Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il 2025 si apre Cybercrime e AI: l’evoluzione dei malware più temuti del 2025!

Redazione RHC : 25 Febbraio 2025 07:34

  • In Italia FakeUpdates si conferma la principale minaccia, così come Remcos la seconda e Androxgh0st la terza
  • A livello globale FakeUpdates continua ad essere primo, e si assiste al ritorno sul podio di Formbook e alla nuova crescita della minaccia Remcos, che sale in terza posizione
  • I ricercatori rilevano un continuo miglioramento delle capacità dei criminali informatici grazie all’utilizzo dell’Intelligenza Artificiale.

Milano, 13 febbraio 2025Check Point Software Technologies Ltd. (NASDAQ : CHKP), pioniere e leader globale nelle soluzioni di sicurezza informatica ha pubblicato il Global Threat Index di gennaio 2025, che evidenzia come FakeUpdates continui a rappresentare una minaccia significativa nel panorama informatico, svolgendo un ruolo cruciale nel facilitare gli attacchi ransomware.

Una recente indagine condotta dai ricercatori di sicurezza ha rivelato che un affiliato di RansomHub ha utilizzato una backdoor basata su Python per mantenere un accesso non autorizzato per un lungo periodo e distribuire ransomware su varie reti. Installata poco dopo l’accesso iniziale di FakeUpdates, questa backdoor ha dimostrato tecniche avanzate di offuscamento e modelli di codifica assistiti dall’intelligenza artificiale. L’attacco ha comportato un movimento laterale attraverso il Remote Desktop Protocol (RDP) e ha stabilito un accesso continuo creando attività programmate.

In Italia, anche nel 2025 FakeUpdate continua ad essere la minaccia più presente, anche se con un impatto leggermente inferiore a quanto rilevato a fine 2024. Remcos si conferma al secondo posto e Androxgh0st al terzo.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 6,43%, (-0,36% rispetto a dicembre ma sempre superiore all’impatto rilevato a livello globale: +2,83%).La seconda minaccia nel nostro Paese risulta essere il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) con un impatto del 4,24% (+0,63% rispetto al dato di dicembre e +1,65% rispetto al dato globale). Al terzo posto anche a gennaio si posiziona Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili), con un impatto del 3,62% (+0,31% rispetto a dicembre e +1,04% rispetto al rilevamento globale).

L’Intelligenza Artificiale sta trasformando il panorama delle minacce informatiche e i criminali stanno rapidamente evolvendo i loro metodi, sfruttando l’AI per automatizzare e scalare le loro tattiche e migliorare le loro capacità”, affermaMaya Horowitz, VP of Research di Check Point Software. “Per combattere efficacemente queste minacce, le organizzazioni devono andare oltre le difese tradizionali e adottare misure di sicurezza proattive e adattive basate sull’AI che anticipino i rischi emergenti”.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

  1. FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
  3. Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.

Principali malware per dispositivi mobili

  1. Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
  2. AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
  3. Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, mostrare annunci invadenti e rubare denaro attraverso l’addebito di abbonamenti a pagamento.

I settori più attaccati a livello globale

Per il sesto mese consecutivo, il settore dell’istruzione si è classificato come il più attaccato a livello globale. Al secondo posto sale il settore governativo e da quello delle Telecomunicazioni.

  1. Istruzione
  2. Governo
  3. Telecomunicazioni

I gruppi di ransomware maggiormente rilevati

I dati dei “siti della vergogna” del ransomware rilevano che Clop è il gruppo ransomware più diffuso, responsabile del 10% degli attacchi pubblicati, seguito da FunkSec con l’8% e RansomHub con il 7%.

  1. Clop è un ceppo di ransomware, attivo dal 2019, che prende di mira tutti i settori a livello globale. Utilizza una “doppia estorsione”, minacciando di far trapelare i dati rubati a meno che non venga pagato un riscatto.
  2. FunkSec è un gruppo ransomware emergente, apparso per la prima volta nel dicembre 2024, noto per l’utilizzo di tattiche a doppia estorsione. Alcuni rapporti suggeriscono che abbia iniziato le sue operazioni nel settembre 2024. Il loro DLS (Data Leak Site) combina le segnalazioni di incidenti ransomware con quelle di violazioni di dati, contribuendo a un numero insolitamente alto di vittime segnalate.
  3. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.

Il Global Threat Index del gennaio 2025 e ulteriori approfondimenti sono disponibili nel blog di Check Point.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Crash di massa su Windows: la falla in OpenVPN che può mandare KO le infrastrutture

Una vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il...

ChatGPT ci sta spegnendo il cervello! L’allarmante ricerca del MIT mostra il decadimento mentale

Durante una RHC Conference, Corrado Giustozzi sottolineò una verità tanto semplice quanto potente: “L’essere umano è, da sempre, un creatore di amplificatori.”. Dal...

15 Deface in poche ore di siti italiani! Gli hacker: “Godermi la vita prima che la morte venga a prendermi”

Nelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (tea...

I Cyber attacchi potrebbero diventare missili. L’escalation tra Iran e Israele e 100 gruppi di hacker in campo

Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all&...

Linux Alert: Il bug su udisks consente l’accesso a Root sulle principali distribuzioni

Gli esperti avvertono che due nuove vulnerabilità di escalation dei privilegi locali possono essere sfruttate per ottenere privilegi di root sui sistemi che eseguono le distribuzioni Linux pi...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006