FakeUpdates e RansomHub, le minacce informatiche più pericolose di agosto 2024

L’ecosistema delle minacce informatiche continua a evolversi, con ransomware e malware che assumono forme sempre più sofisticate. Il report di agosto 2024 di Check Point Software Technologies, leader nel campo della cybersecurity, offre una panoramica aggiornata delle principali minacce a livello globale e locale. In questo articolo, analizziamo i dati emersi e le principali tendenze del mese, tra cui il dominio di FakeUpdates in Italia e il consolidamento del Ransomware-as-a-Service (RaaS) con RansomHub e l’ascesa di Meow.

FakeUpdates è il malware più diffuso in Italia

In Italia, FakeUpdates, noto anche come SocGholish, si conferma come la principale minaccia. Questo downloader JavaScript ha un impatto del 7,29%, con una lieve riduzione rispetto al mese precedente. FakeUpdates è particolarmente insidioso perché permette di scaricare ulteriori malware sui sistemi infetti, tra cui GootLoader, Dridex e DoppelPaymer. Il suo utilizzo è parte di campagne più ampie che mirano a colpire diverse piattaforme, aumentando il rischio per le aziende che non dispongono di adeguate difese informatiche.

Androxgh0st, una botnet in grado di colpire piattaforme Windows, Mac e Linux, segue FakeUpdates come seconda minaccia più diffusa in Italia. Il malware ruba informazioni sensibili come credenziali di accesso e dati finanziari, con un impatto del 6,92%, leggermente in aumento rispetto a luglio.

Un dato interessante è il ritorno di Qbot in terza posizione, che nel mese di agosto ha registrato un impatto del 3,49%. Qbot è noto per il suo utilizzo in campagne di phishing mirate, che lo rendono un’arma efficace nelle mani di cybercriminali specializzati in attacchi contro il settore bancario e finanziario.

Il dominio globale del ransomware con RansomHub e Meow in ascesa

A livello globale, il panorama delle minacce ransomware è dominato da RansomHub e dal nuovo emergente Meow Ransomware. RansomHub, che ha avuto origine come Knight Ransomware, ha rapidamente guadagnato terreno grazie al suo modello Ransomware-as-a-Service (RaaS). Questa piattaforma consente a cybercriminali di noleggiare servizi per attacchi ransomware, colpendo più di 210 vittime in tutto il mondo, soprattutto in ambienti VMware ESXi.

Il nuovo Meow Ransomware ha adottato un approccio diverso rispetto ai tradizionali ransomware. Invece di criptare i dati, Meow si concentra sulla vendita dei dati rubati attraverso data leak sites, trasformando la monetizzazione degli attacchi in un mercato di vendita. Questo cambio di strategia rappresenta un’evoluzione nel modello di business dei cybercriminali, che ora puntano a massimizzare i profitti vendendo informazioni sensibili al miglior offerente.

Settori più colpiti: istruzione e sanità nel mirino

L’istruzione e la sanità continuano a essere i settori più vulnerabili agli attacchi informatici. Il settore dell’istruzione e della ricerca è stato il più colpito ad agosto 2024, seguito da governo/militare e sanità. Questo scenario non è sorprendente, dato che tali settori gestiscono enormi quantità di dati sensibili e, spesso, non dispongono delle risorse necessarie per implementare misure di sicurezza adeguate.

Le vulnerabilità più sfruttate

Non sono solo i malware a rappresentare una minaccia. Alcune vulnerabilità rimangono tra i principali vettori di attacco per i cybercriminali. Le vulnerabilità più sfruttate nel mese di agosto includono:

1. Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), che permette agli attaccanti di eseguire codice arbitrario sui sistemi bersaglio.
2. Zyxel ZyWALL Command Injection (CVE-2023-28771), una vulnerabilità che consente agli attaccanti di prendere il controllo dei dispositivi di rete vulnerabili.
3. HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375), sfruttata per eseguire codice arbitrario sui computer delle vittime attraverso intestazioni HTTP vulnerabili.

Le raccomandazioni di Check Point per difendersi

Maya Horowitz, VP of Research di Check Point Software, sottolinea come la sofisticazione delle minacce ransomware renda essenziale una difesa proattiva. Le organizzazioni devono adottare misure di sicurezza avanzate per proteggere i propri sistemi da attacchi sempre più mirati. È fondamentale implementare soluzioni di sicurezza basate su intelligenza artificiale e monitorare continuamente le proprie infrastrutture per rilevare e mitigare eventuali intrusioni.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook