sul dispositivo, e per sottoscrivere le vittime a servizi premium senza il loro consenso.

Anubis, un trojan bancario anch’esso per Android, continua ad evolversi, aggiungendo funzionalità di keylogger e ransomware, rappresentando una minaccia significativa per i dispositivi mobili. AhMyth, un Remote Access Trojan (RAT) per Android, rimane una minaccia persistente, noto per la sua capacità di raccogliere informazioni sensibili e attivare funzionalità come il keylogging e la registrazione della fotocamera.

I settori più attaccati: focus su educazione, governo e comunicazioni

Il settore dell’istruzione e della ricerca continua a essere il più attaccato a livello globale, seguito dai settori governativo/militare e delle comunicazioni. Questo trend evidenzia come i cyber criminali prendano di mira settori con elevati volumi di dati sensibili e infrastrutture critiche.

Per proteggere questi settori, le organizzazioni devono adottare strategie di sicurezza multilivello che includano protezioni avanzate per gli endpoint, monitoraggio continuo e formazione del personale per riconoscere e prevenire le minacce informatiche.