Check Point Software Technologies Ltd., uno dei principali fornitori di soluzioni di cyber security basate sull’intelligenza artificiale e sul cloud, ha recentemente pubblicato il suo Indice delle Minacce Globali per il mese di luglio 2024.
Il report evidenzia una serie di tendenze preoccupanti nel panorama del malware, con l’Italia che continua a registrare livelli di rischio superiori rispetto alla media globale.
Indice degli argomenti
Panorama delle minacce in Italia
In Italia, il posizionamento delle minacce informatiche per il mese di luglio 2024 è rimasto sostanzialmente invariato rispetto al mese precedente. FakeUpdates, noto anche come SocGholish, si conferma come la minaccia più diffusa con un impatto del 7,67% sulle organizzazioni italiane.
Questo malware, un downloader scritto in JavaScript, è in grado di scrivere i payload su disco prima di lanciarli, aprendo la strada a ulteriori attacchi tramite una varietà di altre minacce, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
L’incremento dell’impatto di FakeUpdates rispetto al mese di giugno (+0,14%) sottolinea la sua crescente pericolosità.
Subito dopo, si posiziona Androxgh0st, una botnet capace di colpire piattaforme Windows, Mac e Linux, che ruba informazioni sensibili sfruttando diverse vulnerabilità, in particolare quelle legate a PHPUnit, Laravel Framework e Apache Web Server.
Con un impatto del 6,8%, Androxgh0st registra una leggera diminuzione rispetto al mese precedente (-0,41%), ma rimane comunque una minaccia significativa, con un impatto superiore dell’1,39% rispetto alla media globale.
Al terzo posto troviamo Formbook, un infostealer che prende di mira i sistemi operativi Windows. Rilevato per la prima volta nel 2016 e commercializzato come Malware as a Service, Formbook ha visto un’impennata significativa in Italia, con un impatto del 4,41%, molto superiore rispetto al mese precedente (+1,85%) e al dato globale (+1,43%).
Nuove tattiche e minacce emergenti
Il report di Check Point sottolinea anche l’evoluzione delle tattiche utilizzate da FakeUpdates.
Gli utenti che visitano siti web compromessi si trovano spesso di fronte a falsi messaggi di aggiornamento del browser, che portano all’installazione di trojan ad accesso remoto (RAT) come AsyncRAT, attualmente al nono posto nell’indice globale di Check Point.
Particolarmente preoccupante è l’uso improprio della piattaforma BOINC, solitamente destinata al volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.
Le minacce globali
A livello globale, FakeUpdates è stato il malware più diffuso del mese di luglio, con un impatto del 7% sulle organizzazioni mondiali, seguito da Androxgh0st con un impatto del 5% e AgentTesla con un impatto del 3%.
Quest’ultimo è un RAT avanzato che funziona come keylogger, rubando informazioni e monitorando le attività della tastiera della vittima, scattando screenshot e esfiltrando credenziali di software installati.
Il report evidenzia anche le vulnerabilità più sfruttate dagli attaccanti. Al primo posto troviamo la vulnerabilità di Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), seguita dalla vulnerabilità di Zyxel ZyWALL Command Injection (CVE-2023-28771).
Queste vulnerabilità permettono agli attaccanti remoti di eseguire comandi arbitrari sui sistemi colpiti, rappresentando un rischio significativo per la sicurezza delle reti.
Il mondo ransomware per il mese di luglio
I dati si basano sul recap mensile che viene effettuato dal gruppo di monitoraggio italiano Ransomfeed.it, con scansione direttamente dei siti criminali che pubblicano le rivendicazioni dei loro attacchi.
Per il mese di luglio emerge una scena internazionale di 409 attacchi con un decremento del 14,4% rispetto allo stesso periodo del 2023. Una sommatoria di tutti i mesi di quest’anno al 31 luglio totalizzano 2723 rivendicazioni.
Il gruppo ransomware più prolifico del mese di luglio a livello internazionale è Ransomhub responsabile per il 16,21% (47 rivendicazioni) degli attacchi complessivi, seguito da Lockbit (13,79% con 40 rivendicazioni) e da Akira (10,34% con 30 rivendicazioni).
Il paese più colpito del mese di luglio si attesta sempre negli USA con il 75,59% degli attacchi (209 sul totale), seguito da Canada, UK, Brasile e Italia con il 4,58% (13 rivendicazioni).
Analizzando la scena italiana i dati attestano, per il mese di luglio, il gruppo criminale più attivo sempre in Ransomhub (con il 23% degli attacchi), seguito da Akira e Dragonforce.
L’assoluta maggioranza di questi attacchi, per il mese di luglio è localizzata nel nord Italia.
Conclusioni
Il mese di luglio 2024 ha visto una stabilità nelle minacce principali, ma con un’evoluzione delle tattiche e delle vulnerabilità sfruttate dagli attaccanti.
Il panorama della sicurezza informatica continua a essere estremamente dinamico, richiedendo alle organizzazioni di mantenere alta l’attenzione e di adottare misure preventive per proteggersi dalle minacce emergenti.
In Italia, in particolare, la persistenza di minacce come FakeUpdates e Androxgh0st e ransomware evidenzia la necessità di una strategia di sicurezza informatica ancora più rigorosa e proattiva.
