Check Point Software Technologies ha pubblicato il suo Indice delle minacce globali per luglio 2024, che mostra il ritorno di LockBit come secondo gruppo ransomware più diffuso, mentre RansomHub mantiene il primo posto. I ricercatori hanno anche identificato una campagna che distribuisce il malware Remcos sfruttando un problema di aggiornamento di CrowdStrike e nuove tattiche di FakeUpdates, ancora in cima alla classifica dei malware.

In Italia, FakeUpdates rimane il malware principale con un impatto del 7,67%, seguito da Androxgh0st (6,8%) e Formbook (4,41%), tutti con valori superiori all’impatto globale. FakeUpdates ha portato all’installazione di Trojan ad accesso remoto come AsyncRAT, attualmente al nono posto. È preoccupante il fatto che i criminali informatici stiano sfruttando BOINC, una piattaforma di volontariato informatico, per ottenere il controllo remoto dei sistemi infetti.

A livello globale, FakeUpdates è stato il malware più diffuso (7% di impatto), seguito da Androxgh0st (5%) e AgentTesla (3%). Le vulnerabilità più sfruttate sono state Command Injection Over HTTP, Zyxel ZyWALL Command Injection e HTTP Headers Remote Code Execution.

google spyware

Nel settore mobile, Joker, Anubis e AhMyth si confermano le principali minacce. Joker ruba SMS, contatti e informazioni sul dispositivo, Anubis è un trojan bancario con funzionalità RAT e ransomware, mentre AhMyth è un RAT che raccoglie dati sensibili.
I settori più attaccati sono stati istruzione/ricerca, governo/militare e comunicazioni.

RansomHub è risultato essere il gruppo ransomware più attivo (11% degli attacchi pubblicati), seguito da Lockbit3 (8%) e Akira (6%). RansomHub, versione rebranded di Knight, colpisce vari sistemi con sofisticati metodi di crittografia, mentre LockBit, attivo dal 2019, prende di mira grandi imprese ed enti governativi e Akira cripta i dati sia su Windows, sia su Linux.

Maya Horowitz di Check Point sottolinea la persistenza dei gruppi ransomware come sfida significativa per le organizzazioni, evidenziando anche la natura opportunistica dei criminali informatici nello sfruttare un aggiornamento di sicurezza per distribuire malware. Per contrastare queste minacce, raccomanda una strategia di sicurezza multilivello con protezione degli endpoint, monitoraggio e formazione degli utenti.