Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il 2025 si apre Cybercrime e AI: l’evoluzione dei malware più temuti del 2025!

Redazione RHC : 25 Febbraio 2025 07:34

  • In Italia FakeUpdates si conferma la principale minaccia, così come Remcos la seconda e Androxgh0st la terza
  • A livello globale FakeUpdates continua ad essere primo, e si assiste al ritorno sul podio di Formbook e alla nuova crescita della minaccia Remcos, che sale in terza posizione
  • I ricercatori rilevano un continuo miglioramento delle capacità dei criminali informatici grazie all’utilizzo dell’Intelligenza Artificiale.

Milano, 13 febbraio 2025Check Point Software Technologies Ltd. (NASDAQ : CHKP), pioniere e leader globale nelle soluzioni di sicurezza informatica ha pubblicato il Global Threat Index di gennaio 2025, che evidenzia come FakeUpdates continui a rappresentare una minaccia significativa nel panorama informatico, svolgendo un ruolo cruciale nel facilitare gli attacchi ransomware.

Una recente indagine condotta dai ricercatori di sicurezza ha rivelato che un affiliato di RansomHub ha utilizzato una backdoor basata su Python per mantenere un accesso non autorizzato per un lungo periodo e distribuire ransomware su varie reti. Installata poco dopo l’accesso iniziale di FakeUpdates, questa backdoor ha dimostrato tecniche avanzate di offuscamento e modelli di codifica assistiti dall’intelligenza artificiale. L’attacco ha comportato un movimento laterale attraverso il Remote Desktop Protocol (RDP) e ha stabilito un accesso continuo creando attività programmate.

In Italia, anche nel 2025 FakeUpdate continua ad essere la minaccia più presente, anche se con un impatto leggermente inferiore a quanto rilevato a fine 2024. Remcos si conferma al secondo posto e Androxgh0st al terzo.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Nello specifico, la minaccia più importante risulta essere ancora FakeUpdates (downloader JavaScript in grado di scrivere i payload su disco prima di lanciarli, che ha portato a ulteriori attacchi tramite numerose altre minacce informatiche, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult), con un impatto del 6,43%, (-0,36% rispetto a dicembre ma sempre superiore all’impatto rilevato a livello globale: +2,83%).La seconda minaccia nel nostro Paese risulta essere il malware Remcos (Remote Access Trojan apparso per la prima volta nel 2016) con un impatto del 4,24% (+0,63% rispetto al dato di dicembre e +1,65% rispetto al dato globale). Al terzo posto anche a gennaio si posiziona Androxgh0st (botnet che colpisce le piattaforme Windows, Mac e Linux e ruba informazioni sensibili), con un impatto del 3,62% (+0,31% rispetto a dicembre e +1,04% rispetto al rilevamento globale).

L’Intelligenza Artificiale sta trasformando il panorama delle minacce informatiche e i criminali stanno rapidamente evolvendo i loro metodi, sfruttando l’AI per automatizzare e scalare le loro tattiche e migliorare le loro capacità”, affermaMaya Horowitz, VP of Research di Check Point Software. “Per combattere efficacemente queste minacce, le organizzazioni devono andare oltre le difese tradizionali e adottare misure di sicurezza proattive e adattive basate sull’AI che anticipino i rischi emergenti”.

Famiglie di malware più diffuse

*Le frecce si riferiscono alla variazione di posizione rispetto al mese precedente.

  1. FakeUpdates (AKA SocGholish) è un downloader scritto in JavaScript. Scrive i payload su disco prima di lanciarli. FakeUpdates ha portato a ulteriori compromissioni tramite molti altri malware, tra cui GootLoader, Dridex, NetSupport, DoppelPaymer e AZORult.
  2. Formbook è un Infostealer che colpisce il sistema operativo Windows ed è stato rilevato per la prima volta nel 2016. È commercializzato come Malware as a Service (MaaS) nei forum di hacking underground per le sue forti tecniche di evasione e il prezzo relativamente basso. FormBook raccoglie le credenziali da vari browser web e screenshot, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini del suo C&C.
  3. Remcos è un RAT apparso per la prima volta nel 2016. Remcos si distribuisce attraverso documenti Microsoft Office dannosi, allegati a e-mail SPAM, ed è progettato per aggirare la protezione UAC di Microsoft Windowss ed eseguire il malware con privilegi di alto livello.

Principali malware per dispositivi mobili

  1. Anubis è un trojan bancario progettato per smartphone Android. Da quando è stato rilevato inizialmente, ha acquisito ulteriori funzioni, tra cui la funzionalità di Trojan ad accesso remoto (RAT), e di keylogger, ovvero la capacità di registrazione audio e varie funzionalità ransomware. È stato rilevato in centinaia di differenti applicazioni disponibili su Google Store.
  2. AhMyth è un Remote Access Trojan (RAT) scoperto nel 2017. Viene distribuito attraverso applicazioni Android presenti negli app store e su vari siti Web. Quando un utente installa una di queste app infette, il malware può raccogliere informazioni sensibili dal dispositivo ed eseguire azioni come il keylogging, registrare screenshot, inviare messaggi SMS e attivare la fotocamera, solitamente allo scopo di sottrarre informazioni riservate.
  3. Necro è un Trojan Dropper per Android. È in grado di scaricare altri malware, mostrare annunci invadenti e rubare denaro attraverso l’addebito di abbonamenti a pagamento.

I settori più attaccati a livello globale

Per il sesto mese consecutivo, il settore dell’istruzione si è classificato come il più attaccato a livello globale. Al secondo posto sale il settore governativo e da quello delle Telecomunicazioni.

  1. Istruzione
  2. Governo
  3. Telecomunicazioni

I gruppi di ransomware maggiormente rilevati

I dati dei “siti della vergogna” del ransomware rilevano che Clop è il gruppo ransomware più diffuso, responsabile del 10% degli attacchi pubblicati, seguito da FunkSec con l’8% e RansomHub con il 7%.

  1. Clop è un ceppo di ransomware, attivo dal 2019, che prende di mira tutti i settori a livello globale. Utilizza una “doppia estorsione”, minacciando di far trapelare i dati rubati a meno che non venga pagato un riscatto.
  2. FunkSec è un gruppo ransomware emergente, apparso per la prima volta nel dicembre 2024, noto per l’utilizzo di tattiche a doppia estorsione. Alcuni rapporti suggeriscono che abbia iniziato le sue operazioni nel settembre 2024. Il loro DLS (Data Leak Site) combina le segnalazioni di incidenti ransomware con quelle di violazioni di dati, contribuendo a un numero insolitamente alto di vittime segnalate.
  3. RansomHub è un’operazione di Ransomware-as-a-Service (RaaS) che è emersa come versione ribrandizzata del ransomware Knight, precedentemente noto. Emerso all’inizio del 2024 nei forum clandestini di criminalità informatica, RansomHub ha rapidamente guadagnato notorietà per le sue campagne aggressive rivolte a vari sistemi, tra cui Windows, macOS, Linux e in particolare agli ambienti VMware ESXi. Questo malware è noto per l’impiego di sofisticati metodi di crittografia.

Il Global Threat Index del gennaio 2025 e ulteriori approfondimenti sono disponibili nel blog di Check Point.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006